Onlangs bracht Patchstack een uitgebreid rapport uit over WordPress security in 2022. Patchstack is een organisatie waar wij nauw mee samenwerken. Zij houden dagelijks het WordPress-ecosysteem en darkweb in de gaten over gevonden veiligheidslekken in WordPress, plugins en thema's en informeren ons hierover - zodat wij snel actie kunnen ondernemen om jouw WordPress-site veilig te houden. Zo hebben we afgelopen week nog een groot lek in Elementor Pro gedicht bij al onze klanten. Het rapport staat vol interessante security-feitjes, en hieronder zal ik een aantal daarvan met je delen.

42% van WordPress-sites heeft 1 of meer veiligheidslekken

Bijna de helft van alle WordPress websites wereldwijd heeft ten minste 1 veiligheidslek.

328% meer veiligheidslekken gevonden in 2022

In het jaar 2022 waren er flink meer veiligheidslekken in WordPress gevonden dan het jaar daarvoor. In 2022 waren er in totaal 4528 lekken gevonden, ten opzichte van 1382 lekken in het jaar daarvoor - dat is 328% meer!

Als we dan inzoomen op deze 4528 lekken in 2022, zaten daarvan:

  • 4200 lekken in WordPress plugins (92,75%)
  • 301 lekken in WordPress thema's (6,65%)
  • 27 lekken in WordPress core (0,6%)

Veruit het grootste deel van de lekken wordt dus gevonden in de WordPress plugins.

13% van de gevonden lekken is ernstig of kritiek

Niet alle gevonden veiligheidslekken zijn even "erg". Als een hacker bijvoorbeeld ingelogd op je WordPress-site moet zijn om een bepaald lek te misbruiken is dat veel minder erg, dan een lek waarvoor dat niet nodig is. De ernst van een lek wordt ook bepaald door wat een hacker met een lek kan doen: als een lek toegang geeft tot alle bestanden en database van je site is dat natuurlijk erg gevaarlijk.

Van alle gevonden lekken in 2022 was de classificatie:

  • laag: 3%
  • gemiddeld: 84%
  • hoog/ernstig: 11%
  • kritiek: 2%

26% van kritische lekken zijn nooit opgelost

Wanneer er een veiligheidslekken in WordPress core, een plugin of een thema wordt gevonden, dan wordt dit lek allereerst gerapporteerd aan de ontwikkelaar hiervan. Deze ontwikkelaar dicht dit lek dan in een nieuwe versie. Soms komt het echter voor dat een ontwikkelaar niet reageert: ze zijn dan bijvoorbeeld onbereikbaar, of ze zijn gestopts met het verder ontwikkelen en ondersteunen van een bepaalde plugin of thema. Deze lekken worden dan geescaleerd naar het WordPress-team, zodat zij deze plugin of thema van hun website kunnen halen.

Hieronder kun je zien wat er met alle veiligheidslekken is gebeurd die Patchstack heeft gevonden en gerapporteerd.

Houd je WordPress-site veilig

Het beveiligen van je WordPress-site is erg belangrijk. XXL Hosting doet er alles aan om je hierbij te helpen. Zo werken we bijvoorbeeld samen met Patchstack om op de hoogte te blijven van nieuwe veiligheidslekken in WordPress, en de websites van onze klanten daarmee te beveiligen.

Ook jij kunt een aantal simpele dingen doen om je WordPress-site beter te beveiligen:

  • Installeer regelmatig updates van WordPress, plugins en thema's.
  • Controleer regelmatig of de door jou gebruikte plugins en thema's nog wel worden geupdate. Als er bijvoorbeeld meer dan een jaar geen update is geweest, zou het kunnen zijn dat de plugin of thema niet meer verder wordt ontwikkeld. Je kunt dan het beste deze plugin of thema verwijderen, en een alternatief daarvoor gebruiken.
  • Controleer ook welke plugins en thema's je niet meer actief gebruikt. Deze plugins en thema's kun je dan het beste verwijderen.
  • Eventueel kun je SiteGuard activeren voor je hostingpakket. SiteGuard kan voorkomen dat hackers toegang krijgen tot je website via lekken die nog niet zijn gedicht.

Mocht je nog vragen hebben, neem dan gerust contact met ons op. Het gehele rapport van Patchstack kun je hier nalezen.