Samen met hackers houden we je WordPress sites veilig

Bijna driekwart van het hele internet draait op WordPress, en ook op onze servers kom je veel WordPress tegen. Omdat WordPress zo populair is, is het een interessante target voor hackers. Als je een lek vindt, kun je bij heel veel sites binnenkomen. Als je het hosten van je WordPress website aan ons toevertrouwt, doen we er alles aan om je website zo veilig mogelijk te houden. Sinds kort doen we dat samen met ethische hackers en de WordPress community. In deze blogpost leeg je de verdere details.

Lekken in WordPress, waar dan?

Een WordPress website bestaat uit 3 onderdelen, die alle 3 vatbaar kunnen zijn voor veiligheidslekken:

  • WordPress core: dit zijn de basisbestanden van het WordPress CMS.
  • WordPress plugins: om bepaalde functionaliteiten toe te voegen aan je WordPress website, kun je een of meerdere plugins installeren.
  • WordPress thema's: het uiterlijk van je WordPress website wordt door bepaald door een thema, die je op je WordPress site installeert

WordPress plugins kun je vinden het mapje wp-content/plugins en WordPress thema's in wp-content/themes. Vrijwel alles wat je ziet staan buiten de wp-content map kun je zien als onderdeel van "WordPress core".

Voor zowel WordPress core, plugins en thema's komen regelmatig updates uit. Deze updates voegen niet alleen nieuwe functionaliteiten toe, maar dichten vaak ook veiligheidslekken die gevonden worden. Zo'n lek kan dan door een kwaadwillende hacker misbruikt worden om toegang te krijgen tot je WordPress website.

Dit is een van de grootste gevaren als je een WordPress website hebt, en wij willen je graag een handje helpen om misbruik van lekken te voorkomen. Dit doen we op verschillende manieren.

Samenwerking met hackers, darkweb en WordPress community

We zijn daarom een samenwerking aan gegaan met een groep aan ethische hackers binnen de WordPress community om continu het gehele WordPress ecosysteem in de gaten te houden op nieuwe gevaren. Zij proberen zelf veiligheidslekken in WordPress core, plugins en thema's te vinden, maar speuren ook het darkweb af op zulke informatie. Ze kijken hierbij naar hoe vaak een bepaalde plugin of thema geinstalleerd is, en hoe ernstig het veiligheidslek is. Dit bepaalt een risicoscore. Al deze informatie wordt gebundeld in een datafeed.

Wij inventariseren dagelijkse welke WordPress versie, plugins en thema's elke klant gebruikt. Dit vergelijken we dan met de datafeed. Mochten we zien dat een klant gevaar loopt, dan brengen we de klant gelijk op de hoogte. De klant kan dan updaten of bepaalde plugins of thema's verwijderen.

Je kunt een gedeelte van de datafeed op onze website inzien:

WordPress datafeed met veiligheidslekken op 24 november

We kijken dus niet simpelweg of een er een nieuwere versie van WordPress, plugins en thema's zijn, maar we gaan verder dan dat: we kijken of de gebruikte versies actief op grotere schaal misbruikt wordt. Zo kunnen we onze klanten effectief waarschuwen voor concrete gevaren.