Veel van onze klanten gebruiken WordPress voor het maken en onderhouden van hun websites. Door middel van plugins kun je in een handomdraai functionaliteiten aan je website toevoegen. Op https://nl.wordpress.org/plugins/ zijn er zelfs meer dan 55.000 plugins te vinden. De afgelopen weken zijn er in diverse bekende en veel gebruikte WordPress plugins ernstige veiligheidslekken gevonden. Het is dus belangrijk dat ook plugins altijd up-to-date worden gehouden. Omdat niet al onze klanten hiervan op de hoogte zijn, hebben we bij XXL besloten om onze klanten hierbij te helpen!
Wat zijn veiligheidslekken en waarom zijn die zo gevaarlijk?
Plugins worden door programmeurs gemaakt. Programmeurs zijn ook maar normale mensen, en maken fouten tijdens hun werk. Fouten in programmacode kunnen er voor zorgen dat kwaadwillenden via zo'n programmeerfout toegang kunnen krijgen tot delen van de website waar ze eigenlijk geen toegang tot zouden moeten hebben. Als het een ernstige fout is, kan iemand zelfs de controle van de gehele website overnemen. Ze kunnen dan bijvoorbeeld delen van je website verwijderen, de inhoud van je website vervangen, of je website door laten linken naar andere sites. Daarnaast kunnen ze je hostingpakket misbruiken om bijvoorbeeld spam te versturen, phising-aanvallen uit te voeren, virussen te verspreiden en andere websites op het internet aan te vallen. Dit zijn natuurlijk allemaal dingen die we willen voorkomen, en waar je je (bedrijfs)naam niet aan wilt verbinden.
Wat we doen bij XXL Hosting
We houden continu diverse websites en mailinglijsten in de gaten waarop veiligheidslekken worden gedeeld. Als we zien dat er een ernstig lek in een populaire WordPress plugin is gevonden, dan ondernemen we actie en helpen we de klanten om hack-aanvallen te voorkomen. We speuren dan naar geinstalleerde versies van een plugin die nog niet is bijgewerkt en lek is. Voor de gevallen die we vinden updaten we de plugin, en informeren we de klant via e-mail of telefoon. Zo voorkomen we in veel gevallen dat hackers de kans krijgen om het lek te misbruiken.
Deze werkwijze hebben we in de afgelopen weken bijvoorbeeld toegepast toen er serieuze veiligheidslekken bekend werden gemaakt voor de onderstaande plugins:
- WP Forms - een plugin waarmee contactformulieren kunnen worden gemaakt
- InfiniteWP - een plugin waarmee je centraal meerdere WordPress sites kunt beheren
- ThemeGrill Demo Importer - een plugin waarmee thema's bij ThemeGrill kunnen worden gedownload
Wat kun je zelf doen?
Omdat er zoveel plugins zijn, is het voor ons niet te doen om alle updates en veiligheidslekken bij te houden voor al onze klanten. We raden aan om je plugins regelmatig te updaten. Dit is vrij eenvoudig in het wp-admin gedeelte van je WordPress site met een muisklik uit te voeren. Het liefst elke week, maar in elk geval 2x per maand is sterk aan te raden. Maak er een goede gewoonte van en zet het in je agenda - of vraag het aan je websitebouwer. Verder raden we aan om niet gebruikte plugins te verwijderen.
Gelukkig heeft WordPress aangekondigd dat hoogstwaarschijnlijk vanaf versie 5.5 automatische plugin en thema updates beschikbaar komen. Meer hierover kun je lezen op de volgende blogpost: https://www.wphandleiding.nl/automatische-thema-en-plugin-updates/