WordPress is een populair Content Management Systeem wat veel door onze klanten gebruikt wordt. Zoals elke technologie staat ook WordPress niet stil. De nieuwste WordPress versie 5.6 bevat een nieuwe functie die een veiligheidsrisico kan vormen. Daarnaast bevat deze versie ook een aantal verbeteringen en weer een nieuw basisthema.

Application passwords in WordPress 5.6 met mogelijk veiligheidsrisico

In WordPress 5.6 zit de nieuwe optie "application passwords" (wachtwoorden voor applicaties). Hiermee kun je een applicatie of website van derden toegang geven tot je WordPress website. Deze applicatie of website kan vervolgens handelingen uitvoeren op je website.

Andere applicatie of website toegang geven tot je WordPress site

Hackers, oplichters en andere mensen met kwade bedoelingen zouden je kunnen verleiden om op een speciale link te klikken die vervolgens het loginscherm van je website toont. Een onoplettende gebruiker zou dan kunnen inloggen en geeft daarmee een onbevoegde volledige toegang tot zijn of haar WordPress site. Kijk maar eens naar bovenstaande afbeelding, waar gevraagd wordt om in te loggen op je website om zo "iedereen die maar wil" toegang te geven tot je website.

Let dus altijd goed op waar je op klikt op het internet! Dat gelft niet alleen voor phisingmails, maar dus ook voor je WordPress site.

Als je deze "application passwords" functie wil uitschakelen dan kun je daarvoor de onderstaande regel in de functions.php van je (child)theme kunnen plaatsen. Je websitebouwer kan je hierbij helpen als je zelf de kennis niet in huis hebt.

add_filter( 'wp_is_application_passwords_available', '__return_false' );

Wat kan ik met application passwords?

Deze nieuwe "application passwords" functie biedt handige integratie-mogelijkheden in de nabije toekomst. Zo kun je bijvoorbeeld via een andere website of software berichten (laten) publiceren op je website, of bepaalde data laten toevoegen of bijwerken. Omdat deze functie pas recentelijk beschikbaar is gekomen, zal het waarschijnlijk nog even duren voordat de eerste toepassingen beschikbaar zullen zijn.

Vanwege het bovengenoemde veiligheidsrisico, raden we aan om andere website en applicaties geen gebruik te laten maken van een gebruiker met "admin" rechten - mocht je de "application passwords" functie toch willen gebruiken. Beter is om een aparte gebruiker met een beperkt aantal rechten aan te maken en die te gebruiken. Met de plugin user role manager kun je eenvoudig de rechten beheren van een gebruiker; je kunt daarmee precies instellen wat de gebruiker wel en niet mag binnen je website.

Meer over de nieuwe Wordpress versie

Naast de "application passwords" functie die we hierboven beschreven, zit er in versie 5.6 van WordPress verder nog de volgende verbeteringen:

  • Verbeterde block editor
  • Optie om in wp-admin automatische updates aan te zetten voor WordPress core
  • Voorbereidingen om WordPress geschikt te laten zijn met PHP versie 8
  • Een nieuw standaard basisthema met dark mode ondersteuning, genaamd Twenty Twenty-One

Het thema Twenty Twenty-One is een leeg canvas voor je ideeën en de block editor kun je zien als penseel om het canvas te vullen. Dit thema is speciaal gebouwd voor de nieuwe block editor en zit boordevol gloednieuwe blocks. Daarnaast is het thema gericht op toegankelijkheid, zodat ook mensen met een visuele beperking je website kunnen bezoeken en lezen.

Ga jij gelijk upgraden naar WordPress 5.6? Ga je gang, maar maak altijd eerst een backup. Mocht er iets misgaan, dan kun je altijd terug. Bij XXL Hosting maken we dagelijks een backup van al je bestanden en databases, en kun je die zelf in het control panel terugzetten.