Enig tumult vorige week in de WordPress community. Er werd een flink lek (voor de pro’s: blind SQL injection) ontdekt in de SEO plugin van het Nederlandse Yoast. Een plugin die wij áltijd adviseren en implementeren voor onze klanten. Het belangrijkste: met een update van de plugin was het lek binnen 24 uur gedicht. In samenwerking met het WordPress.org team werd die update zelfs automatisch uitgerold waardoor de meeste mensen er geen omkijken naar hebben gehad.

Belangrijker: er was weliswaar een ‘lek’, maar alleen als een hacker een specifieke site zou aanvallen. Gelukkig maar. 🙂

Toch is iedereen weer even wakker geschud.

Zonder in een eindeloze discussie van voor’s en tegen’s (wel of niet open source, wel of geen WordPress) te verzanden, 5 best practices die wij – net als Yoast SEO – altijd hanteren bij de bouw en lancering van WordPress websites of applicaties!

UPDATE: Ook voor de plugin ‘Google Analytics by Yoast’ dat verderop in dit artikel ter sprake komt is zojuist een update beschikbaar gemaakt.

Belangrijk om te vermelden is dat wij als online experts niet geloven in 100% beveiliging.

ALLES IS TE KRAKEN.

Het doel van ieder handigheidje is om het mensen met verkeerde intenties zo moeilijk mogelijk te maken.

Voordat we aftrappen een indicatie van de mogelijke oorzaken als er toch iets misgaat:

  • 41% van gehackte WordPress sites zijn gehackt door een zwakke plek in de beveiliging van de hosting;
  • 29% werd gehackt via het thema;
  • 22% via een plugin;
  • 8% werd gehackt omdat ze een te makkelijk (kort) wachtwoord gebruikte.

Bron: WP White Security

Als er dan inderdaad iets misgaat: zorg voor backups! Dit kun je bij een goede hostingpartij laten doen, automatisch. Vergeet niet dat je behalve alle bestanden ook een backup van je database nodig hebt, daar staat al je content!

1. Goede hosting

Hoeft niet duur te zijn!

SLECHTE hosting bestaat ook. Denk aan servers die een paar keer per week en / of langere tijd uitvallen. Of partijen die niet eens een telefoonnummer op de site communiceren. Dat is heel belangrijk, als de server echt even down is dan wil je direct kunnen schakelen.

Punt 3 in deze lijst heet ‘UPDATE!’ en dat geldt net zo goed voor je hostingpartij. Het is aan hun om hard- en software op peil te houden, te zorgen voor meerdere lagen backups (redundancy) en constante monitoring.

Gehackte sites komen wij eigenlijk nooit tegen, misschien dat het de afgelopen 5 jaar één keer is voorgekomen. Wat we wel zeker weten is dat als je hoort over een site waar echt data verloren is gegaan (dat is nog iets serieuzer dan ‘de mogelijkheid tot X was aanwezig’) of waar ongewenste content op de site zichtbaar is, dat het mis ging bij de matige beveiliging van de hostingpartij.

Je kunt je hosting door ons laten afhandelen, wij zijn daarvoor partner van het in Nederland gevestigde CloudVPS. Het voordeel hiervan is dat de projectmanager bij Van Ons je contactpersoon is.

Binnenkort komen we in een apart artikel uitgebreider terug op ons hosting advies.

2. Niet teveel en alleen betrouwbare plugins

De mogelijkheden van WordPress zijn eindeloos. Dat zal zo, wij draaien onze hand bijna nergens voor om met het CMS.

Die eindeloze mogelijkheden zijn minder belangrijk als je bedrijf afhankelijk is van de inkomsten uit een webshop. Of als je met een paar slimme landingspagina’s leads wilt genereren. Dan is stabiliteit en veiligheid van de data prioriteit.

Wij adviseren met klem altijd zo weinig mogelijk plugins in te zetten en hanteren een vast lijstje wel betrouwbare uitbreidingen. Yoast SEO is er daar één van. Google Analytics van Yoast ook. Het betaalde Gravity Forms is voor formulieren aan te raden. Die heeft ook weleens een serieus lek gehad trouwens en ook dat werd snel opgelost.

Dat is het belangrijkste: de makers van deze plugins zijn professionals, de plugin is hun product. Er gaan mensen iedere dag naar hun werk om deze plugins te verbeteren, te onderhouden. De kans op fouten en conflicten met andere plugins is daardoor kleiner.

3. Update!

WordPress.

Plugins.

Je browser!

Internet Explorer 8 komt uit 2009, dat zijn lichtjaren. In dergelijk oude software zitten serieuze beveiligingslekken. Daarom zijn Nederlandse banken gestopt met de ondersteuning of doen zij dit ergens in 2015.

Update alles!

Test een update vooraf wel altijd goed op een development of staging omgeving!

4. Gebruikersnamen en wachtwoorden

Wij gebruiken geen ‘admin’, dat is een standaard WordPress-gebruikersnaam en dus makkelijk te raden.

Voor wachtwoorden gebruiken we graag www.nieuwwachtwoord.nl waarmee je lange, enigszins makkelijk te onthouden wachtwoorden en korte, mens-onvriendelijk versies genereert.

5. FTP en ‘file permissions’ (chmod)

Zorg er altijd voor dat alle mappen en bestanden de juiste rechten hebben. Niet te weinig en zeker niet teveel. Kijk op deze pagina voor de juiste rechten voor WordPress.

Geen idee waar je dit kunt zien? Gebruik een FTP-programma (bijvoorbeeld FileZilla Client) en rechter muisklik op een map of bestand, in de meeste programma’s heet deze functie dan ‘bestandsrechten’ of ‘file permissions’ of ‘chmod’.