Als verreweg het meest populaire contentmanagementsysteem, beheert WordPress miljoenen verschillende websites. Het is open source software, wat betekent dat de broncode openbaar toegankelijk is en door vrijwel iedereen met voldoende kennis kan worden gewijzigd.

Hoewel WordPress-plug-ins en thema's kunnen worden gekocht, zijn er tienduizenden gratis beschikbaar. Zoals je zou verwachten, komt dit niet zonder nadelen. Dus hoe kwetsbaar zijn WordPress-sites? Hoe zit het met de thema's en plug-ins? En hoe kunt u uw sites beschermen?

Hoe kwetsbaar is WordPress?

In februari 2022, Jetpack ontdekte dat populaire thema's en plug-ins van de leverancier AccessPress Themes (ook bekend als Access Keys) gecompromitteerd waren. De onderzoekers ontdekten het beveiligingslek per ongeluk, na het ontdekken van verdachte code op een gecompromitteerde website. Bij verder onderzoek kwamen ze erachter dat de meeste AccessPress-plug-ins en elk thema dezelfde code bevatte.

Later bleek dat AccessPress Themes het slachtoffer werd van een cyberaanval in september 2021, waarbij hackers een achterdeur injecteerden

instagram viewer
in de plug-ins van de leverancier en thema's.

AccessPress heeft uiteindelijk hun producten bijgewerkt en opgeschoond, maar vermoedelijk waren duizenden gebruikers gedurende lange tijd kwetsbaar voor aanvallen.

Hebben WordPress-plug-ins en -thema's kwetsbaarheden?

De bevindingen van Jetpack onderstrepen hoe kwetsbaar WordPress kan zijn. Maar dit was geen alleenstaand geval.

In maart 2021 bijv. Wordfence onthulde grote kwetsbaarheden in twee WordPress-plug-ins die, indien succesvol misbruikt, een aanvaller in staat zouden hebben gesteld een website over te nemen. De kwetsbaarheden zijn ontdekt in de Elementor- en WP Super Cache-plug-ins. Elementor is een websitebouwer die op meer dan zeven miljoen websites wordt gebruikt, terwijl WP Super Cache een populaire caching-plug-in is.

In februari 2022, als Zoekmachine Journaal gerapporteerd, waarschuwden de United States Government Vulnerability Database en WordPress-beveiligingsonderzoekers voor ernstige kwetsbaarheden in tientallen WordPress-plug-ins.

Van die plug-ins werden er negen gebruikt op meer dan 1,3 miljoen websites: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Beveiliging en Brute-Force Firewall, WP Content Copy Protection & No Right Click, Database Backup voor WordPress, GiveWP, Download Manager en Advanced Database Schoner.

Hoe u uw WordPress-site kunt beveiligen

Je zou aannemen dat deze kwetsbaarheden altijd worden hersteld of verwijderd zodra ze zijn ontdekt, maar dat is eigenlijk niet het geval.

Onderzoek van patch-stack ontdekte dat 2021 een toename van 150 procent zag in gerapporteerde WordPress-kwetsbaarheden in vergelijking met 2020 - en 29 procent van die kwetsbaarheden kreeg geen patch. Patchstack ontdekte ook dat slechts 0,58 procent van de gerapporteerde fouten in de WordPress-kern zaten, wat betekent dat kwetsbaarheden bijna altijd worden gevonden in plug-ins.

Het is van cruciaal belang ervoor te zorgen dat alle plug-ins die u gebruikt, up-to-date zijn, evenals de WordPress-kern zelf.

Voordat u een plug-in downloadt en installeert, moet u eerst wat onderzoek doen. Controleer hoeveel installaties de plug-in heeft, lees recensies online, kijk wanneer deze voor het laatst is bijgewerkt en controleer of deze is getest met de nieuwste WordPress-kern. Dit duurt slechts een paar minuten, maar het kan u onderweg veel problemen besparen.

Als alternatief kunt u WPScan, wat een vrij eenvoudige en efficiënte WordPress-kwetsbaarheidsscanner is. Deze tool kan ook worden gebruikt om een ​​plug-in op naam op te zoeken. De gratis versie staat maximaal 25 API-verzoeken per dag toe.

Gelukkig zijn sommige plug-ins ontworpen om uw WordPress-site te beschermen tegen indringers. Login LockDown, Wordfence, BulletProof Security zijn enkele van de beste WordPress-beveiligingsplug-ins vandaag. Login LockDown is volledig gratis, terwijl de andere twee eenvoudige, gratis modellen hebben.

Veiligheidstips voor WordPress

Hoe kwetsbaar WordPress ook kan zijn, het nemen van elementaire veiligheidsmaatregelen gaat een lange weg als het gaat om het voorkomen en afweren van cyberaanvallen.

Het gebruik van unieke inloggegevens en twee-factorenauthenticatie, het up-to-date houden van alle software, het verbergen van themanamen en inloggegevens zou de basis moeten vormen van uw WordPress-beveiligingshygiëne.

Hoe u uw WordPress-website in 5 eenvoudige stappen kunt beveiligen

Lees volgende

DelenTweetenDelenE-mail

Gerelateerde onderwerpen

  • Beveiliging
  • internet
  • Online beveiliging
  • Wordpress-plug-ins
  • Wordpress
  • Wordpress-thema's

Over de auteur

Damir Mujezinovic (23 artikelen gepubliceerd)

Damir is een freelance schrijver en verslaggever wiens werk zich richt op cybersecurity. Naast schrijven houdt hij van lezen, muziek en film.

Meer van Damir Mujezinovic

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren