Is WordPress veilig?

Ja, WordPress is veilig.
Maar die veiligheid hangt niet alleen af van WordPress zelf. We zien dat het risico vooral bepaald wordt door hoe een website wordt beheerd, geüpdatet en gehost.

Beveiligingsonderzoek van partijen als Wordfence en Patchstack laat zien dat de meeste WordPress websites niet worden gehackt door fouten in WordPress core, maar door verouderde plugins, zwakke instellingen en slecht onderhoud. Dat verklaart waarom WordPress vaak als onveilig wordt bestempeld, terwijl de oorzaak meestal ergens anders ligt.

In dit artikel lees je waarom WordPress als platform een solide basis heeft, waar beveiligingsproblemen in de praktijk vandaan komen en wat je minimaal op orde moet hebben om je WordPress website veilig te houden.

Waarom wordt WordPress dan toch vaak als onveilig gezien?

WordPress is het meest gebruikte CMS ter wereld. Juist die populariteit maakt het platform een aantrekkelijk doelwit. Er is niets mis met het systeem zelf, maar er zijn simpelweg veel WordPress websites zijn die niet goed worden onderhouden.

Daarnaast is het voor veel website eigenaren niet altijd duidelijk waar WordPress zelf verantwoordelijk voor is en waar dat ophoudt. Plug-ins, thema’s, hosting en gebruikersinstellingen spelen allemaal een rol in de veiligheid van een website. Als die onderdelen niet op orde zijn, ontstaat al snel het beeld dat WordPress onveilig is.

Die verwarring heeft vaak te maken met een onduidelijk beeld van wat WordPress als platform precies is en wat het wel en niet doet. In ons artikel over wat WordPress is leggen we uit hoe WordPress is opgebouwd en welke rol het speelt binnen een website.

Wat zeggen beveiligingsonderzoeken over WordPress?

Beveiligingsonderzoek laat een consistent beeld zien. De meeste kwetsbaarheden bij WordPress websites ontstaan niet door WordPress zelf, maar door de manier waarop websites worden beheerd. Onderzoeken van onder andere Wordfence en Patchstack wijzen steeds dezelfde oorzaken aan:

• Verouderde plug-ins en thema’s
  Het grootste deel van de beveiligingslekken zit in plug-ins en thema’s die niet of te laat worden bijgewerkt. Updates zijn vaak beschikbaar, maar worden niet toegepast.
• Achterstallig onderhoud
  Websites die langere tijd geen updates krijgen, lopen meer risico omdat bekende beveiligingslekken open blijven staan. Zodra een kwetsbaarheid openbaar is en wordt opgelost met een update, richten aanvallen zich juist op websites die deze update niet hebben doorgevoerd.
• Zwakke toegangsbeveiliging
  Eenvoudige wachtwoorden, hergebruik van inloggegevens en het ontbreken van extra beveiligingslagen vergroten de kans op misbruik.
• Onvoldoende technische afstemming
  Plug-ins die niet meer actief worden ondersteund of slecht samengaan met de rest van de website vormen een extra risico.
• Een onbeveiligde of verouderde hostingomgeving
  Als de serveromgeving niet goed is ingericht of draait op verouderde software, kan dit een directe toegang vormen tot de website en database. Bij Webtify wordt dit actief afgevangen door vaste updates, serverbeveiliging en technisch beheer.

Wat opvalt in vrijwel alle onderzoeken: deze problemen hadden grotendeels voorkomen kunnen worden. WordPress core wordt actief onderhouden en beveiligingsupdates worden snel uitgerold. Websites die dit onderhoud serieus nemen, zijn structureel minder kwetsbaar.

Meer maatregelen om WordPress veiliger te maken

Gelukkig zijn er meer maatregelen die je kunt inzetten om je website veiliger te maken. Zoals eerder gezegd heb je als Webtify gebruiker geen omkijken naar de veiligheid van je website of je database, dat doen onze Webtify’ers voor je. Het is dus belangrijk om up-to-date te blijven, je wachtwoorden sterk te maken en niet gelijk aan die van andere accounts. Zorg ervoor dat je thema’s en plug-ins up-to-date zijn. Daarnaast nog twee kleine tips:

Maak regelmatig back-ups

Zorg ervoor dat je regelmatig back-ups maakt van de website. Als er iets misgaat, kun je de website eenvoudig herstellen naar een datum voordat de hack of fout heeft plaatsgevonden. Back-ups kunnen ervoor dat je zorgeloos met je website aan de slag gaat. Voor klanten van Webtify worden back-ups automatisch verzorgd.

Maak gebruik van HTTPS

HTTPS is een beveiligingsprotocol dat ervoor zorgt dat de gegevens die tussen de browser van de gebruiker en de server van de website worden uitgewisseld, versleuteld worden. Dit betekent dat als iemand probeert de communicatie te onderscheppen, ze alleen versleutelde gegevens zullen zien, die niet leesbaar zijn. HTTPS is erg belangrijk voor je website, als je namelijk dat niet gebruikt zullen Chrome en Safari je website weergeven als niet veilig.

Waar ligt de verantwoordelijkheid voor WordPress beveiliging?

De beveiliging van een WordPress website is verdeeld over meerdere partijen. Elke laag heeft een eigen rol:

• WordPress core
  Het WordPress team zorgt voor de beveiliging van de basis van het systeem. Beveiligingslekken in de core worden actief opgespoord en via updates opgelost.
• Plugin en thema ontwikkelaars
  Ontwikkelaars zijn verantwoordelijk voor hun eigen code. Updates lossen kwetsbaarheden op of zorgen voor compatibiliteit met nieuwe WordPress versies.
• Hostingomgeving
  De hostingpartij is verantwoordelijk voor de technische basis, zoals serverbeveiliging, actuele software en afscherming van de infrastructuur.
• Website eigenaar of beheerpartij
  Het toepassen van updates, het maken van veilige keuzes en het structureel onderhouden van de website ligt bij degene die de website beheert.

Het beheer van je WordPress website is dus een belangrijk onderdeel van hoe veilig je website is. In onze uitleg over WordPress websites: mogelijkheden, kosten en beheer gaan we hier uitgebreider op in.

Conclusie: Is WordPress veilig?

Ja, WordPress is veilig zolang je weet wat je doet en er voldoende verstand van hebt om de juiste maatregelen toe te passen. Installeer niet elke plug-in die je ziet of elk thema die er leuk uitziet. Het up-to-date houden van de omgeving is heel erg belangrijk, dit bepaalt grotendeels of WordPress daadwerkelijk veilig is.

Met structureel onderhoud, bewuste keuzes en een goede technische basis is het risico op beveiligingsproblemen sterk te beperken. Toch liever uitbesteden? Neem dan contact op met Webtify. We regelen alles omtrent jouw website: design, beheer, updates en service.

Veelgestelde vragen over WordPress beveiliging

Is WordPress veilig om te gebruiken?
Ja. WordPress is veilig als het technisch goed is ingericht en actief wordt onderhouden. De meeste problemen ontstaan door slecht beheer, niet door WordPress zelf.

Worden WordPress websites vaker gehackt dan andere websites?
WordPress websites worden vaker aangevallen omdat WordPress veel wordt gebruikt. Dat betekent niet dat het platform onveiliger is, maar wel dat slecht onderhouden sites sneller worden gevonden.

Is een plug-in een beveiligingsrisico?
Een plugin op zichzelf niet. Het risico ontstaat wanneer plugins verouderd zijn, niet meer worden onderhouden of zonder duidelijke afweging worden geïnstalleerd.

Heeft hosting invloed op de veiligheid van WordPress?
Ja. De hostingomgeving speelt een grote rol. Verouderde serversoftware of onvoldoende beveiliging vergroot het risico op problemen, ook als WordPress zelf up to date is.

Kan een WordPress website ooit 100 procent veilig zijn?
Nee. Absolute veiligheid bestaat niet. Met goed beheer, updates en een veilige hostingomgeving is het risico wel sterk te beperken.