WordPress en open source kan wél veilig!

Foto van Christien van de Sande

Geschreven door Christien van de Sande

WordPress en security, een combinatie die regelmatig ter discussie staat. In 2021 nog naar aanleiding van een onderzoek door Trouw. De kern van het artikel? Of WordPress een verantwoorde keuze is voor de website van overheidsinstanties. Wat ons betreft wel. Eerder schreven wij al waarom WordPress juist geschikt is voor overheidswebsites. Deze keer gaan we dieper in op het veilig inzetten van WordPress voor overheidswebsites.

Veiligheid als vertrekpunt

Het is voor bedrijven en overheidsorganisaties essentieel een veilige website te hebben. Ongeacht de gekozen techniek of het gebruikte CMS. Wat ons betreft zou security voor elke bouwer of website-eigenaar prioriteit moeten krijgen.

In elke software worden vroeg of laat kwetsbaarheden gevonden. Bij het bouwen en beheren van een website gaat het daarom altijd om twee dingen:

  • Op welke manier zet je een website op?
  • Hoe implementeer én handhaaf je een goed veiligheidsbeleid?

Ook WordPress kun je volgens alle veiligheidsstandaarden, zoals de Baseline Informatieveiligheid Overheid (BIO) inzetten. Maar dan moet het wel goed gebeuren. Wie de volgende vier onderwerpen op orde heeft, vergroot de veiligheid van de website aanzienlijk.

Alles en iedereen up-to-date

Zorg dat veiligheidsupdates én kennis altijd up to date zijn. Dat klinkt als een open deur, maar de meeste WordPress-websites die gehackt worden, gebruiken niet de meest recente veiligheidsupdates. Daarnaast kent WordPress veel plugins waarmee functionaliteiten aan een website toegevoegd kunnen worden. Als die niet structureel onderhouden worden, brengt dat veiligheidsrisico’s met zich mee. Onderhoud de website dus continu en haak professionals aan die op de hoogte zijn van de laatste ontwikkelingen en weten wat ze doen. Zo kunnen ze altijd binnen de geldende securityrichtlijnen werken.

TwoFactor Authentication

Nóg een open deur: gebruik sterke wachtwoorden. Te vaak worden wachtwoorden gebruikt, die voor hackers eenvoudig te kraken zijn. (Te kort, persoonlijke informatie en hetzelfde wachtwoord voor verschillende websites). Met behulp van een password manager genereren gebruikers sterke wachtwoorden, die ze niet hoeven te onthouden.

Een sterk wachtwoord kraken is lastiger, maar niet onmogelijk. Maak daarom ook gebruik van Two-Factor Authentication. Om in te loggen is naast het wachtwoord dan nog een extra bevestiging nodig. Bijvoorbeeld een app die een code genereert of een SMS (SMS is minder veilig). Zo ben jij de enige die kan inloggen, ook al heeft iemand jouw wachtwoord.

Wees ook kritisch op het aantal gebruikers en beheerders. Hoe minder mensen toegang hebben, hoe kleiner het risico op onveilige situaties. Denk hierbij ook aan het toekennen van meer of minder rechten in het systeem.

De juiste hosting

We kunnen er niet omheen. Wil je de veiligheid van een website naar een hoger plan tillen, dan komen er technieken bij kijken die niet alleen door het development team opgepakt kunnen worden. Of met een simpel beleid afgevangen kunnen worden. Hosting configuratie en de beveiliging van servers zijn essentieel voor website security. Waar moet je op letten?

HTTPS met TLS en ‘hardenen’

Ga standaard uit van HTTPS met TLS voor de communicatie tussen webbrowser en webserver. HTTPS verschijnt in de URL als een website is beveiligd met een TLS-certificaat. Wanneer een bezoeker een website bezoekt via HTTPS is alle data die tussen de browser en server wordt verstuurd versleuteld. Zorg daarbij voor het ‘hardenen’, zodat het aantal functies van een systeem tot het minimum beperkt wordt en niet misbruikt kan worden. Scan je website en server altijd pro-actief op onverwacht gedrag en check vooral ook continu of de configuraties van de server nog veilig zijn. Ontwikkelingen gaan razendsnel.

Web applicatie firewall

Blokkeer verdacht gedrag. Als bijvoorbeeld gedetecteerd wordt dat een hacker snel achter elkaar 100 inlogpogingen bij de WordPress backend doet, zorg dan dat diegene automatisch voor bepaalde tijd geblokkeerd wordt.

DDos-aanval afvangen

Bij een DDos-aanval wordt in korte tijd heel veel internetverkeer naar een server gestuurd. De kans is groot dat daardoor de server onbereikbaar wordt. Dit is op verschillende manieren af te vangen. Wij gebruiken voor onze projecten vaak de diensten van Cloudflare. Cloudflare beperkt de impact van een DDos-aanval, zodat de website blijft werken.

Informatiebeveiligingsbeleid

Werk altijd samen met professionals die een informatieveiligheidsbeleid hanteren en werken volgens de OWASP top 10 vulnerabilities en attack richtlijnen om veilige codes te schrijven. Check of er coding standards worden toegepast en check het controlebeleid hiervan. Zo zijn wij ISO 27001 gecertificeerd en werken wij bijvoorbeeld volgens de OWASP top 10 en BIO richtlijnen om veilige code te schrijven. Daarnaast hanteren we een informatiebeveiligingsbeleid met bijbehorende protocollen. Met enige regelmatig wordt ons werk (door externe partijen of ethische hackers) gepentest.

Conclusie

Om terug te komen op de vraag of WordPress en verantwoorde keuze is voor overheidswebsites; wat ons betreft zeker. Het is goed dat er kritisch gekeken wordt naar de security van grote open source systemen als WordPress. Maar het onderzoek en daarmee de conclusie missen wel wat verdieping. Want WordPress is heel toegankelijk en kan breed ingezet worden. Juist die laagdrempeligheid en duurzaamheid maken WordPress interessant voor overheden en grote organisaties. Dat neemt niet weg dat het bouwen en ontwikkelen van een kwalitatief hoogwaardige én veilige website altijd vakwerk is. Los van welk CMS dan ook. 

Wij zijn van mening dat je ook als webbouwer verantwoordelijk bent om bij te dragen aan technische oplossingen en kennisdeling, om wereldwijde security problemen te voorkomen. Open source is in onze ogen geen risico, maar juist een voordeel. Doordat in de open source community zoveel mensen zich in het systeem verdiepen, het verbeteren en het van binnen en buiten kennen, worden fouten en risico’s veel eerder opgemerkt. De open source WordPress code is de basis van onze websites. Dat maakt dat wij ook de plicht hebben daaraan bij te dragen. Zo maken we samen het internet veiliger en de wereld weer wat mooier!

Vragen over de veiligheid van jouw website?

Wil je graag met ons in gesprek over de veiligheid van jouw website? Geen probleem! Neem contact met ons op en we helpen je graag.

Verder praten over WordPress?

Wij gaan graag een goed gesprek met je aan.