Opgepast voor "gratis" commerciële WordPress plug-ins
Eén van de grote voordelen van het WordPress contentmanagementsysteem is de enorme hoeveelheid beschikbare plugins — ruim dertigduizend op dit moment — waarmee je allerlei denkbare functionaliteiten aan het systeem (en je website) kunt toevoegen. Het overgrote deel van deze plugins is gratis te downloaden, maar voor een aantal, vaak meer geavanceerde downloads, moet betaald worden.
Zoals met alle software gebeurt, duiken van populaire commerciële plugins vaak al snel gratis downloads op. In sommige plugins worden de nodige aanpassingen gemaakt waardoor ze zonder aankoop te gebruiken zijn, waar dat bij anderen niet eens nodig zal zijn.
Deze "gekraakte" of gekopiëerde plugins komen niet terecht in de officiële database op wordpress.org, maar worden vaak via andere kanalen verspreid, zoals torrents en nieuwsgroepen, maar er zijn ook (populaire) websites gebouwd voor de verspreiding van dergelijke plugins.
Buiten het feit dat het in sommige landen illegaal is, en de ontwikkelaar niet financieel gestimuleerd wordt, brengt het gebruik van dergelijke plugins voor de gebruiker potentieel ook gevaren met zich mee.
Buiten de gebaande paden treden
Waar de officiële Plugin Directory strenge eisen stelt aan ingestuurde plugins — die overigens nog steeds geen veiligheid kunnen garanderen — kunnen plugins die via andere kanalen worden aangeboden, allerlei aanpassingen bevatten die een WordPress-installatie kunnen schaden.
IT-beveiligingsbedrijf Sucuri deed onderzoek naar enkele gehackte WordPress-websites, en kwam daarbij kwaadaardige kopieën van commerciële plugins tegen. Een illegale kopie van een plugin waarmee websites voor zoekmachines geoptimaliseerd kunnen worden, bevatte bijvoorbeeld een toegevoegd stukje programmeercode dat automatisch en ongemerkt een nieuwe WordPress-gebruiker met volledige administratierechten aanmaakt, en kwaadwillenden derhalve toegang tot het systeem kon geven.
Een aanpassing in een andere "gratis" plugin zorgde ervoor dat één op de twintig niet-ingelogde bezoekers aan de betreffende website een paginagrote advertentie voorgeschoteld kregen, die vervolgens moeilijk te sluiten was. Omdat de eigenaar van het systeem doorgaans ingelogd zal zijn, en de kans anders slechts 1/20 is dat een advertentie vertoond wordt, zal hij of zij dit niet snel doorhebben.
Veilig plugins downloaden en gebruiken
Zoals van het WordPress-systeem — evenals alle andere cms-en — niet gezegd kan worden dat het volledig waterdicht is, geldt dat ook voor de meeste plugins, zowel gratis als commercieel. Het opvolgen van onderstaande tips kan de kans op een gecompromitteerd systeem echter aanzienlijk verkleinen.
1. Download alleen via de Plugin Directory of de website van de ontwikkelaar
De meeste gratis plugins vind je terug in de officiƫle Plugin Directory op WordPress.org. Wie hier een plugin in wil laten opnemen, moet ervoor zorgen dat deze voldoet aan de richtlijnen, die bijvoorbeeld verbieden dat plugins ongewenste advertenties vertonen of gegevens verzamelen zonder toestemming van de gebruiker.
Dat maakt het nog geen veilige haven, maar het is wel de plek waar het grootste deel van de WordPress-gemeenschap samenkomt, en waar daarom ook de meeste controle plaatsvindt. Ook kun je er eenvoudig zien welke plugins veel gebruikt worden, en of de ontwikkelaar deze nog actief ondersteunt.
Commerciële plugins worden vaak aangeboden via de officiële website van de ontwikkelaar, die in de regel ook de betaling afhandelt, en waar je eventueel ondersteuning kunt krijgen. Omdat zij financieel baat hebben bij tevreden gebruikers, is het doorgaans veilig om hier plugins te downloaden.
Websites die verzamelingen van plugins aanbieden, in de vorm van directe downloads of links naar file sharing websites, kun je beter mijden. Virusscanners zullen malafide WordPress-plugins niet detecteren.
2. Probeer commerciële plugins niet gratis te verkrijgen
Iedereen bespaart graag geld, en een gratis aanbieding van een commerciƫle plugin kan dan ook aanlokkelijk zijn. Houd echter rekening met de risico's: ten eerste kan er met de plugins geknoeid zijn, waardoor je je website mogelijk openstelt voor kwaadwillenden, en ten tweede hoef je niet op updates te rekenen.
Wanneer er bijvoorbeeld een (beveiligings)probleem in de plugin wordt ontdekt, zul je vatbaar blijven tot je via dezelfde illegale kanalen een update vindt, je toch het origineel koopt, of tot je de plugin verwijdert.
3. Update WordPress en alle plugins regelmatig
Of je nu wel of niet gebruikt maakt van plugins, het verdient de aanbeveling om je WordPress-installatie altijd zoveel mogelijk up-to-date te houden. Zowel in het cms zelf als in geïnstalleerde plugins en thema's kunnen zo af en toe nu eenmaal beveiligings- of andere problemen ontdekt worden.
Door met de nieuwste versies te werken, kun je niet alleen profiteren van alle aangebrachte verbeteringen, maar wordt de kans op misbruik van je website ook zoveel mogelijk verkleind.
4. Verwijder ongebruikte plugins
Ongebruikte plugins voegen niets toe aan je WordPress-website, maar moeten niettemin up-to-date gehouden worden zolang ze geïnstalleerd zijn. Dat is zonde van je tijd. Bovendien is het zo, dat hoe meer complexiteit je aan WordPress toevoegt, hoe langzamer het systeem wordt.
Elk cms heeft zo haar voor- en nadelen. WordPress is met recht populair, maar trekt als gevolg daarvan ook veel kwaadwillenden die van die populariteit misbruik willen maken. Wil je eens een ander cms proberen, bekijk dan het overzicht van 50 alternatieven voor WordPress, Joomla en Drupal.
Reacties
Er zijn nog geen reacties geplaatst.
Op dit weblog schrijven we regelmatig over nieuws en trends rondom (web)hosting, website-ontwikkeling en technologie.
- Juni 2014 (2)
- Mei 2014 (8)
- April 2014 (8)
- Maart 2014 (14)
We verwelkomen bijdragen van gast-auteurs. Heb je een voorstel? Neem dan vrijblijvend contact met ons op.