Recent kwam WordPress op een verkeerde manier in het nieuws. Volgens een ongenuanceerd artikel in Trouw zou het CMS onveilig en niet geschikt zijn voor gemeenten en andere overheidssites. Dit is pertinent onjuist. Het tegendeel is juist het geval. Wij vertellen waarom.
WordPress is momenteel het meest gebruikte CMS ter wereld. Ruim 35 procent van alle websites draait op dit moderne systeem. Van kranten als The New York Times tot grote ICT-adviesbedrijven (Cap Gemini) en overheidsinstanties als The White House – allen maken ze gebruik van het door Matt Mullenweg gestarte WordPress.
Vooral de flexibiliteit van het systeem wordt geroemd, precies zoals Yard al eerder verwoordde in een uitgebreid artikel op FrankWatching.
Ook in Nederland wordt WordPress door veel instanties gebruikt. Denk aan, bijvoorbeeld, politieke partij D66 en de gemeentesites van Alkmaar, Lansingerland en Hoeksche Waard. Ook veel populaire nieuwssites maken gebruik van het CMS.
Doordat het CMS zo populair is, ligt het voortdurend onder een vergrootglas. En dat is ook te begrijpen: afgelopen (corona)periode waren er nogal eens incidenten met digitale platformen. Maar dat heeft niet veel met WordPress te maken. WordPress is van zichzelf veilig, dus ook voor gemeenten, waarom: daar kom ik zo op.
Om te beginnen: Beveiligingslekken of hacks ontstaan meestal door nalatigheid. Dat klinkt wat hard, maar de praktijk leert dat heel veel hacks vooral ontstaan doordat kwaadwillenden op gewiekste wijze wachtwoorden ontfutselen of omdat een systeem draait op oude, hackbare software. Dat zijn zaken waar een CMS zelf eigenlijk weinig mee van doen heeft.
Gebruik geen oude software
Vergelijk het met pand zoals een museum of bank. Als je die casco oplevert, loop je als boef ook zo naar binnen. Het gaat om de beveiligingsmaatregelen die je neemt. Dat maakt of breekt de veiligheid van je online applicatie.
Hetzelfde geldt bij updates. Als jij je telefoon de (niet-zo) ingewikkelde code 0000 voor ontgrendeling meegeeft, dan is dat weinig verstandig. Gebruik je een vingerafdrukscanner in combinatie met een ingewikkelde code, dan is het voor iemand al gelijk een stuk lastiger om binnen te dringen.
Daarmee kom ik op een van de vreemdste kritiekpunten van het artikel in Trouw. Daar wordt gesteld: ‘De publieke inlogpagina van WordPress is een bekend beveiligingsrisico van het systeem.’
Ten eerste: een inlogpagina is geen beveiligingsrisico. Inloggen doe je overal. Daar heb je een pagina voor nodig. Het feit dat je die kunt bereiken wil niet zeggen dat je het systeem in komt. Daarmee zie je een deur. Maar je bent de deur nog niet in. Als je voor een kluis staat, ben je ook nog niet binnen.
Dat zien als een beveiligingsrisico lijkt niet helemaal logisch, dus. Dat vind niet alleen ik, maar ook een gerenommeerde techjournalist als Daniel Verlaan. Die twitterde over het stuk: Dit ‘onderzoek’ van Trouw is complete onzin: websites zijn niet eenvoudig te hacken als ze een inlogpagina tonen. Bizar dat een krant deze nonsens publiceert.’
Natuurlijk, als je op onze website een beetje klikt, dan kom je heel vaak de voordelen van WordPress tegen. We gebruiken het in veel projecten, zien het in veel gevallen als de beste oplossing voor veel verenigingen, welzijnsorganisaties en gemeentes.
Het is daarom niet gek dat wij op z’n zachtst gezegd niet blij waren met de onterechte, negatieve berichtgeving rondom WordPress. Als wij het cms verdedigen lijkt het wellicht een beetje op een Wij Van WC Eend-verhaal, maar dat is maar ten dele waar.
Als webbureau hebben wij bewust voor WordPress gekozen. Dat was een gewogen beslissing. We hebben destijds gekeken naar zaken als veiligheid, flexibiliteit en gebruiksgemak voor zowel ons, als voor de klant. Na uitvoerig onderzoek kwam WordPress het beste uit de bus. Zou bijvoorbeeld Drupal, om wat voor reden dan ook, een veiligere, meer toekomstbestendige oplossing zijn, dan zouden we daar rustig op overstappen.
Maar dat doen we niet, want WordPress is in onze optiek de beste keuze voor veel gemeentesites en overheden. Niet voor niets zijn wij partner van het Open Webconcept, een oplossing om voor gemeentes gezamenlijk een goede online dienstverlening en informatievoorziening te bouwen. Gemeenten ontwikkelen samen met experts uit het veld nieuwe, veilige applicaties.
Terug naar het stuk in Trouw. De auteur goochelt daarin verder nogal met wat cijfers. Hij stelt dat het NCSC, het National Cyber Security Centrum, sinds 2014 heeft gewaarschuwd voor 36 ernstige beveiligingsrisico’s van WordPress.
Wat die meldingen inhouden of wat de exacte problemen zijn? Dat is onduidelijk en wordt ook in het artikel nergens vertelt. Waarschijnlijk gaat het om de database van NCSC met patches. Het geeft juist aan dat een systeem actief verbeterd wordt en zegt niets over de veiligheid. Ook andere Opensource CMS systemen zoals Typo3 en Drupal staan daarin met regelmaat vermeld.
Patchen is geen pleisters plakken
Nog even over die patches. Concreet is dat het updaten van een (oude) plug-in waar eerder bijvoorbeeld wat problemen mee waren. Bij problemen kun je aan van alles denken: een plug-in werkt niet via een bepaalde browser, of doet het niet op een smartphone. Of hij koppelt niet goed met een bepaalde API. En ja, het kan ook zijn dat diezelfde plug-in mogelijk niet veilig genoeg is.
Wat het probleem ook is: je lost het op door code te herschrijven of te verbeteren. Volgens Nauta riekt dat ‘naar pleisters plakken’. Dat is een vreemde en nogal suggestieve vergelijking. Een stuk code herschrijven of verbeteren is iets heel anders dan een bloedende wond afdekken. Als iemand een fout maakt, dan probeer je dat zo goed mogelijk te herstellen of te verbeteren, dat gebeurt in ieder softwarepakket. Dat heeft wederom niet per se met WordPress te maken.
WordPress wordt veel gebruikt. Wereldwijd draaien er 450.000.000 sites (!) op dit systeem. Het lijkt nodeloos om te stellen dat het in niemands belang is dit populaire CMS te gebruiken als het niet veilig is.
Er zijn, net als bij andere content management systemen, gewoon zaken waar je op moet letten. Zaken die voor elke organisatie gelden. Dat doe je door een server dicht te timmeren, altijd je software van de laatste updates te voorzien, de juiste plug-ins te gebruiken en, belangrijk, alleen code te gebruiken die voldoet aan aan de juiste beveiligingsrichtlijnen.
En als het gaat om het beheer: zorg altijd voor 2 factorauthenticatie (2FA) of, nog beter, gebruik Single Sign On (SSO) voor toegang. En als het gaat om wachtwoorden: kies voor een passwordmanager of besluit tot een ingewikkelde wachtwoordzin, in plaats van een makkelijk te onthouden ‘welkom123’.
Blijf altijd kritisch op code, welk CMS je ook gebruikt
Bij het gebruik van plug-ins moet er zeer kritisch worden gekeken naar welke er waarom wordt gebruikt. Dat is een voortdurend proces waarbij je als beheerder kijkt naar zaken als de kwaliteit en veiligheid van de code, de betrouwbaarheid van de maker van de plug-in en de laatste updates.
Yard onderschrijft het belang van veilige systemen. Sterker nog: we hebben het onderdeel van onze bedrijfsvoering gemaakt. Zomaar een paar punten die wij toepassen wanneer wij sites bedenken, ontwikkelen en bouwen:
- We draaien een ASP (Application Security Platform) voor onze websites. Die beschermt sites tegen allerlei soorten aanvallen, onder meer DDos attacks;
- Gebruikers krijgen nooit admin-rechten in het CMS;
- Binnen het CMS is het voor beheerders niet mogelijk om plug-ins te installeren;
- We hanteren het vier ogen-principe. Bij het toevoegen van nieuwe code, zorgen we ervoor dat (minimaal) één andere developer de kwaliteit van de code beoordeeld.
- De mogelijkheid om code te wijzigen via het CMS zetten we uit.
- Het is mogelijk om de inlogomgeving van een IP-adres restrictie te voorzien
Op zoek naar een WordPress specialist om WordPress veilig in te zetten voor jouw organisatie? We helpen je graag.