WordPress onderhoud
Volgens recente cijfers van Sucuri over 2019 wordt 60% van de WordPress websites gehackt als gevolg van achterstallig onderhoud. Deze cijfers zijn gebaseerd op hacks die hen onder ogen zijn gekomen. Als ik afga op hacks waarvoor wij worden ingeschakeld (inclusief hulpvragen via Just Host en Miss Hack) ligt dat percentage nog een stuk hoger.
Daarmee staat het up-to-date houden van je WordPress website bovenaan als het gaat om het beschermen van je website tegen hacks. Aangezien het onderhouden van WordPress verder gaat dan alleen op update-knoppen drukken lees je in een aantal artikelen tips & trucs om je WordPress website goed te onderhouden:
Onderhoud WordPress plugins
Onderhoud WordPress thema’s
Onderhoud WordPress database
Dode links in WordPress
Back-up!
Een open deur en toch begin ik ermee: maak regelmatig een back-up van je website, liefst naar een externe locatie. Een back-up plugin die ik zelf vaak in WordPress websites installeer is BackWPup. Met deze plugin kun je back-ups maken naar onder andere Dropbox. Heb je een grote site of een goed lopende webshop en belang bij een realtime (doorlopende) back-up met restore-functie: kijk dan eens naar VaultPress.
Plugins
Uitleg over versies
Aan de hand van een voorbeeld, zie screenshot hieronder: elke plugin heeft een versienummer. In het voorbeeld zou bij de update de versie opgehoogd worden van 3.3.4 naar 3.4. Die update is qua omvang gemiddeld. Zou de versie van 3.3.4 naar 4.0 gaan dan gaat het om een grote/omvangrijke update, een update van 3.3.4 naar 3.3.5 zou een kleine zijn geweest. Kleine updates zijn vaak bug fixes, in grotere updates zitten nieuwe / aangepaste functies. Bij grotere updates is het belangrijk om alert te zijn op veranderingen in je website nadat je de updates hebt gedaan.
Verwijder inactieve plugins
Verwijder plugins die je niet gebruikt.
Op zich kan het niet veel kwaad om ze te laten staan, maar je loopt het risico dat inactieve plugins aan de aandacht ontsnappen: niet alle plugins worden door de ontwikkelaar doorontwikkeld. Als een ontwikkelaar stopt met de ontwikkeling van zo’n plugin veroudert deze zonder dat je daar erg in hebt, met alle risico’s van dien. En al zou de plugin wel regelmatig updates hebben: een plugin steeds updaten terwijl je die niet gebruikt is zonde van je tijd.
Gratis plugins bijwerken
Gratis plugins die je hebt geïnstalleerd vanuit je WordPress dashboard geven melding van een update. Voordat je blind klikt op ‘nu bijwerken/update now’, klik eerst op ‘details van [versie] bekijken’. Er verschijnt een pop-up met de changelog van de betreffende plugin. In een changelog worden (als het goed is) bijzonderheden gemeld over de nieuwe versie. Een voorbeeld:
Details van versie 6.3.14:
Deze changelog laat niets te raden over: ‘High priority’ en in de omschrijving ‘Many security patches’. Oftewel: update ASAP. Informatie over de minder veilige oude versie staat online, en is dus zichtbaar voor iedereen. Ik hoef je niet te vertellen dat hackers met deze informatie gericht kunnen gaan zoeken naar websites die deze plugin gebruiken.
Controleer je plugins minimaal eens per week op updates.
Op de hoogte blijven van gevonden kwetsbaarheden in plugins? Volg MissHack op Twitter of Facebook. Op deze accounts worden meldingen van kwetsbaarheden geplaatst zodra ze bekend zijn. Doe er je voordeel mee.
Premium plugins bijwerken
Om premium (betaalde) plugins te updaten zijn extra handelingen nodig. In veel gevallen wordt een licentiesleutel verstrekt die je in je WordPress dashboard kunt koppelen aan de plugin. Doorgaans werkt de plugin pas naar behoren als deze licentie is ingevoerd. Voorbeelden van veel gebruikte premium plugins die werken met een licentiesleutel zijn Gravity Forms en plugins van WooCommerce.
Heb je één of meer plugins aangeschaft via ThemeForest/Envato? Installeer dan ook de Envato Market Plugin. Na het installeren van deze plugin wordt gevraagd om je logingegevens van Envato in te voeren waarna updates van Envato onderdelen (plugins/thema) meelopen in de standaard update routine.
Ook interessant?
ThemeForest WordPress thema updaten
ThemeForest WordPress thema updaten Bij gebruik van een thema van een externe partij, zoals een ThemeForest WordPress thema, zie je vaak niet in je WordPress dashboard of er […]
Plugins monitoren
Een bijgewerkte set plugins zegt niks over de ‘gezondheid’ van je plugins. Regelmatig kom ik websites tegen waarin plugins actief staan die al langere tijd geen update meer hebben gehad. Dat kan betekenen dat de plugin niet meer wordt doorontwikkeld. Dat kan beveiligingsrisico’s met zich meebrengen en bovendien problemen geven in je website als de plugin op een goed moment niet meer goed blijkt te werken in nieuwere WordPress versies.
Een voorbeeld:
Deze plugin is 6 (!) jaar geleden voor het laatst bijgewerkt. Hoogste tijd om die te vervangen door een andere plugin met dezelfde functie. Dit is een plugin waarmee je een formulier kunt bouwen, beter is een plugin als Contact Form 7 (gratis) of Gravity Forms (betaald).
Vervang plugins die twee jaar of langer niet meer zijn bijgewerkt door de ontwikkelaar. Check de details van alle plugins enkele keren per jaar op dit gegeven.
Plugins in thema’s
Met name bij ThemeForest thema’s komt het vaak voor dat plugins meegeleverd worden met het aangeschafte thema. Bekende voorbeelden van dergelijke plugins zijn Revolution Slider en Visual Composer. Dat lijkt handig maar dat is het niet: je bent voor de updates van deze betaalde plugins afhankelijk van de thema-ontwikkelaar. Als het thema niet regelmatig wordt geüpdatet wil dat ook zeggen dat je plugin-versies structureel achterlopen.
In 2014 gaf dit grote problemen bij thema’s met Revolution Slider: er werd een beveiligingsprobleem in de plugin ontdekt en het heeft lang geduurd voor alle thema’s met deze plugin voorzien waren van de nieuwe, veilige Revolution Slider versie.
Houd plugins die zijn meegekomen met je thema in de gaten. En wil je het zekere voor het onzekere: schaf de plugin-licenties zelf aan. Revolution Slider kost op dit moment 19 dollar, Visual Composer 34 dollar. Voor die luttele bedragen wil je toch geen risico lopen.
Onderhoud uitbesteden
Heb je geen tijd om je updates bij te houden of zie je het niet zitten om updates zelf te doen? Maak gebruik van een WordPress onderhoudscontract. Voor een vast bedrag per maand geen omkijken naar backups en updates.
