Is Wordpress wel een veilig systeem te noemen?

Je leest zo vaak op internet dat er sites van Wordpress gehackt zijn?

Dan vraag ik mij af is het wel veilig?

Definieer veilig. Als veiling iets is wat niet gehackt kan worden, dan is geen enkel systeem veilig. Ik denk dat WP an sich wel redelijk veilig is, maar dat de gebruikers er niet altijd even handig mee omgaan.

Hacks komen vaak toch doordat mensen plugins niet updaten, erg zwakke wachtwoorden gebruiken, etc.

Er zijn een paar grote nadelen aan WordPress wat ervoor zorgen dat het gewoon niet veilig is. (De core is redelijk maar ja, daar alleen heb je niks aan)

- Wordpress bedient een grote markt waardoor het eenvoudig is voor hackers om een leuke database bij te houden van domein/versie combinaties. Zodra er een bug bekent wordt, weten ze precies waar ze moeten zijn om die te exploiteren. Kun je in Amsterdam nog wel eens vergeten om je duur op slot te doen zonder dat de tent leeggehaald wordt, bij WordPress moet je direct actie ondernemen omdat je meestal maar max 24 uur hebt voordat iemand langs is geweest. Ben je dan toevallig zo'n droeftoeter die klikkerdeklik zijn website met 30 plugins heeft geknutseld en er verder niet naar omkijkt, dan ben je gewoon het haasje.

- Je hebt bij WP erg veel html / php door elkaar lopen. Dat is een 'techniek' van 20 jaar geleden en door amateurs verzonnen. Eigenlijk moet een website/applicatie minimaal met een 3-lagen model zijn opgezet waarbij database, businesslogica en design van elkaar gescheiden zijn. In het 'design' mapje mag eigenlijk geen regel php voorkomen. Als wp ook een beetje professioneel was opgezet, zou je dus nooit gezeik hebben met een template of theme.

- Elke mongool maakt een plugin en deze worden door mensen gebruikt puur op basis van het 'verkooppraatje' in de plugin beschrijving. 99% zal niet kijken naar de opzet van een plugin maar hooguit kijken of ie doet wat ie moet doen, of die plugin nu door een blinde aap is gemaakt of niet.

En zo zijn er nog wel een paar dingen. :)

Dank voor de reacties tot nu toe.

Reden dat ik het vraag is het volgende:

Mijn vader van 80 heeft een volledige html website wat min of meer zijn levenswerk is.

Die html website is uiteraard uit de tijd tegenwoordig, maar de opzet stamt uit 2003 zo'n beetje.

Mijn vader wil graag uitgebreidere zoek mogelijkheden hebben op zijn website en heeft geen zin meer om alles drie keer te moeten doen.

Zet eerst alles in Dbase 5.5 (ja weet het, heel erg oud), dan wordt het geëxporteerd naar Exel, en dan weer eens geïmporteerd naar Frontpage en dan wordt het online gezet. Allemaal heel omslachtig dus.

Een kleinzoon van mijn vader (neef van mij) is nogal handig met Wordpress en maakt veel websites hierin. Mijn vader had hem dus gevraagd of hij de website om kon zetten naar Wordpress systeem. Kleinzoon/ neef heeft het van de week geprobeerd met 1 onderdeel van de website en uiteindelijk is het gelukt. Nu gaat hij dus alle onderdelen omzetten.

Maar waar ik zo bang voor ben voor mijn vader is dat hij een keer zijn gehele website kwijt raakt door een hack.

Wat zouden jullie mijn vader adviseren in dit geval?

Gewoon doorgaan op oude manier of toch de boel om laten zetten in Wordpress zodat invoer proces voor hem veel makkelijker gaat. Hij is licht dementerend, dingen onthouden gaat moeilijk bij hem, kan moeilijk omgaan met veranderingen.

Overstap van XP naar Windows 7 heeft hem zeer veel moeite gekost om aan te wennen als voorbeeld. Hij is nu ook al bang voor de veranderingen van Windows 10 zit hij niet op te wachten meer op zijn leeftijd.

@gast10494: ik zou dan gewoon alles bij het oude laten. Als hij daarmee uit de voeten kan, waarom dan overstappen naar WP? Je geeft zelf ook aan dat hij moeilijk omgaat met veranderingen en dingen lastig onthoudt. Uitleg geven over WP, terwijl hij daar nooit mee heeft gewerkt... Ik zou er allemaal niet aan beginnen eigenlijk.

Hey gast10494,

Wat ik in dit punt het meest doorslaggevend vind is de toestand van je vader. Als hij niet met Wordpress overweg kan (omdat dat een verandering is) dan moet hij het gewoon niet doen.

Waar jij bang voor bent, het kwijtraken van de website na een hack is makkelijk te voorkomen: Elke dag een back-up maken.
Dat moet je sowieso doen want stel zijn huidige website wordt niet gehackt maar zijn computer of server ontploft... Dan moet je een back-up hebben die je terug kan zetten.

Of hij over moet stappen kun jij het beste bepalen. Kan hij de verandering aan, ja of nee....

Wel +1 dat iemand die nog zwart-wit tv met 2 zenders (en ww2) heeft meegemaakt, überhaupt met een website bezig is en zich ook nog bedenkt over verbeteringen :)

Mijn vader weet zo'n beetje alles over de geschiedenis van de stad Utrecht. Met name de gebouwen, bruggen, waterlopen enz. Daar heeft hij een website over, en dan ook nog over ander hobby dingen van hem. De gemeente Utrecht gebruikt zijn website zelfs als volledige naslag. Zijn info is beter als de info die de gemeente zelf tot hun beschikking hebben.

Veiligheid is iets waar ik weer aan denk.

Maar wat mijn vader op dit moment gewoon weg steeds meer moeite mee heeft is de omslachtige manier van het online zetten en hij wil graag dat de mensen gezien de giga hoeveelheid info die er op staat makkelijker kunnen zoeken.

Back-up heb ik op mijn pc staan van de huidige situatie. Die maak ik inderdaad regelmatig. Maar heb mijn vader wel gezegd dat ik van Wordpress afblijf omdat ik hier totaal geen kaas van gegeten heb en ik eerlijk gezegd ook geen zin heb om me hierin te verdiepen.

Punt van wordpress is simpel. Er zijn veel plugins en die zijn niet altijd goed geschreven. Daarnaast zijn er plugins die in themes worden ingebouwd; als voorbeeld thimthumb. Deze wordt in veel themes ingebouwd. Als voorbeeld de complexheid dat wordpress heet:

1. Theme wordt continu geupdate door de maker, dus ook thimthumb, maar de webmaster update niet altijd (even snel)
2. Theme wordt continu geupdate, maar de maker is niet bekend dat thimthumb geupdate moet worden
3. Theme wordt minder vaak geupdate, thimthumb dus al helemaal niet
4. Theme wordt niet geupdate

3 en 4 gelden natuurlijk vaak bij gratis themes, maar ook vaak bij commerciele themes die door een 1-pitter geschreven zijn.

Nog een mooi voorbeeld is de revolution slider; door een professioneel team gebouwd en deze had tot versie 4.1.4 de mogelijkheid om het configuratiebestand te lezen. In 2013 schreef ik al over de gevaren van de trend die wordpress bloot legt.

Uiteindelijk is het belangrijk dat je bewust bent van het risico en dat je je laat voorlichten door je webhoster wat je qua beveiliging kan doen (cloudlinux, eigen server etc). Regelmatig updaten, ook van de onderdelen die zichzelf niet automatisch updaten, is daarbij kritiek.

Qua eenvoud is wordpress natuurlijk super, vooral omdat er qua webbeheer geen simpelere systemen bestaan. Dus ik raad je het zeker aan voor je vader. Een alternatief is een mediabureau aanschrijven als sponsor, gezien de historische waarde (en een eventuele getuigbrief van de gemeente) denk ik zeker dat ze zo'n website technisch voor je vader willen onderhouden. Dan ligt het onderhoud ook niet bij 1 persoon.

Daniel,

Dank je voor je uitgebreidere info.

Na mijn vakantie zal ik een ander systeem eens gaan testen.

Aan welk CMS systeem zouden jullie denken voor iemand van 80 jaar ?