WordPress is zo open source als open source kan zijn. Want het is allemaal leesbare PHP, MySQL, javascript en CSS. Dat maakt het natuurlijk ook open voor mensen die er kunstjes mee uit willen halen natuurlijk. Maar tegelijk ook open voor anderen die daar weer wat tegen kunnen doen.

Wat wél nog vaak gebeurt, als je bij een plugin of thema support koopt (allemaal niet echt duur trouwens), en je hebt wat aan de hand, dat men nog snel geneigd is om een admin én ftp toegang te vragen. Dat kan natuurlijk helemaal niet meer met de GDPR. Mijn oplossing is overigens dat ik dan even een subdomein aanmaak, met een identieke installatie, maar wel met een lege database. Je moet daar wel je domein "wildcard" voor gepoint hebben, en natuurlijk een nieuwe site kunnen aanmaken. Inj mijn geval provider ik mezelf. Ubuntu server, ISPconfig erop (allemaal graties), dus ik kan sites aanmaken zoveel als ik wil. Er zijn ook andere oplossingen. Er zijn ook handige plugins, of het kan ook gewoon met .htaccess om zo een test site weer met een password te beschermen. Zodat alleen de support mensen erbij kunnen en google niet gelijk alles gaat indexeren.

Verder zijn er al goede plugins om je security te scannen. Sucuri is er zo eentje.

Ik ben niet echt on-blij met wordpress.

Wat blijft is natuurlijk regelmatig je site controleren op rare dingen. En goeie backups bijhouden. Ik kan plugins updaten wat ik wil, en gaat er wat mis, met 1 klik in ISPconfig zet ik alles van gisteren terug. Of eergisteren. Enkel de web directory, of enkel de database, of alletwee. Als ik eens een hik heb, verlies ik meestal geen laatste records meer in de database. Daarnaast, als je alles zelf moet ontwikkelen en bijhouden, en je hebt dat een slimbo die je hackt of een achterdeurtje weet, dan kan het je erger bijten. Zolang je niet door hebt wat er precies gebeurd is.

Ja, nog even wat over de configuratie, weten velen niet,
zet a.u.b. "user enumeration" uit en "directory listing" ook op disabled
en check vervolgens op afvoerbare jQuery bibliotheken.

Kernel-software wordt regelmatig door de developers aan de tand gevoeld,
zorg wel voor de laatste versie van de thema's en de plug-ins
en voer verlaten of verouderde thema/plug-in code af.
Want van alles wat je verwerft, moet je later weer af.
Er is namelijk niets zo fnuikend voor security als excessieve info proliferatie,
weet een aanvaller op je site van de hoed en de rand, heb je zo je k*ntje gebrand.

Check hier: https://hackertarget.com/wordpress-security-scan/ voor een zogeheten "quick and dirty" of iets diepgaander als je site eigenaar bent.
Check de retirable jQuery bibliotheken voor je website hier: http://retire.insecurity.today/#
Scan ook hier: https://urlscan.io/ en hier https://observatory.mozilla.org/

Doei,

luntrus, a.k.a. de scan tijger