Uitgeschakelde plugins: stille beveiligingsrisico’s op je website

Bij het onderhouden van een WordPress website gaat het om meer dan alleen het regelmatig bijwerken van je actieve plugins. Een vaak over het hoofd gezien aspect, dat toch aanzienlijke beveiligingsrisico’s kan opleveren, is de aanwezigheid van uitgeschakelde plugins op je site. Hoewel deze plugins op het eerste gezicht onschuldig lijken – tenslotte zijn ze niet actief – schuilt er onder de oppervlakte een potentieel gevaar. In deze blog duiken we dieper in het waarom uitgeschakelde plugins niet zo onschuldig zijn als ze lijken, welke risico’s ze met zich meebrengen en hoe je jouw WordPress site veiliger kunt maken door bewust om te gaan met deze uitgeschakelde elementen. Met een heldere blik op de feiten en de juiste maatregelen, kun je voorkomen dat jouw website een makkelijk doelwit wordt voor kwaadwillenden.

Uitgeschakeld, maar niet verdwenen

Ook al zijn plugins uitgeschakeld en niet zichtbaar in werking op je site, hun bestanden en code bevinden zich nog steeds op de server. Dit betekent dat de code onder bepaalde omstandigheden nog steeds kan worden aangeroepen of uitgebuit. Dit hoeft niet direct een probleem te zijn; als de plugin geen kwetsbaarheden heeft en er maatregelen zijn genomen door de plugin ontwikkelaar om dit te voorkomen, is er niets aan de hand. Maar zoals je wellicht regelmatig in de media voorbij ziet komen, zijn lang niet alle plugins vrij van veiligheidsrisico’s. Als er eenmaal een lek gevonden wordt in een veelgebruikte plugin kunnen hackers hun slag slaan.

Verwaarlozing van updates

Een ander significant risico van uitgeschakelde plugins is het gebrek aan updates. Terwijl actieve plugins vaak worden gecontroleerd op updates en automatisch bijgewerkt (of handmatig door de beheerder), worden uitgeschakelde plugins gemakkelijk over het hoofd gezien. Hoewel de plugin ten tijde van het uitschakelen misschien geen ontdekte beveiligingslekken had, kunnen deze later natuurlijk alsnog ontdekt worden. Het probleem wordt versterkt als de plugins afkomstig zijn van bronnen buiten de officiële WordPress Plugin Directory, waar updates meestal alleen worden gedetecteerd als de plugin geactiveerd is. Dit zijn vaak commerciële plugins of plugins van zogenaamde nulled-websites die commerciële plugins voor de fractie van de prijs aanbieden.

Scammers en hackers aan het werk

Het is een bekende werkwijze onder scammers en hackers om websites te scannen op zoek naar bekende kwetsbaarheden in plugins. Omdat de mappenstructuur van WordPress websites een standaard gebruikt zijn de paden naar de kwetsbare plugins niet moeilijk te vinden. Dit geldt ook voor WordPress sites die gemaakt zijn met Bedrock, WPStarter, WordPlate en andere frameworks. Het maakt daarbij niet uit of deze plugins actief zijn of niet. Zodra een kwetsbare plugin is geïdentificeerd, kunnen zij deze exploiteren om (potentieel) toegang te verkrijgen tot de website. Dit kan leiden tot een reeks van problemen, van het stelen van gevoelige informatie tot het verspreiden van malware en het uitvoeren van phishing-aanvallen. Het bestaan van uitgeschakelde, maar kwetsbare plugins biedt dus een onnodig risico.

Het belang van bewustzijn en actie

Het is duidelijk dat de aanwezigheid van uitgeschakelde plugins op je WordPress site meer aandacht vereist dan vaak wordt aangenomen. De risico’s die ze met zich meebrengen, zijn niet te min en vereisen een proactieve benadering om je website veilig te houden. Dit betekent niet alleen het regelmatig bijwerken van actieve plugins, maar ook het bekijken van de noodzaak van uitgeschakelde plugins. Als ze niet langer nodig zijn, is het veiligste om deze te verwijderen. Dit minimaliseert de kans op beveiligingslekken en zorgt ervoor dat je website een minder aantrekkelijk doelwit is voor kwaadwillenden.

Moeten we dan alle uitgeschakelde plugins altijd verwijderen?

De soep wordt natuurlijk nooit zo heet gegeten als hij geserveerd wordt, en ook hier is dat het geval. Een uitgeschakelde plugin is alleen een veiligheidsrisico als deze kwetsbare of onveilige code bevat die geëxploiteerd kan worden. Er zijn veel plugin ontwikkelaars die veiligheid hoog in het vaandel hebben staan, al sluit dat natuurlijk niets uit; ook daar kunnen risico’s optreden.

Een verstandige strategie om de veiligheid van je WordPress website te verhogen, is het regelmatig opruimen van je plugins. Dit houdt in dat je kritisch kijkt naar elke plugin die je hebt geïnstalleerd en beoordeelt of deze nog steeds nodig is voor de functionaliteit van je site. Installeren en verwijderen van plugins is geen complexe taak in WordPress. Een plugin opnieuw installeren als je er later achter komt dat je hem toch nodig hebt, is zo gedaan. Dit maakt het een relatief risicovrije beslissing om een plugin te verwijderen als je twijfelt over zijn veiligheid of nut. Het verwijderen van niet-essentiële of uitgeschakelde plugins minimaliseert niet alleen de kans op beveiligingslekken maar draagt ook bij aan een schonere, snellere en efficiëntere website.

Wanneer zou je eeen plugin uitgeschakeld houden?

Als een plugin goed is ontwikkeld, dan worden de instellingen van de plugin ook verwijderd als je de plugin verwijderd. In specifieke scenario’s is het dus wel mogelijk dat je een plugin geïnstalleerd houdt, maar toch geactiveerd. Stel je voor dat je een e-commerce website hebt die 2 of 3 keer per jaar een speciale promotie houdt waarbij je een gratis product bij een bestelling geeft. Op het moment dat je de promotie niet houdt wil je niet dat deze plugin geladen wordt, dat zou de website onnodig vertragen omdat deze wel bij ieder bezoek geladen wordt. Je deactiveert de plugin dus als je deze niet gebruikt, maar verwijderd deze niet omdat je hem over een maand of twee weer nodig hebt met dezelfde instellingen. Dit is echter wel een uitzondering en natuurlijk zorg je er voor dat alle updates in de tussentijd geïnstalleerd worden, toch?