Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden

WordPress plugin veilig

Zelfs de meest simpele WordPress websites hebben plugins nodig. En plugins zijn geweldig. Wanneer ze goed gecodeerd zijn en regelmatig geüpdatet worden, kun je er heel veel mee doen. Maar helaas is niet elke WordPress plugin veilig. Soms kom je een WordPress plugin tegen die je website kwetsbaar maakt, je site ‘kapot’ maakt of plugin conflicten veroorzaakt. In dit artikel bespreken we 15 waarschuwingssignalen die je kunnen vertellen of een WordPress plugin veilig is, of dat je met een onbetrouwbare extensie te maken hebt

Is een WordPress plugin veilig? 15 waarschuwingssignalen

#1. De website is onbekend of ziet er verdacht uit

Laten we beginnen met waar je je WordPress plugins vandaan haalt. Als het een onbekende website is waarbij er geen mogelijkheid is om met de ontwikkelaars in contact te komen, dan moeten er al alarmbellen gaan rinkelen. We raden aan om je plugins altijd bij betrouwbare bronnen te zoeken, zoals:

Hosting en Webhosting bij Combell

Als je daar begint, dan reduceer je de kans dat je met een onveilige WordPress plugin te maken krijgt aanzienlijk.

#2. De plugin ontwikkelaar heeft een slechte reputatie

Kijk naar de reputatie van de plugin ontwikkelaar. Je hoeft niet te weten waar hij woont of wat voor opleiding hij heeft gedaan, maar er zijn wel een aantal dingen om op te letten.

Heeft de maker een geschiedenis als plugin ontwikkelaar? Zo niet, dan kun je te maken hebben met iemand die een plugin heeft gekocht om deze te gebruiken als middel om verdachte code in websites te injecteren.

Wat voor resultaten krijg je als je googelt op zijn naam? Als je geen resultaten krijgt, zelfs geen eigen WordPress website, dan is dat verdacht.

Dat is ook het mooie van CodeCanyon; op basis van sales, prestaties en beoordelingen worden er statussen en awards verstrekt aan plugin auteurs.

#3. De plugin wordt als onveilig beschouwd

Kijk behalve naar de reputatie van de ontwikkelaar ook naar de reputatie van de plugin zelf. Het kan natuurlijk gebeuren dat een ontwikkelaar goede intenties heeft, maar onbewust iets heeft gedaan waardoor de plugin conflicten veroorzaakt. Doe een snelle Google search en kijk of je woorden als “onveilig”, “gehackt” of “kwetsbaarheid” in de zoekresultaten tegenkomt.

#4. De code ziet er verdacht uit

Dit is misschien niet zo makkelijk te verifiëren, omdat niet iedereen weet hoe je een plugin dient te coderen. Maar als je een beetje weet hoe de bestandsstructuur en richtlijnen eruitzien, kun je wel het een en ander controleren. Je kunt de WordPress Codex handleiding voor het schrijven van een plugin als referentie gebruiken.

#5. De plugin bestaat al lang maar heeft erg weinig downloads

Op WordPress.org zie je bij elke plugin het aantal actieve installaties. Dat is handig, want zo weet je niet alleen hoeveel mensen de plugin hebben gedownload en later weer verwijderd hebben, maar hoeveel websites op dit moment van de plugin gebruik maken. Dat is een goede indicatie van de betrouwbaarheid, en of de WordPress plugin veilig is. Op plugin marktplaatsen zie je vaak alleen het aantal sales. Over het algemeen zou ik aanraden om WordPress plugins met minder dan 1.000 downloads te vermijden. Dat is echter niet altijd mogelijk omdat het soms gaat om features die (nog) niet veel gebruikt worden, of omdat de plugin net pas gepubliceerd is.

#6. De plugin is niet compatibel met de laatste WordPress versie

Het wordt sterk aangeraden om altijd de meest recente WordPress versie te draaien. Dus als je op zoek gaat naar een plugin, moet die wel compatibel zijn met die versie (en getest!). Is dat niet het geval, zoek dan gewoon verder.

#7. De plugin wordt niet frequent geupdatet

Plugins moeten geregeld geüpdatet worden om te zorgen dat ze compatibel zijn met de meest recente WordPress versie. Sommige plugins zijn echter zo eenvoudig dat ze niet hoeven worden aangepast bij een nieuwe core update. Dat gezegd doe je er goed aan om alle plugins die langer dan een jaar niet geüpdatet zijn te vermijden.

#8. De recensies zijn niet geweldig

Plugins worden door gebruikers beoordeeld, dus dat is een goede indicatie van hoe betrouwbaar de plugin is. Kijk ook naar de recensies. En naar de datums waarop die zijn achtergelaten. Een middelmatige beoordeling kan ook ontstaan zijn door een slechte start. Mogelijk is een plugin na een aantal updates wél de download waardig, en zijn de recente recensies alleen positief. In zo’n geval kan een wat mindere beoordeling je vertellen dat er hard is gewerkt om de plugin te verbeteren.

#9. Er is niet of nauwelijks support

Kijk naar hoe snel de ontwikkelaar doorgaans op support verzoeken reageert. Lees eventuele antwoorden van ontwikkelaars op vragen van gebruikers door, om te bekijken of ze nuttig zijn. Kijk ook naar de data van die antwoorden. Als de ontwikkelaar de afgelopen 3 maanden geen reacties heeft beantwoord, is dat geen goed teken.

#10. Er is geen documentatie beschikbaar

Sommige plugins zijn van die ‘installeer en vergeet’ plugins, zoals Akismet. Maar er zitten ook plugins bij die wel degelijk documentatie vereisen om ze werkend te krijgen. Als dat niet beschikbaar is, kun je de plugin beter niet downloaden. Ook al is de WordPress plugin veilig.

#11. De plugin heeft een negatieve impact op de prestaties van je site

Performance is heel belangrijk, dus je moet bewuste keuzes maken met betrekking tot de plugins die je installeert. Er zijn namelijk plugins die een negatieve impact hebben op de snelheid van je website. Let dus ook goed op de bestandsgrootte.

#12. De plugin veroorzaakt conflicten met andere plugins

Soms is een WordPress plugin veilig in de zin dat er geen kwetsbaarheden in zitten. Maar zelfs dan kan een plugin met andere plugins conflicteren. Soms conflicteren ze met een thema of met de WordPress core zelf. Check dus goed of de reacties iets zeggen over bekende conflicten. Soms kost het wat tijd om het uit te zoeken, maar het is altijd beter dan een kapotte website moeten herstellen.

#13. De WPScan website zegt dat er een probleem is

De WPScan Vulnerability Database houdt een log bij van alle bekende kwetsbaarheden (met corresponderende data) van WordPress plugins. Gebruik de zoekfunctie om de specifieke plugin te vinden die je wil gebruiken en kijk of er iets vermeld wordt over kwetsbaarheden.

#14. Je webhost staat gebruik van de plugin niet toe

Veel webhosts houden een lijst bij van plugins die ze niet toestaan. Meestal gaat het om plugins die overlappen met de functionaliteit die zij aanbieden (zoals caching plugins of backup plugins), maar er zijn ook webhosts die plugins verbieden als er sprake is van security problemen.

#15. WP Checkup geeft een indicatie dat de plugin onveilig is

WP Checkup is een handige tool die je kan vertellen of er iets mis is met een van de plugins op je website. Draai de test voordat je de plugin installeert, zodat de tool een basis heeft om mee te vergelijken. Als er na installatie van de plugin nieuwe waarschuwingen bij komen, weet je dat de plugin die je hebt geïnstalleerd de oorzaak is. Verwijder de plugin en alle bijbehorende bestanden en kijk niet meer om.

 

Lees ook: Kun je teveel WordPress plugins hebben?

Korting op WordPress handleiding

Geef een reactie