Je hebt een mooie website. Hij staat online, klanten kunnen je vinden, alles werkt. En tot nu toe is er nooit iets misgegaan. Dus waarom zou je je daar nu ineens zorgen om maken? Dat begrijp ik. Maar laat me je uitleggen waarom het antwoord op die vraag de afgelopen tijd heel snel is veranderd.
Een paar jaar geleden richtten hackers zich vooral op grote bedrijven: banken, overheden, multinationals. Voor een kleine ondernemer met een WordPress-site was het risico relatief beperkt. Niet omdat je goed beveiligd was, maar simpelweg omdat je niet interessant genoeg was om handmatig aan te vallen. Die tijd is voorbij. Aanvallen zijn nu volledig geautomatiseerd. Bots scannen 24 uur per dag, 7 dagen per week het hele internet op kwetsbare websites, en het maakt ze niet uit of jij een bloemist bent, een fotograaf, een bouwbedrijf of een webshop. Ze zoeken niet naar wie je bent, maar naar wat je draait. En als jouw website op een verouderd systeem of een kwetsbare plugin draait, sta jij op de lijst.
WordPress is het populairste CMS ter wereld, en dat maakt het ook het populairste doelwit. Het overgrote deel van de succesvolle aanvallen gaat niet via WordPress zelf, maar via de plugins die erop draaien. Contactformulieren, SEO-tools, boekingssystemen: elk van die plugins is een potentiële ingang als hij niet up-to-date is. Het probleem? Updates verschijnen niet altijd op het juiste moment. Soms wordt een kwetsbaarheid al actief misbruikt voordat er een patch beschikbaar is. In dat gat zijn sites kwetsbaar, zonder dat de eigenaar er ook maar iets van weet. De meesten van mijn klanten, misschien jij ook, laat de updates van de website door mij bijhouden. Dat betekent dat ik elke update binnen 24 uur uitvoer. Bovendien controleer ik op PHP-issues, thema-updates en WordPress core updates als die uitkomen. Dit onderhoud dekt al een heel groot deel van het risico op hacks af, maar het is nog niet voldoende. Daarom werk ik met SolidWP en Patchstack. SolidWP is een extra beveiligingslaag en Patchstack monitort actief bekende beveiligingslekken in WordPress-plugins en dicht die virtueel, zelfs als er nog geen officiële update is.
Kunstmatige intelligentie heeft de drempel voor cybercriminelen dramatisch verlaagd. Aanvallen die vroeger diepgaande technische kennis vereisten, kunnen nu met relatief weinig moeite worden opgezet. Meer aanvallers, meer pogingen, meer schade, ook voor kleinere websites.
Heb je een contactformulier op je site? Dan sla je persoonsgegevens op. Een nieuwsbrief? Idem. Een webshop? Dan komen daar ook bestellingen en klantgegevens bij. Als jouw website gehackt wordt en die gegevens lekken, ben je als verwerkingsverantwoordelijke verplicht dat te melden bij de Autoriteit Persoonsgegevens. Dat is niet alleen tijdrovend en stressvol, het kan ook leiden tot een boete en reputatieschade. De AVG maakt geen uitzondering voor kleine bedrijven. Beveiliging is daarmee geen technische luxe meer. Het is een wettelijke verantwoordelijkheid.
Goede hosting is een solide fundament. De meesten van jullie zitten bij Xel in Utrecht, dat hosting van goede kwaliteit biedt. Maar hosting-beveiliging werkt op serverniveau: het beschermt de infrastructuur waarop je site draait. Het beschermt niet tegen aanvallen die binnenkomen via WordPress zelf, via een kwetsbare plugin, via een brute force-aanval op je inlogpagina, of via kwaadaardige code die via een formulier wordt ingevoerd. Dat is een andere laag. En die laag ontbreekt bij de meeste sites. SolidWP voegt precies die laag toe: beveiliging op WordPress-niveau, specifiek gebouwd voor hoe WordPress-aanvallen in de praktijk werken.
"Maar, zo'n vaart zal het toch niet lopen?" hoor ik vaak. En ik begrijp die redenering. Maar dit is hetzelfde als zeggen dat je geen verzekering nodig hebt omdat je huis nog nooit in de fik heeft gestaan. Wat kost een website-hack je in de praktijk? Schoonmaken en herstellen: tussen de €300 en €1.500 of meer, afhankelijk van de schade. Downtime: uren of dagen zonder bereikbare website, geen nieuwe klanten, geen boekingen of bestellingen. Google-blacklist: als Google malware detecteert op je site, wordt hij uit de zoekresultaten gehaald. Verwijdering van die blacklist kan weken duren. Reputatieschade: klanten die een foutmelding of waarschuwing zien, komen niet snel terug. AVG-meldplicht: juridisch en administratief gedoe dat je er gewoon niet bij wilt hebben. De jaarlijkse kosten van een goede beveiligingsoplossing vallen daar volledig bij in het niet.
SolidWP is een beveiligingslaag voor WordPress die ik voor mijn klanten installeer en beheer. Kort samengevat doet het dit: Firewall en aanvalsdetectie - verdachte bezoekers en bots worden tegengehouden voordat ze schade kunnen aanrichten Patchstack-integratie - virtuele patches voor kwetsbare plugins, ook als er nog geen officiële update is Brute force-bescherming - herhaalde inlogpogingen worden automatisch geblokkeerd Monitoring - je krijgt een melding als er iets verdachts gebeurt op je site Back-up en herstel - mocht er ondanks alles iets misgaan, dan kun je snel terug naar een schone versie
Als ik websites bouw voor mijn klanten, dan doe ik dat met zorg en met goede en betrouwbare tools. En een website afleveren zonder beveiligingslaag is steeds meer als een huis bouwen zonder slot op de deur. Wil je weten of jouw website goed beveiligd is, of wil je SolidWP laten installeren? Neem gerust contact met me op. Dan kijk ik samen met je naar de situatie en geef ik je eerlijk advies. Want voorkomen is altijd goedkoper dan herstellen.
Je hoort snel van mij!
Groetjes,
Eline
