Derfor er WordPress (IKKE) usikkert

Del på facebook
Del på twitter
Del på linkedin
Del på email

Hjælp – du bruger WordPress som alle de andre idioter. Og nu har du fået et website som er en magnet for hackere og som med sikkerhed snart bryder sammen. Hvad gør du?

Først og fremmest tager du den med ro.

Men der er selvfølgelig en årsag til at jeg åbner med den her replik …

For hvis du bruger lidt tid i f.eks. Facebook-grupper om WordPress vil du ofte støde på udsagn som de her om WordPress’ sikkerhed:

“WordPress er det mindst sikre CMS (Content Management System)”

“WordPress bliver hacket hele tiden”

“Langt de fleste hacks sker i WordPress”

Nogle gange bakkes sådanne konklusioner op af tilsyneladende autoritære kilder som f.eks. det globale sikkerhedsfirma Sucuri, der årligt rapporterer om sikkerhed på nettet. Her er deres 2018-rapport:

https://sucuri.net/reports/2018-hacked-website-report

90 % procent af alle WordPress sites er farlige – eller er de?

I rapporten kan man ved et øjekast læse at størstedelen af alle websites de har renset for hacks og malware havde WordPress installeret.

Således har der været hacks, malware eller andre sikkerhedsbrister på 90% af alle de WordPress websites, som Sucuri har undersøgt.

(De har undersøgt omkring 18.000 sites alt i alt – også inkl. andre systemer end WordPress). Næste CMS i række er Joomla med en andenplads med omkring 13% infektioner af forskellige karakter. Det er noget af et spring!)

Så med andre ord må WordPress jo nærmest være livsfarligt for websites, ikke?

Egentlig ikke.

Det som kritikerne af WordPress ofte glemmer at fremhæve er at grunden til at så mange hacks rettes mod WordPress er at det er det mest populære CMS, som p.t. står for ca. 30 procent af verdens websites derude.

Så det giver god mening at hackerne retter deres kræfter mod WordPress og ikke mod f.eks. Joomla. Og det vil så også sige, at når der bliver skudt mere efter WordPress så vil der også, alt andet lige, være flere skud som rammer.

Læs også  3 råd til at finde vej i ThemeForest

Eller sagt på en anden måde:

Hvis der kun var 10 WordPress websites i verden og 10 med andre CMS’er, men angriberne skyder 100 gange på WordPress og 5 gange på de andre CMS’er, så er det nok også WordPress der bliver ramt flest gange.

Dette er da også Sucuri-rapportens egen konklusion:

“There were three leading CMS platforms in 2018: WordPress, Magento, and Joomla!, however, this does not imply these platforms are more or less secure than others. This data represents the most common platforms seen in our environment and reflects the overall popularity of CMS.

[min fremhævning]

WordPress er hverken mere eller mindre sikkert end andre systemer

Ingen CMS-systemer er dermed i sig selv mere eller mindre sikre end hverandre som udgangspunkt – Joomla, Drupal, osv. Ingen af disse systemer er nødvendigvis dårligere kodet eller på anden vis sat sammen end de andre CMS’er, som gør dem mere oplagte hacker-mål.

Og nu kommer vi så til den anden del af årsagen til at WordPress bliver ramt så ofte (men som også gør det klart, hvordan du kan undgå – let endda – selv at blive en del af statistikken):

Den største sikkerhedsrisiko ved WordPress er Plugins og anden tredjeparts-software der er open source. Og som dermed ikke følger med WordPress.

Sucuri skriver i rapporten:

“WordPress experienced a decline in the number of outdated vulnerable versions of WordPress at the point of infection. In 2017, 39.3% of hacked WordPress sites recorded outdated installations. In 2018, this had dropped slightly — a total of 36.7% of clean up requests for WordPress had an outdated version.

” … The primary attack vector abused when infecting WordPress are plugins with known and unknown vulnerabilities. This makes the role of third-party components more significant for this CMS.

           [min fremhævning]

Læs også  Hvorfor kører mit WordPress website ikke hurtigere?

Du er selv den største kilde til usikkerhed – ikke systemet

Fordi du ikke lige fik opdateret systemet. Eller glemte at lave dit navn123 password om. Eller downloadede den her smarte Plugin fra 2011.

Med andre ord bliver WordPress Core – altså selve WordPress-systemet sikrere og sikrere.

Men fordi der findes omkring 50.000 Plugins som er gratis at downloade, så er det igennem disse at WordPress primært bliver ramt – simpelthen fordi folk downloader usikre Plugins og/eller glemmer at opdatere dem.

Derfor er der ingen basis for en vag generalisering om at WordPress er det “mindst sikre” CMS.

Det er mere korrekt at sige at WordPress er det største mål for hackere fordi det er mest populært, og at manglende opdatering er største årsag til at WordPress bliver hacket.

Hvis den mest brugte biltype i Danmark er en Honda og hvis folk generelt kører mere uforsigtigt, så er Honda også den “mindst sikre” bil. I teorien. I praksis er det bare ikke korrekt.

Hvorfor påstår folk at WordPress er usikkert?

En god lakmus-test for værdien af enhver generel påstand om at WordPress er “det mindst sikre CMS” er at spørge sig selv om hvad afsenderen forventer at man så gør.

Forventes der at du:

1) Køber hjælp

… hos afsenderen, som tilfældigvis er “ekspert”, til at sikre dit site?

2) At du giver afsenderen ret

… og får afsenderen til at føle sig bedre tilpas?

… måske fordi vedkommende har taget en dyr uddannelse i at kode men har svært ved at sælge sine evner på markedet netop fordi der er så mange Plugins til WordPress som hjælper folk til selv at bygge deres sites uden kode (f.eks. Elementor)?

Læs også  Vi er i tvivl om vi tør skifte webshop

Ja, hvem ved – nogle gange vil folk jo også bare gerne have ret.

(Det vil de fleste faktisk – mig selv inklusive. Så det er jo meget naturligt. Men det gør ikke udsagnet mere rigtigt!)

Eller får du et råd om hvordan du konkret kan sikre dit site bedre 

… – f.eks. laver et stærkere password eller installerer en af de mange sikkerheds-Plugins, som All In One WP Security?

Min påstand er at nr. 1 og nr. 2 er de mest udbredte årsager til at folk skriver, at WordPress er “det mindst sikre” CMS eller en variation deraf – uden at kvalificere det udsagn yderligere.

Og nej, det hjælper IKKE at linke til fine rapporter som belæg, for konklusionen i disse rapporter er de samme som jeg har angivet ovenfor.

Hvis man kommer frem til andet har man simpelthen ikke læst rapporterne godt nok.

Det primære ansvar for WordPress-sikkerhed er dit eget

– DU skal lave sikre passwords

– DU skal opdatere Plugins og WordPress core til seneste versioner – altid

– DU skal have en god sikkerheds-Plugin installeret

Så er risikoen for at der sker noget med dit site allerede blevet væsentligt mindre. Ligesom med softwaren på din egen computer og al anden software.

Det er lidt besværligt, måske, men det er ikke specielt mystisk og det har ikke noget at gøre med at WordPress i sig selv er et usikkert system.

Det er simpelthen noget sludder – kort og godt.

Find artikel