WordPress geschikt voor overheidswebsites

Photo Geschreven door André Gussekloo

Tientallen overheidswebsites zijn gevoelig voor hacks, berichtte Trouw vorige maand. Want wat blijkt? De inlogpagina van de beheerders is openbaar toegankelijk en dat levert een veiligheidsrisico op. Een hack van de gemeente Hof van Twente maakte dat pijnlijk duidelijk.  

Wat doen overheidsinstanties fout? Moet WordPress nu volledig in de ban? Als WordPress-specialisten met een sterke focus op digitale beveiliging, leggen wij in duidelijke woorden uit wat er is gebeurd en hoe het beter kan. Je zult ontdekken dat WordPress nog steeds een veilige en betrouwbare keuze voor overheidsinstellingen is, mits de nodige best practices worden gevolgd.

Geschiedenis van WordPress

WordPress is een contentmanagementsysteem (CMS) dat aanvankelijk was bedoeld voor bloggers. Ze konden hiermee makkelijk en snel hun ervaringen en gedachtenspinsels met de wereld delen. Dit open-source CMS werd constant doorontwikkeld, waarbij aanvullende functies nieuwe gebruikers over de streep trokken. Het duurde niet lang voordat kleine bedrijven, middelgrote bedrijven en vervolgens multinationals WordPress begonnen te gebruiken. Overheidsinstellingen bleven niet lang achter. 

Waarom de overheid WordPress gebruikt

Inmiddels draait 40% van alle websites op het internet op WordPress. De schaalbaarheid en de vele functies maken dit CMS een veelzijdige oplossing voor allerlei organisaties. Ook overheidsinstanties kiezen steeds vaker voor WordPress, en het is begrijpelijk waarom.

  • Zoekmachinevriendelijk
    WordPress is allereerst SEO-vriendelijk. Google is dol op dit CMS en geeft WordPress-sites goede rankings. Uiteraard moet je daar als website-eigenaar wel een handje bij helpen door bijvoorbeeld Yoast SEO op juiste manier te gebruiken.

  • Samen beheren
    In een grote organisatie als een overheidsinstelling zijn meerdere mensen verantwoordelijk voor het publiceren van content. Met WordPress maak je eenvoudig accounts voor beheerders aan en geef je hen precies de rechten die bij hun rol passen.

    Zo bestaat er de rol van schrijver. Hiermee kan iemand wel berichten klaarzetten, maar ze niet publiceren. Of de rol van auteur. Die kan zijn of haar eigen berichten publiceren, maar niet die van anderen publiceren of aanpassen. De beheerder kan alle opties in het dashboard aanklikken en nieuwe gebruikers toevoegen.

  • Schaalbaar
    Een site gemaakt in WordPress is eenvoudig schaalbaar, bijvoorbeeld door er nieuwe pagina’s aan toe te voegen of een versie in een andere taal te maken. Als het internetbureau deze functionaliteit heeft ontwikkeld, kun je dit vaak zelf doen.

    Het is met WordPress ook makkelijk om een heel netwerk van identieke of vergelijkbare sites te maken. Dat is ideaal voor instellingen met verschillende locaties of kantoren, die elk een eigen site willen hebben. WordPress Multisite maakt het mogelijk om deze met één keer inloggen vanuit een centraal dashboard te beheren.

  • Snellere doorontwikkeling
    Het doorontwikkelen van een WordPress-site is vaak makkelijker dan bij een traditionele website of een site die ontwikkeld is met een ander CMS. Dat maakt het tegelijkertijd sneller en daardoor voordeliger.

  • Veilig
    WordPress is open-source en wordt constant geüpdatet. Het is daarbij wel zaak om die updates snel te controleren en te installeren. Ook zijn er andere manieren waarop je de beveiliging op een hoog niveau houdt. Zo bestaan er talloze extra opties waarmee je bijvoorbeeld een limiet aan het aantal inlogpogingen stelt, bepaalde IP-adressen blokkeert en spam-reacties filtert. Ook speelt een professionele server-oplossing een belangrijke rol.

Maar is WordPress wel écht veilig?

WordPress is een open-source systeem. Dat open-source betekent dat de broncode openbaar toegankelijk is. Duizenden programmeurs van over de hele wereld controleren en verifiëren de code op kwetsbaarheden. Dat maakt de kans op fouten extreem klein. 

Wat ging er dan fout?

Volgens Trouw zat het probleem hem in de openbaar toegankelijke beheerderspagina’s. Standaard zijn die bij WordPress-sites op te roepen door achter het domein /wp-admin te typen. 

Maar ook al kan iedereen zo’n inlogpagina openen, het betekent niet dat een willekeurig persoon in kan loggen. Daar heb je nog steeds een gebruikersnaam en wachtwoord voor nodig. Wat deze hackers deden, is zoveel mogelijk veelvoorkomende gebruikersnamen en wachtwoorden met elkaar combineren, op goed geluk. Dat resulteerde in een voltreffer bij de gemeente Hof van Twente, waarbij ambtenaren met het zwakke wachtwoord ‘Welkom2020’ toegang hadden.

Het artikel wijst ons op een verontrustend feit: dat overheidswebsites de mogelijkheden van WordPress lang niet voldoende benutten. Koppel dit aan een makkelijk te raden wachtwoord en dit CMS kan (ten onrechte) de indruk wekken dat het onveilig is. 

Zo voorkom je WordPress-hacks 

Een openbare inlogpagina stelt kwaadwillenden dus in staat om wachtwoorden te testen. Maar door een limiet op het aantal pogingen in te stellen, een sterk wachtwoord te creëren en tweefactorauthenticatie (2FA) te gebruiken, kan niemand daar naar binnen. Eventueel kun je deze beheerderspagina alsnog verbergen door voor een alternatieve URL te kiezen. 

Schakel WordPress-specialisten in

Veel van de bovenstaande zaken kun je eenvoudig voorkomen als je weet waar je mee bezig bent. Uiteraard kun je dit ook uitbesteden aan WordPress-experts zoals die van 2manydots. Samen houden we ongenode gasten buiten.

internet marketing bureau

Photo
André Gussekloo Content marketeer
Blogs
WordPress-support voor Internet Explorer 11 vervalt
Blogs
Overheid waarschuwt ook niet-vitale bedrijven: ‘websites niet veilig genoeg’
WhatsApp