Plug je de plugin of toch beter van niet?

WordPress is een krachtig platform met veel mogelijkheden. Voor elke functionaliteit bestaat wel een plugin. Dit maakt het erg verleidelijk om plugins te installeren voor elke gewenste functionaliteit die je nodig acht (op dat moment). Echter, het lukraak installeren van plugins kan grote risico’s met zich meebrengen. Als je wilt weten hoe dat zit, lees dan verder.

Beveiliging

Eén van de voornaamste redenen om bedachtzaam om te gaan m.b.t. het installeren van allerhande plugins is beveiliging. Er zijn helaas veel plugins beschikbaar (ook via wordpress.org) die slecht geprogrammeerd zijn (om maar te zwijgen over de nulled versies) waardoor ze soms kwetsbaarheden bevatten. Hiermee vergroot je dus de kans dat je website wordt gehackt.

Stabiliteit

Een andere aspect waar je rekening mee moet houden is dat te veel plugins de algehele prestaties van de website kunnen aantasten. Dit heeft direct effect op de gebruikerservaring van bezoekers waardoor de kans op conversies afneemt.

Daarbij kunnen compatibiliteitsproblemen tussen plugins onderling leiden tot onverwachte fouten waardoor je website in het slechtste geval zelfs onbereikbaar wordt.

Gehackt? Een trage of zelfs onbereikbare website? Reputatieschade? Geen enkel bedrijf zit hierop te wachten. Hiervoor geldt dus: bezint eer ge begint!

Resources om de kwaliteit van een plugin te controleren

  • Jetpack Security Library: Laat een overzicht zien van plugins inclusief een rating en historie van kwetsbaarheden.
  • WordFence Intelligence: WordFence rapporteert wekelijks kwetsbaarheden die zij ontdekken in WordPress software. Een overzicht hiervan is terug te lezen in dit archief.
  • Reviews en discussies op wptavern.com, wp.org maar ook Facebook, YouTube en X.

Een kwestie van verantwoordelijkheid

De gevolgen van het installeren van verkeerde plugins leiden al snel tot extra tijd en kosten om de ontstane problemen weer op te lossen. Overigens wanneer je een externe partner hebt voor het onderhoud en beheer van je website, kan er discussie ontstaan over wie verantwoordelijk is voor de gevolgen van een plugin-conflict.

Duidelijke afspraken vooraf dekken dit deels af. Maar ondersteuning voor onbekende plugins is vaak beperkt of zelfs helemaal niet beschikbaar.

Backups lossen niet altijd het probleem op

Het terugplaatsen van een eerdere backup lijkt wellicht een ideale manier om problemen met plugins achteraf op te lossen. Maar het terugvallen op een backup is niet in alle situaties effectief, vooral wanneer problemen pas later worden opgemerkt.

Hierdoor kan het voorkomen dat een eerder bestaand probleem, zoals een beveiligingsrisico, blijft bestaan zelfs na het herstellen van een backup. Met vervelende consequenties.

Voorkomen is beter dan genezen

Het is dus altijd beter om problemen vooraf te voorkomen, dan achteraf te fixen. Immers, potentiële klanten die een probleem ervaren met je website, zullen dat onherroepelijk associëren met jouw merk.

Deze indruk heeft invloed op het vertrouwen in jouw organisatie en kan zo zelfs een behoorlijke wissel trekken op je online reputatie. Vooral wanneer dit gepaard gaat met een datalek.

Pluginbeleid

Een manier om problemen te voorkomen is het opstellen van een plugin-beleid. Hierin kunnen o.a. de volgende zaken worden opgenomen:

  • Wie verantwoordelijk is/zijn voor het plugin management
    (vaak onderdeel van website-beheer)
  • Beoordelingsproces voor nieuwe plugins voordat ze geïnstalleerd worden
    zoals o.a. bron, ontwikkelaar, reputatie, gebruikersaantal, beveiligingshistorie etc
  • Een plugin blacklist (levend document)
  • Het maximale aantal plugins
  • Monitoring en naleving van het beleid

Conclusie

Er zijn veel factoren die de veiligheid en stabiliteit van je website kunnen beïnvloeden. Als doorsnee gebruiker is het soms moeilijk om al die factoren in te schatten. Daarom is het belangrijk om te werken met een professionele partner die je kan adviseren over de risico’s en ook weet hoe je die risico’s kunt minimaliseren.