Is het verstandig om iemand volledige toegang te geven tot je WordPress dashboard?

Stel je de vraag aan mij, dan is het antwoord simpelweg: nee, geef iemand niet zomaar volledige toegang tot je WordPress dashboard. Ik weet dat veel WordPress-gebruikers dit wel doen want in de WordPress community komt remote support vaak voor, maar of het verstandig is?

Het is niet zonder risico

Wanneer je iemand volledige toegang geeft tot je WordPress admin dashboard, kan deze persoon alles doen met je website zonder dat je dit door hebt. Natuurlijk is het niet vanzelfsprekend dat een ontwikkelaar op afstand ook daadwerkelijk kwaadwillende intenties heeft.

Maar vertel eens, hoe goed ken je deze ontwikkelaar aan de andere kant van je laptop nu werkelijk? Heb je deze persoon wel eens offline ontmoet? En waar is die gevestigd?

Het is lastig om toezicht te houden op ontwikkelaars die in het buitenland gevestigd zijn. Stel dat het mis gaat. Ben je ten alle tijde bewust van de impact en consequenties die het verlenen van dergelijke toegang heeft op je bedrijfsvoering.

Men kan bijvoorbeeld ongemerkt een achterdeur inbouwen om de website op een later moment over te nemen, kwaadaardige code toevoegen die persoonsgegevens steelt, spam injecteert of ransomware activeert. Of gewoonweg je website stuk achterlaten. En dan?

Een ‘gehackte’ website levert je niet alleen financiële ellende op, maar kan je ook de nodige reputatieschade geven

Goede service ≠ betrouwbaarheid

Een argument dat soms wordt aangevoerd is dat iemands betrouwbaarheid af te lezen zou zijn aan het feit dat iemand vriendelijk is en altijd voor je klaarstaat. Alhoewel dit goede eigenschappen zijn, maakt dit iemand niet per se betrouwbaar.

Een aantal jaren geleden was er in de WordPress community behoorlijk wat rumoer over een thema aanbieder die kwaadaardige code had verstopt in de websites van haar klanten. Deze code werd ontdekt door WordFence, een bedrijf dat zich bezighoudt met WordPress beveiliging en daar veel onderzoek naar doet.

Toen het gesprek hierover op Twitter losbarstte, kwamen veel gedupeerde klanten juist op voor deze thema-aanbieder. Hun argument: zijn service was zo ontzettend goed.

Verantwoordelijkheid en aansprakelijkheid

Een betere graadmeter is of je iemand aansprakelijk kan stellen. Bij ontwikkelaars die in het buitenland gevestigd zijn, is dit veel lastiger dan bij partijen die in Nederland zijn gevestigd. Zowel in juridische als in praktische zin.

Ook al hebben de meeste ontwikkelaars geen kwaad in de zin, dan kan het toch zomaar gebeuren dat ze je website in een slechtere staat achterlaten dan dat ze deze aantreffen.

Klantdata en de AVG

Verwerk je klantdata via de website en/of verwerk je betaalgegevens? Realiseer je dan dat wanneer je iemand toegang geeft tot je website dat deze persoon deze gevoelige informatie ook gewoon kan inzien. Aanvullende afspraken op papier zijn dan sowieso noodzakelijk om te voldoen aan de AVG.

Zal ik dan maar niemand admin-toegang geven?

Dat is natuurlijk het andere uiterste. Degene die jouw website gemaakt heeft en met wie je duidelijke afspraken op papier hebt gemaakt over onderhoud en dergelijke, mag je gerust admin toegang geven tot je website. Maar doe dit alleen als het nodig is voor het uitvoeren van taken waar vooraf overeenstemming is bereikt.

Beperk het aantal personen met admin toegang in elk geval tot een minimum. Ben je van plan om wel toegang te verlenen aan derden, stel dan ook je vaste onderhoudspartner op de hoogte. Zo voorkom je nare discussies achteraf als het toch mis gaat.