Vorig jaar werden meer dan 13.000 WordPress kwetsbaarheden openbaar gemeld, meer dan het dubbele van het jaar daarvoor. Beveiligingsonderzoekers ontdekten kritieke fouten in plug-ins die door miljoenen sites worden gebruikt. Ransomware-operators richten zich regelmatig op WordPress-sites vanwege de voorspelbare architectuur en het grote aanvalsoppervlak van het plug-in-ecosysteem (Patchstack en Sucuri publiceren hierover elk kwartaal rapporten).
Heeft u een WordPress-site voor uw bedrijf, dan bevindt het aanvalsoppervlak zich op uw homepage.
Waarom WordPress zo vaak het doelwit is
WordPress drijft ongeveer 40% van alle websites aan. Die concentratie maakt het platform bijzonder aantrekkelijk voor aanvallers: één exploit kan geautomatiseerd tegen miljoenen sites tegelijk worden ingezet.
Plug-ins vormen het belangrijkste aanvalsvector. In de WordPress-repository staan meer dan 60.000 plug-ins. Een populaire plug-in met een ongepatchte kwetsbaarheid kan in één nacht tienduizenden sites in gevaar brengen.
Thema's brengen vergelijkbare risico's met zich mee. Betaalde thema's van dubieuze marktplaatsen bevatten vaak backdoors of kwetsbare code.
WordPress core ontvangt regelmatig beveiligingspatches, maar updates breken sites. Eigenaren stellen updates daardoor uit. 42% van de gehackte WordPress-sites draaide op het moment van de inbreuk een verouderde versie.
Shared hosting plaatst uw site op een server met honderden andere sites. Wordt een buursite gehackt, dan kunnen aanvallers zich soms lateraal naar andere sites op dezelfde server verplaatsen.
Hoe een WordPress-aanval er in de praktijk uitziet
SEO-spaminjectie
Aanvallers injecteren duizenden verborgen links naar farmaceutische, gok- of volwassenensites in uw pagina's. Uw Google-rankings kelderen, uw bezoekers zien spam en Google plaatst uw domein op de zwarte lijst.
Redirect-aanvallen
Bezoekers worden stilzwijgend doorgestuurd naar kwaadaardige sites. U merkt dit niet, omdat de redirect alleen bij bepaalde verkeerspatronen wordt geactiveerd. Uw organisch verkeer verdwijnt op onverklaarbare wijze.
Phishingpagina's
Aanvallers plaatsen nep-inlogpagina's op uw domein om inloggegevens van uw bezoekers te stelen. Uw site maakt dan deel uit van een actieve beveiligingsincident.
Cryptomining
Kwaadaardige JavaScript draait in de browser van uw bezoekers en mined cryptocurrency via hun CPU.
Ransomware
Voor kleine sites zeldzaam, maar het gebeurt. Uw volledige site wordt versleuteld en u wordt om betaling gevraagd.
Herstel na een van deze aanvallen kost €200 tot €2.000 of meer, aangevuld met dagen uitval en reputatieschade.
De plug-in-tredmolen
Om WordPress te beveiligen hebt u beveiligingsplug-ins nodig. Maar beveiligingsplug-ins zijn ook plug-ins: ze vergroten het aanvalsoppervlak terwijl ze het proberen te beschermen.
- Jaarlijkse abonnementen (€100 tot €300 per jaar per plug-in)
- Regelmatige updates (die andere plug-ins kunnen breken)
- Doorlopende monitoring en configuratie
- Firewallregels die soms legitiem verkeer blokkeren
Het architectuurverschil
Geen database blootgesteld aan het internet. WordPress beschikt over een database (MySQL) waarmee plug-ins en thema's voortdurend communiceren. Een statische Next.js-site heeft geen database om in te injecteren.
Geen PHP-uitvoering. WordPress voert bij elk verzoek PHP uit. Next.js serveert vooraf gebouwde HTML-bestanden, wat een aanzienlijk kleiner aanvalsoppervlak oplevert.
Geen equivalent van het WordPress plug-in-ecosysteem. Afhankelijkheden zijn JavaScript-pakketten (npm), expliciet beheerd door ontwikkelaars, in plaats van een marktplaats met meer dan 60.000 opties van wisselende kwaliteit.
Het platform van Vercel neemt een deel van de beveiligingslaag voor zijn rekening. DDoS-bescherming, TLS en edge-caching worden beheerd door het platformteam van Vercel. Applicatiecode, gegevensverwerking en content blijven de verantwoordelijkheid van de klant.
Geen WordPress-beheerpaneel. Aanvallers richten zich graag op `/wp-admin`: een bekende URL die eenvoudig te brute-forcen is. Een Next.js-site heeft geen vergelijkbaar centraal kwetspunt.
Bedrijfsrisico
Geautomatiseerde aanvalspogingen horen bij het beheren van een WordPress-site met het huidige marktaandeel. De zakelijke afweging is of u tijd en geld blijft steken in het verdedigen van een breed aanvalsoppervlak, of overstapt naar een architectuur met een fundamenteel kleiner oppervlak.
webvise migreert WordPress-sites naar Next.js met vaste offertes en AI-ondersteunde implementatie. Migraties leveren doorgaans betere prestaties, lagere lopende kosten en een kleiner server-side aanvalsoppervlak op.
De werkwijzen van webvise zijn afgestemd op de ISO 27001- en ISO 42001-normen.