Beter heel veel te laat dan nooit.

Ik zou zeggen eindelijk, want je moest de verschillende security-gerelateerde pagina's dagelijks op het internet raadplegen om te zien of weer een nieuw lek ontdekt was. Ik hoop dat door deze maatregel het hackend tuig flink de pas wordt afgesneden.

Helemaal mee eens.

Op zich een prima CMS, maar die plugins waren security-wise wel een drama.

Hackend tuig pareer je alleen met pentestend intelligente security
Handhaven, sinkholen en oppakken als de gelegenheid zich voordoet als afschrikking.

Anders grijp je de faciliterende partijen, door optimale security te verzaken (lakse en/of cybercriminele hosters).

Ook moet je de developers en gebruikers van Word Press opvoeden tot het veilig(er) configureren
(user enumeration and directory listing op disabled zetten) en betere client server security en validatie.

Er is nog een hele lange PHP-martelende weg te gaan,

luntrus

Automatisch updaten kan ook gevaarlijk zijn.

Updaten heeft een uitsluitend positief imago, maar heel vaak is dat onterecht.

Een veel voorkomend probleem bij gebruik van bijvoorbeeld een goede gratis plugin is, dat je vaak ziet dat de ontwikkelaar na een tijd denkt ik ga toch maar geld vragen voor bepaalde onderdelen/ functies. Dus de plugin die perfect werkt kan na een update ineens minder functies hebben. Terug gaan / downgraden kan niet meer. Dus ben je de lul en moet je betalen. Iets wat kan maar onverstandig is, want een dergelijk onbetrouwbare ontwikkelaar gaat natuurlijk ook de prijzen periodiek verhogen.

Dit is ook deels een businessmodel probleem, wordpress zou ontwikkelaars van gratis pluginns die populair zijn moeten gaan betalen per x aantal gebruikers. Een klein vergoeding kan al gauw veel nieuwe "gratis" ontwikkelaars creeren. Betalen voor wordpress kan uiteraard, maar ja het unieke aan wordpress is het gratis karakter. Grotere bedrijven zouden geen wordpress moeten gebruiken maar een betaalde closed source CMS, want hoe groter de site, de info etc hoe interessanter om deze te hacken. Voor kleinere sites is het gratis wordpress prima te gebruiken en redelijk veilig. Want ook de betaalde cms-tools zijn op talloze manieren te kraken.


Tweede gevaar van updaten is.. dat een legitieme plugin wordt verkocht aan kwaadwillende, dit is al een paar keer gebeurt, dus na aanschaf maken de nieuwe eigenaars een achterdeurtje en stelen ze ineens data en veranderd de plugin bijna in een trojan. Zonder dat je dit kan weten. Vervolgens ben je na een update de lul. Wordpress zou updates na overname of verandereing van functionaliteit etc moeten tegenhouden en puur security updates moeten accepteren. De rest zou niet een update moeten heten maar een function change of upgrade. Dan voorkom je sneaky en gevaarlijke praktijken.

Laatste punt waarom updates niet altijd alleen maar goed en veilig zijn is het feit (lees wikileaks) dat overheden en veiligheids diensten praktisch alle hard en software ontwikkelaars VERPLICHT om achterdeurtjes en kwetsbaarheden in te bouwen. Hier maken hackers ook graag gebruik van. Als een overheids of veiligheidsdienst medewerker een exploitable lek vindt in een tool, dan wordt dit niet gedeeld maar juist geheim gehouden. Dus over een tijdje kunnen we stellen dat overheden 99% medeplichtig zijn bij een hack of lek. Leuk dat er zulke criminele onze democratie vertegenwoordigen. Als je je als burger zo gewetenloos, immoreel, corrupt en fout bent / gedraagt, dan zou je levenslang krijgen. Tijd dus om nooit meer te stemmen op de regeringspartijen. Gegroet

Nu nog een goed backup systeem inbouwen. De plugins die daarvoor bestaan is eigenlijk allemaal troep. Je lost het nog altijd het beste op de server op. Voor zover dat kan, want elke klant is weer ergens anders gehost.

Zowel wat (automatische) updates betreft, als wat de sites zelf betreft, zou ik graag een veilige rollback willen kunnen doen. Is het nou zo moeilijk om bij een theme of plugin update de vorige even te tarren en te bewaren voor het geval dat?

Regelmatig wil ik ook even de hele zooi downloaden op zo een manier dat ik het ook gemakkelijk terug kan zetten. Gaat er dan nog wat mis, dan waren we eventjes uit de lucht. Maar nooit in paniek.

Leuk als een plugin automatisch geupdate is en een error veroorzaaakt in combinatie met een andere plugin. Als een functie onbruikbaar wordt merk je dat later en heb je geen idee hoe het komt.
Updaten is beter dan hoe het nu gaat met veel sites maar als je een bedrijfswebsite hebt moet je het toch in de gaten houden.

Je hebt tegenwoordig wel een e-mailvermelding bij een error maar dan moet je ervoor zorgen dat je e-mailadres bij de algemene instellingen goed staat. Een functieverval zorgt niet altijd voor een error.
Periodiek checken dus.

Automatisch updaten is handig, maar als dit gebeurd zoals een paar dagen geleden met de nieuwste Woocommerce 4.0 versie , dan kun je het vergeten, ben 2 dagen bezig geweest om alles weer correct te krijgen pffff. Van de 14 plugins waren er 6 niet werkend waardoor mijn wordpress technische fouten onderging.
Dus nee ik doe het liefst nog steeds handmatig.

Ja, je vergeet alleen dat er een keer een plugin is verkocht en daarna voorzien is van malware door de nieuwe eigenaars.