Laatst kreeg ik een mailtje van iemand. Er waren problemen met de website en er werd gevraagd of ik wilde kijken en het eventueel kon oplossen. Toen ik eenmaal inlogde op het WordPress dashboard schrok ik… en eigenlijk is dat nog zacht uitgedrukt! Er stond namelijk een melding of WordPress geupdate mocht worden. De website draaide nog een versie 4.1! Dat is een versie dat 2 jaar geleden is uitgebracht. 2 jaar!!!
Als je een eigen gehoste WordPress versie hebt dan ben je verantwoordelijk voor het updaten van dit CMS systeem. Ik snap dat bij sommige de twijfel toe slaat – zal ik nu wel of niet updaten? Wat als er iets gebeurd met mijn site? Maar je moet wel weten dat er niet voor niets een update is gekomen. Het niet updaten van je WordPress site brengt grote gevolgen met zich mee. Het grootste risico namelijk: dat er inderdaad iets gebeurd met je site.
Dat je de melding van een nieuwe update tijdelijk negeert, dat kan ik begrijpen. Echter de melding jaren negeren? Dat vind ik heel vreemd, vooral omdat de melding zo is gemaakt dat het vrijwel het eerste is wat je ziet als je inlogt. Ik krijg al gelijk de kriebels als ik bij een klant inlog en een update melding zie verschijnen. Zij ontvangen dan gelijk het advies om even de update te voltooien.
Waarom wordt WordPress geupdate?
Er zijn twee redenen waarom WordPress geupdate wordt, namelijk voor:
- het introduceren van nieuwe toevoegingen.
- het verbeteren van fouten.
Wanneer er een update is voor het introduceren van nieuwe toevoegingen dan is het nog niet eens verplicht om de update te doen. Let wel op het woordje verplicht, je hoeft de update niet te doen als je zonder de nieuwe toevoegingen ook je werk kan doen. Het is wel raadzaam om up te daten, maar het is niet verplicht.
Bij een update om fouten er uit te halen, ben je altijd verplicht om de update te doen. Soms zijn het kleine foutjes die je nooit had opgemerkt, maar er zitten ook regelmatig veiligheidsupdates tussen. Kijk maar eens naar deze lijst met beveiligingsproblemen.
Cross-site request forgery (CSRF) vulnerability in the wp_ajax_wp_compression_test function in wp-admin/includes/ajax-actions.php in WordPress before 4.5 allows remote attackers to hijack the authentication of administrators for requests that change the script compression option.
SQL injection vulnerability in the wp_untrash_post_comments function in wp-includes/post.php in WordPress before 4.2.4 allows remote attackers to execute arbitrary SQL commands via a comment that is mishandled after retrieval from the trash.
Cross-site request forgery (CSRF) vulnerability in wp-login.php in WordPress 3.7.4, 3.8.4, 3.9.2, and 4.0 allows remote attackers to hijack the authentication of arbitrary users for requests that reset passwords.
Als je dit zo leest klinkt het heel technisch, maar de meldingen op deze lijst laten zien dat er regelmatig een update heeft plaatsgevonden waarbij een veiligheidslek is gedicht. Deze meldingen laten zien dat er altijd hackers toegang kunnen krijgen tot je site, je site kunnen verpesten, aanpassingen kunnen maken of je site volledig kunnen verwijderen. Door het niet updaten van WordPress, is je site heel gevoelig voor deze aanvallen.
De allereerste melding die ik hier plaats is overigens van de laatste update, dus mocht je het nog niet gedaan hebben dan zou ik nu toch snel updaten naar versie 4.6(.1).
Ik vind het een tikkeltje vreemd dat wanneer er een update van Android of iOS is, dat heel mijn Twitter timeline vol staat met mensen die de update gedaan hebben, echter wat betreft WordPress lopen zij nog enkele versies achter. Wil jij niet een veilig en stabiel WordPress systeem zodat je focus op het bloggen kan blijven? In plaats van dagen bezig te zijn om de website weer te (laten) fixen? Lijkt mij wel toch?
