Regelmatig krijgen wij meldingen van klanten dat hun WordPress pagina "opeens" blanco of geheel wit is (white screen of death). Of dat deze in zijn geheel niet meer functioneert (of kritieke fout).

Dit komt vaak door (al dan niet automatische) updates van zij het WordPress zelf of updates van de gebruikte plugins. Met name plugins kunnen vaak problemen veroorzaken wanneer deze geupdate worden.
Wanneer een plugin geupdate wordt, welke een bug bevat en/of niet compatible is met uw huidige WordPress versie, dan zal uw WordPress pagina crashen (en dus een witte c.q. blanco) pagina laten zien.

Blanco of wittte WordPress pagina's zijn normaliter relatief éénvoudig op te lossen. Hieronder leggen wij de verschillende methoden uit om dit probleem op te lossen.

Vooropgesteld; dit is absoluut geen server probleem. Indien er een storing is op één van onze servers, dan melden wij dit uiteraard onder de nieuwsberichten.



Voor Plesk omgevingen

Log als eerste in uw Plesk omgeving van de desbetreffende domeinnaam. Zodra u ingelogd bent, dan klikt u op "Logs" of "Logbestanden".
Eerst zullen wij de goede meldingen onzichtbaar maken. Klik hiervoor op het 2e pijltje omlaag (onder "Any" / "Alle") en deactiveer hier "access", zodat alleen "warning" en "error" overblijven.
Nu zal u naar alle waarschijnlijk een flink aantal meldingen te zien krijgen in het rood, zoals op de screenshot hieronder.



In de bovenstaande screenshot (welke als voorbeeld fungeert), ziet u dat de WordPress plugin genaamd "siteorigin-panels" voor problemen zorgt.
De genoemde plugin zorgt voor een foutmelding binnen de PHP, waardoor uw WordPress pagina helemaal niet of in ieder geval niet correct geladen wordt.

Om dit op te lossen zijn er twee verschillende methoden binnen Plesk. Deze worden allebei hieronder uitgelegd en omschreven. Onze voorkeur geniet naar de 1e methode, maar u bent vrij om hiermee te experimenteren.



Methode #1 (aanbevolen)

Ga terug naar uw Plesk interface en klik vervolgens op "Bestandsbeheer" of "File Manager". Normaliter bent u meteen in de hoofdmap van uw WordPress installatie, tenzij u WordPress in een submap (bijvoorbeeld "wordpress") heeft geinstalleerd.
Open nu de map genaamd "wp-content" en vervolgens de map "plugins". U bent nu in de plugin-map van WordPress.

Hier ziet u de verschillende WordPress plugins staan. In ons voorbeeld staat hier ook de problematische plugin genaamd "siteorigin-panels". Wij gaan deze plugin (tijdelijk) uitschakelen door de ze te herbenoemen.
U kan de mapnaam aanpassen met de originele benaming voor de plugin, maar met daarachter de tekst .UITGEZET. Zie ook screenshot hieronder.



Door de tekst .UITGEZET erachter te zetten, wordt de plugin automatisch uitgezet, dus niet geladen.

Wanneer u de problematische plugin heeft uitgezet, dan probeert u nogmaals een paar keer uw website te laden.
De kans is aannemelijk dat de website nu wel correct geladen en weergegeven wordt. Dan ligt het probleem duidelijk bij de plugin; dat wil zeggen of er is een probleem met de desbetreffende plugin, of deze is niet compatible met uw huidige WordPress versie.
U zou in het laatste geval uiteraard uw WordPress installatie kunnen updaten. Wanneer u dit doet, maak dan wel de nodige backups (dus van de bestanden en van de database)! Dit om problemen te voorkomen.

Indien uw WordPress installatie wel voorzien is van de laatste versie, dan is het raadzaam om contact op te nemen met de ontwikkelaar van de plugin of op hun website / forum te kijken. Wellicht is het probleem reeds bekend en is hier een oplossing voor.
Wij zijn niet verantwoordelijk voor het wel/niet functioneren van plugins die afkomstig zijn van derden.

Wanneer de website nog niet wil laden, na het uitzetten van de plugin die problemen veroorzaakt, dan dient u de log-bestanden nogmaals te raadplegen. Wellicht dat een 2e (of meerdere) plugins ook voor problemen zorgen.
Herhaal vervolgens de eerdere handelingen net zo lang tot de website weer correct aangeroepen wordt of correct geladen wordt.

U kan uiteraard ook in de omgekeerde volgorde te werk gaan, dus eerst alle plugins uitzetten met de tekst .UITGEZET erachter en vervolgens de website testen en dan elke plugin per stuk weer aanzetten.
Het aanzetten van een plugin is niet anders dan de tekst .UITGEZET te verwijderen.



Methode #2 (alternatief)

Ook kan u op bepaalde servers (en wanneer uw Wordpress via Plesk zelf heeft geinstalleerd) via de Plesk interface rechtstreeks WP (WordPress) plugins activeren of uitzetten.
Als u ingelogd bent in uw Plesk omgeving, dan ziet u waarschijnlijk een WordPress-icoon/logo tesamen met de naam van uw WordPress website. Zie voorbeeld hieronder.



Klik op het WordPress icoon of op de naam. Vervolgens krijgt u een nieuw scherm te zien met diverse opties en mogelijkheden.
Klik hier op het tabblad genaamd "Plugins". U ziet nu alle plugins die geinstalleerd staan binnen uw WordPress installatie. Hierbij wordt onderscheidt gemaakt tussen geactiveerde plugins en gedeactiveerde plugins.

Zoek nu de plugin op die problemen veroorzaakt volgens de informatie uit de log-bestanden en zet deze uit. Zie screenshot hieronder.



Wanneer u de plugin heeft uitgeschakeld, dan probeert u enkele keren uw website te (her)laden. Wanneer de website nu wel oproept, dan ligt het probleem daadwerkelijk bij de plugin.
Ook kan het zo zijn dat uw WordPress installatie te oud is voor de (nieuwe) plugin. U kan ervoor kiezen om uw WordPress installatie te updaten, maar neem wel backups (bestanden en database) van te voren!
Indien uw WP installatie up-to-date is, dan kan u ook met de ontwikkelaar contact opnemen van de plugin. Wij zijn uiteraard niet verantwoordelijk voor het functioneren van een 3rd-party plugin.

Indien uw WordPress website nog altijd niet goed doet laden, dan controleert u nogmaals de log-bestanden om te kijken of er andere plugins zijn die mogelijk problemen veroorzaken.
Vervolgens doet u de voorgaande stappen herhalen, todat de website correct doet laden.

Uiteraard kan u ook in omgekeerde volgorde te werk gaan; dus eerst alle plugins uitschakelen en vervolgens deze één voor één weer activeren en ondertussen uw website testen.
Ook kunt u beide methoden gebruiken om eventuele problemen te testen inzake het door u gebruikte thema.

Wanneer u een website bouwer in dienst heeft, dan moet u deze raadplegen. Deze zal het voor u ook kunnen oplossen.

Indien wij dit moeten oplossen, dan rekenen wij hiervoor het daarvoor geldende tech tarief (binnen / buiten kantoortijden).
Wij beheren, updaten en/of onderhouden geen websites. Dit hebben wij ook nooit gedaan. Wij zijn alleen een hosting provider in deze.




Voor DirectAdmin omgevingen


Aan de handleiding inzake DirectAdmin bij dit soort problemen wordt nog gewerkt en zal in de nabije toekomst toegevoegd worden.
Desalniettemin is de werkwijze bijna identiek aan die Plesk, namelijk controleer de log-bestanden en zet vervolgens de problematische plugin(s) uit in de map plugins.
Vervolgens dient u de website opnieuw te testen. Zie voor meer informatie / voorbeelden, de informatie onder Plesk hierboven.


Wij zijn nooit verantwoordelijk voor het onderhoud van uw Wordpress website of onderliggende Wordpress plugins en/of Wordpress thema's. Dit moet u zelf doen of diegene die uw website heeft gebouwd!

Inmiddels zijn er meer dan 59.000 verschillende Wordpress plugins beschikbaar. Het is voor ons derhalve onmogelijk om hier support op te leveren. Dit valt dan ook niet onder standaard dienstverlening.

Uiteraard kunnen wij altijd voor u kijken, maar meestal is het advies om als eerste contact op te nemen met de ontwikkelaar van de desbetreffende Wordpress plugin, immers is dit de persoon/bedrij die deze Wordpress plugin heeft ontwikkeld en kent de (interne) functies van de door hem/haar ontwikkelde Wordpress plugin.

Daarnaast altijd het advies om te controleren of een Wordpress plugin nog wel doorontwikkeld wordt en deze periodiek geupdate wordt. Indien dit niet het geval is, dan is het raadzaam om naar een andere c.q. alternatieve Wordpress plugin te zoeken. Met ruim 59.000 Wordpress plugins is het zeer éénvoudig om een alternatief te vinden. Soomige Wordpress plugins zijn gratis en sommige zijn betaald. Meestal heb je bij de gratis plugins géén support en bij betaalde versies wel. Hou hier eveneens rekening mee. Dus ons advies is, wanneer een bepaalde plugin niet functioneert is om de log-bestanden te controleren op eventuele problemen en/of een andere soortgelijke Wordpress plugin te zoeken en te installeren (wel de oude Wordpress plugin de-activeren en verwijderen uiteraard).

Hetzelfde geldt voor Wordpress thema's. Meestal worden deze geleverd met gratis Wordpress plugins. Ook kan men hier het beste voor support terrecht bij de ontwikkelaar. Het is aannemelijk dat je betaald hebt voor een Wordpress thema. Dus dan heb je hier ook support op vanuit de ontwikkelaar. Al onze (moderne) hostingomgevingen moeten probleemloos (nieuwe) Wordpress plugins en thema's ondersteunen. Meestal ontstaan problemen inzake het niet functioneren van bepaalde Wordpress plugins, door verkeerde instellingen, een bug/update en/of dat de plugin niet meer verder ontwikkeld wordt. Ook kan het zijn dat er meerdere soortgelijke Wordpress plugins staan geinstalleerd die niet met elkaar functioneren. Zet deze (dubbele) Wordpress plugins uit en test het opnieuw. Controleer daarnaast altijd de log-bestanden op eventuele foutmeldingen.

Indien u uw website heeft laten maken door een websiteontwikkelaar, dan zal u deze moeten raadplegen. Wij bouwen en onderhouden geen websites; dit hebben wij ook nog nooit gedaan.

Wanneer u per se wenst dat een bepaalde Wordpress plugin dient te werken en wij hiervoor het één en ander moeten controleren en testen, dan worden hier wel tech kosten in rekening gebracht. Uiteraard is dit afhankelijk van hoe lang wij bezig zijn om een dergelijke plugin te controleren. Derhalve is het verstandiger om zelf het één en ander in eerste instantie te controleren en daarnaast contact op te nemen met de ontwikkelaar van de desbetreffende Wordpress plugin. Deze heeft veel meer ervaring met door hem/haar ontwikkelde plugin en weet waarschijnlijk binnen paar seconden te vertellen wat het probleem is of kan zijn. Indien noodzakelijk kan met ook de aanvullende informatie van een ontwikkelaar ook in een support ticket erbij vermelden.

Resumé; indien u problemen ondervindt met een bepaalde Wordpress plugin of thema, dan is het altijd verstandig om de ontwikkelaar hierover te raadplegen. Voor ons is het gewoonweg onmogelijk om support te leveren op Wordpress plugins en/of thema's die door derden gemaakt zijn. De ontwikkelaar van een dergelijke Wordpress plugin of Wordpress thema heeft natuurlijk vele malen meer kennis van wat hij/zij heeft geschreven en is daarnaast ook bekend met eventuele problemen of oplossingen voor niet werkende plugin's/thema's. Indien wij onderzoek moeten instellen naar een bepaalde Wordpress plugin of thema, dan dient u rekening te houden met tech kosten hiervoor. Ook kan het onderzoek enige tijd duren, daar onze technici dan in een bepaalde plugin moeten verdiepen (code analyseren, werking van de plugin, testen e.d.). De totale kosten hiervan kunnen uitéén lopen en zijn afhankelijk van hoeveel tijd onze technici hiermee bezig zijn. Het startarief voor een dergelijke technisch onderzoek begint bij 75.00 Euro. Dus deze kosten zijn aanzienlijk en derhalve is het altijd verstandig om de ontwikkelaar te raadplegen van de plugin of thema.

Vooropgesteld; het is altijd vervelend als uw Wordpress website gehackt is. Helaas is Wordpress razend populair; zo zijn 35% van alle websites (wereldwijd) gemaakt met Wordpress. Dat komt op een aantal uit van ~455.000.000 Wordpress websites. Mede hierdoor is Wordpress ook zeer geliefd bij hackers; om uw website plat te lagen of (wat tegenwoordig vaak het geval) uw Wordpress website te injecteren met malware waar men dus op een vrij éénvoudig geld kan verdienen. U en uw bezoekers worden hiervan het dupe en wanneer er niet tijdig actie wordt ondernomen, dan kan uw website ook nog eens geblokkeerd worden in zoekmachines zoals Google of compleet geblokkeerd worden door uw webbrowser (Firefox, Chrome, Safari, etc.).

Daarnaast krijgen wij regelmatig te horen van zogenaamde websitebouwers / -ontwikkelaars dat onze servers "lek" zouden zijn. Dit is gewoon klinkklare onzin! Niet alleen zorgen wij handmatig dat onze (hosting) servers periodiek van de laatste updates en packages worden voorzien, maar ook het bovenliggende controle paneel installeert daarnaast volledig automatisch de nieuwste updates. Dit geldt voor zowel Plesk servers alsook DirectAdmin servers. Ook worden periodiek nieuwe server patches en updates geinstalleerd op de bovenliggende hardware nodes en eveneens wordt de virtualisatie voorzien van de nieuwste updates. Ook worden zogenaamde kernel updates toegepast op de hardware nodes. Bij kernel updates dienen de hardware nodes een reboot te krijgen, zodat deze gebruik gaan maken van de nieuwere kernel versie. Dit gebeurd normaliter in de nachtelijke uren. Echter bij (zeer) urgente kernel updates doen wij dit overdag (en hiervan wordt dan ook altijd melding van gemaakt op Helpburo en op onze overige websites).

Terugkomend op een gehackte Wordpress website; dit kennisbank artikel geeft u meer inzicht wat u hier tegen kunt doen en wat u kunt doen om uw Wordpress website op te schonen. Het laatste is lastig omdat er dus duizenden verschillende hacks inzake Wordpress (of Wordpress plugins / thema's) rondzwerven. Meestal (9 van de 10 keer) is de oorzaak van een hack;

• Wordpress zelf, de door u gebruikte plugins en thema's zijn slecht of helemaal niet onderhouden (= voorzien van updates)
• Gebruik van illegale c.q. gehackte plugins en / of thema's (dus zogenaamde "nulled" items)
• Gebruik van onveilige, oude en / of niet meer onderhouden Wordpress plugins of thema's
• Gegevens verstrekt aan een andere / derde partij die nu uw website misbruikt voor andere doeleinden
• Wordpress niet goed beveligd wat u uiteraard altijd dient te doen als u een Wordpress website online plaatst

Opschonen gehackte Wordpress website

Voorwoord; wij zijn slechts de hostingprovider en zijn dus niet verantwoordelijk voor wat u binnen uw hostingaccount, reseller pakket of server plaatst. Ook updaten wij Wordpress installaties niet. U bent altijd zelf verantwoordelijk voor het onderhouden en beveiligen van uw website. Indien u dit niet zelf kunt, dan dient u iemand hiervoor in te huren (bijvoorbeeld een websitebouwer) of heeft u wellicht een kennis die (veel) ervaring heeft met Wordpress. Wordpress is een éénvoudig en betrouwbaar programma om snel een goede website online te plaatsen, maar net zoals met een auto heeft een (Wordpress) website ook (zeer) regelmatig onderhoud nodig.

Uiteraard zijn er diverse mogelijkheden zowel op Plesk alsook op DirectAdmin om automatisch updates te laten installeren voor uw Wordpress website(s), zo ook voor plugins en thema's. Dit kan u zelf instellen. Bij Plesk kan u zelfs gebruik maken van de Plesk Wordpress Toolkit; hiermee kan u diverse (zeer aanbevolen) beveiligingsinstellingen toepassen om uw website veiliger te maken. Daarnaast meteen een tip bij Plesk; installeer Wordpress altijd via de Wordpress Toolkit (bij Plesk) of via Installatron (DirectAdmin) en gebruik geen zip-bestanden of dergelijke van onbekende partijen! Op die manier bent u ervan verzekerd dat u een goede en betrouwbare versie download die niet aangepast is. Daarnaast wordt Wordpress dan ook geregistreerd binnen de Wordpress Toolkit op Plesk omgevingen en op DirectAdmin omgevingen binnen Installatron.

Bij DirectAdmin (Installatron) is de extra functionaliteit een stuk beperkter als t.o.v. Plesk. Dit is ook één van de redenen dat de DirectAdmin hosting pakketten een stuk goedkoper zijn, daar de licentie kosten hiervan een stuk lager zijn dan bij Plesk. Bij Plesk wordt iedere geinstalleerde Wordpress website geregistreerd binnen de Wordpress Toolkit van Plesk. De Wordpress Toolkit geeft niet alleen aan dat er updates zijn (voor Wordpress, plugins en/of thema's), maar geeft ook extra beveiligingsoptie's aan. Hieronder een voorbeeld van een website die niet goed (of helemaal niet) is beveiligd; ook loopt de eigenaar achter met verschillende Wordpress updates.

  

Het opschonen van een gehackte Wordpress website is, in de meeste gevallen, niet éénvoudig; het gaat u behoorlijk wat tijd en energie kosten om dit te kunnen oplossen. Ook is het deels afhankelijk van hoe een hacker toegang heeft gekregen tot uw Wordpress website. Meestal komt dit door een oude of niet meer onderhouden plugin of er zijn extra (admin) gebruikers binnen uw Wordpress installatie. Indien u wenst dat wij uw Wordpress website opschonen, dan kan dat, echter zal dit wel tegen het standaard tech tarief gebeuren.

Wanneer u een backup heeft (van voor de hack), dan is het advies om deze backup altijd terug te plaatsen. U dient daarna nog wel te controleren of uw website veilig is, maar door een backup terug te plaatsen bespaard u een hoop energie en vooral tijd. Mocht u bij ons Backupmaster afnemen, dan kunnen wij een backup terug plaatsen binnen een tijdsbestek van 28 dagen (zowel website alsook database tabellen). Dit geldt voor shared hosting klanten. Indien u een eigen server of reseller pakket heeft en u heeft Backupmaster afgenomen, dan kan u ook zelf een backup terug plaatsen via Backupmaster uiteraard.

Of u nu een backup terugplaatst of niet het is raadzaam om de volgende stappen door te nemen;

• Pas het wachtwoord van uw Plesk / DirectAdmin account aan
• Pas het wachtwoord aan van uw FTP-gebruiker
• Pas het wachtwoord aan van uw MySQL database (en pas dit tevens aan in het wp-config.php bestand)
• Pas het wachtwoord aan van uw Wordpress gebruiker
• Controleer binnen uw Wordpress interface of er geen vreemde / onbekende gebruikers staan (zonodig verwijderen)
• Controleer via phpMyAdmin in de tabel XX_users of daar ook geen vreemde gebruikers staan (zie screenshot hieronder)

U kan normaliter ook deze gebruiker terug vinden in uw Wordpress omgeving, maar voor de zekerheid kunt u dit dus ook controleren binnen phpMyAdmin.

En nogmaals; zorg ervoor dat uw Wordpress installatie (inclusief plugins en thema's) helemaal up-to-date zijn! Wanneer er voor een bepaalde Wordpress plugin al geruime tijd geen updates zijn geweest, controleer dan of deze überhaupt nog onderhouden wordt door de ontwikkelaar. Dit kan u gemakkelijk zelf uitvinden door dit op te zoeken op Google.

Wij ontvangen met enige regelmaat support tickets inzake gehackte Wordpress websites waarbij men aangeeft dat alle updates voor Wordpress, Wordpress plugins en Wordpress thema's zijn geinstalleerd. Bij controle door ons blijkt dan dat men een plugin uit 2016 gebruikt die daarna nooit meer geupdate is. Uiteraard kan zo'n Wordpress plugin nog gewoon werken, maar kan wel talloze exploits bevatten waardoor derden dus toegang kunnen krijgen tot uw gehele Wordpress website! Dat is natuurlijk niet iets wat u wenst en wilt voorkomen.

Wanneer een dergelijke plugin langer dan een paar maanden geen updates meer heeft ontvangen, dan is het wellicht raadzaam om te controleren of deze nog wel door de ontwikkelaar ondersteund wordt of dat deze in zijn geheel is gestopt met de plugin. Uiteraard kan het ook zo zijn dat er géén updates voor noodzakelijk zijn, maar dit kan u altijd zelf controleren door dit op te zoeken via Google of op het forum van de desbetreffende plugin / thema.

Overige zaken inzake Wordpress

• Wanneer u "Reacties (Comments)" niet gebruikt, zet deze dan uit in uw Wordpress installatie om talloze spam emails te voorkomen
• Beveilig altijd uw (contact)formulieren met een (re-)Captcha code; op deze manier voorkomt u hiervan misbruik
• Wanneer u een nieuwe Wordpress website online plaatst (en deze goed functioneert), verwijder dan altijd uw oude website
• Wanneer u bepaalde Wordpress plugins niet gebruikt (of deze uit heeft staan), verwijder deze dan ook altijd
• Scherm de Wordpress login pagina's (bijvoorbeeld wp-login.php) volledig af (bijvoorbeeld alleen voor uw IP-adres)

Zet Wordpress "reacties" uit wanneer u deze niet gebruikt. Dit kan een stormvloed aan spam voorkomen.
Zo kwamen wij onlangs een account tegen die meer dan 1.500.000 comments had staan. Ook al worden deze dan niet geplaatst op de website, dit wordt wel misbruikt en zal de database performance ook geen goed doen.

Hetzelfde geldt eveneens voor de registratie functie. Wanneer u dit niet gebruikt, dan deze instelling gewoon uitzetten. Dit kan eveneens een hoop spam (en ergenis) voorkomen.

En tot slot...

Wordpress is aan fantastisch programma om redelijk éénvoudig een mooie en professionele website online te plaatsen. Het is dan ook niet verwonderlijk dat zoveel mensen Wordpress gebruiken en nog maar te zwijgen hoeveel gratis en betaalde uitbreidingen hiervoor te krijgen zijn. Echter hierdoor is deze programmatuur ook zeer geliefd bij malafide gebruikers. Zo wordt Wordpress niet alleen misbruikt voor frauduleuze websites, maar zijn dergelijke Wordpress websites ook vaak doelwit van zogenaamde DDoS aanvallen en verschillende hack pogingen.

Als u uw Wordpress website goed beveiligd en daarnaast regelmatig van updates voorziet, dan zal er weinig aan de hand zijn. Het meerendeel van onze Wordpress klanten hosten hun website al jaar en dag zonder problemen. Dit zijn de klanten die dan ook nooit problemen hebben omdat zij dus wel hun Wordpress website goed beveiligen en daarnaast periodiek van updates voorzien. Ook veranderen deze klanten regelmatig hun wachtwoorden (wat sowieso aan te bevelelen is, ook inzake emailaccounts e.d.). Dus een veilige Wordpress website kan altijd. U dient hier alleen tijd en energie in te steken, maar dat is met alles uiteraard.

Wanneer uw Wordpress website gehackt is en u komt er niet aan uit, dan kan u altijd een support ticket aanmaken bij ons. Afhankelijk van de situatie kunnen er wel tech kosten berekend worden hiervoor, maar dit zal altijd op voorhand aangegeven worden. Op die manier komt u niet voor nog meer "verrassingen" te staan. Wij zijn nooit verantwoordelijk voor het onderhoud van uw Wordpress website of onderliggende Wordpress plugins en/of Wordpress thema's. Dit moet u zelf doen of diegene die uw website heeft gebouwd!

Aangezien Wordpress continu geupdate en vernieuwd wordt, zullen wij deze pagina ook regelmatig voorzien van updates en nieuwe toevoegingen.

Regelmatig krijgen wij te horen dat een Wordpress website traag is. Graag geven wij hierin meer informatie; wat de mogelijke oorza(a)k(en) zijn en wat men hier tegen kan doen.
Vooropgesteld; al onze servers zijn geoptimaliseerd om probleemloos normale Wordpress websites te draaien.

Wordpress op zichzelf is redelijk snel, dit kan ook gemakkelijk getest worden vanaf iedere server bij ons. Het probleem is dat men tegenwoordig een bepaalde thema installeert (bijvoorbeeld een thema van ThemeGrill) waarbij vervolgens 20 tot 30 verschillende Wordpress plugins worden geinstalleerd. Dan is het niet vreemd dat de performance van een Wordpress website snel achteruit holt. En vergeet niet dat Wordpress uit meer dan 345.000 programmeer regels bestaat; dit betrof een versie van december 2020, dus het aantal zal vandaag de dag (zeker met Wordpress 6.x) vele malen hoger liggen. En dan is dit aantal programmeer regels nog altijd zonder Wordpress plugins! Heb je 15 of meer Wordpress plugins, dan zal het zomaar 25% tot zelfs 80% meer kunnen zijn. Dit zorgt niet alleen voor performance verlies, maar ook voor extra veiligheidsrisico's uiteraard.

Een "zelf ontwikkelde" website in puur HTML, PHP, JS/jQuery en seperate database zal altijd vele malen sneller zijn als welke Wordpress website dan ook. Het is een wereld van verschil of je webbrowser of server 345.000 programmeer regels moet inlezen c.q. verwerken of minder als 10.000 programmeerregels. En dan hebben wij het nog niet eens over het aantal database connecties die verschillende Wordpress plugins maken. Maar goed; Wordpress is gemaakt voor gebruikersgemak (dus zeer gebruiksvriendelijk) en om relatief snel een goed en/of mooi resultaat te krijgen. Dit alles tegen minimale kosten; Wordpress zelf is gratis en sommige (goede) Wordpress plugins kosten een minimaal bedrag. Daarnaast is het relatief éénvoudig om een webshop op te zetten met Wordpress in combinatie met WooCommerce. Dus al met al is Wordpress een prachtig medium en kan vrij snel geladen worden, mits er optimalisaties worden uitgevoerd door u en/of uw website bouwer.

Het is de grootste onzin dat onze servers niet geschikt zijn voor Wordpress! Alle Plesk hosting pakketten die wij aanbieden zijn optimaal ingesteld voor Wordpress websites (mits geoptimaliseerd uiteraard) om zo de beste performance te leveren. Sowieso worden Plesk webhosting pakketten uitsluitend aangemaakt op de snelste server hardware die normaliter bestaat uit meerdere CPU cores (minimaal 8 dedicated cores), een grote hoeveelheid RAM (48 GB of meer) en het opslagmedium bestaat altijd uit een (minimaal) RAID 5 of RAID 10 configuratie op basis van meerdere Enterprise SSD's. En daarnaast doen wij niet aan over-selling (dat wil zeggen teveel hosting accounts op een server plaatsen om maximale verdiensten te behalen). Dus nogmaals; aan onze (Plesk) hosting servers ligt dit absoluut niet. Wij krijgen regelmatig emails/tickets dat de webdesigner aangeeft dat de performance niet deugt of dat er géén hogere PHP-versie kan gekozen worden. Dat is echt onzin! Wat de persoon of bedrijf in kwestie er alleen vergeet bij te vermelden is dat men zelf ook nog eens provisie krijgt wanneer men u onder brengt bij de hostingprovider die hun "toevallig" aanbevelen. Meestal ook nog eens spotgoedkoop het eerste jaar en de volgende jaren zijn de prijzen 10 keer (of zelfs meer) hoger. Wij zien derhalve ook vaak klanten die weer na 1 of 2 jaar terug keren bij ons. En sommige klanten zijn al vanaf het begin bij ons qua hosting of andere diensten. Dat zegt op zich al meer dan genoeg.

Klanten met een server (VPS/DPS) kiezen meestal voor de extra optie Redis caching of Varnish Cache. Ook deze twee kunnen de performance vele malen verbeteren van Wordpress websites. Ook andere soorten websites kunnen hiervan profiteren, dus niet alleen Wordpress. Al onze (nieuwe) reseller pakketten hebben standaard Redis caching geactiveerd staan en kan vrij worden gebruikt. Voor Plesk reseller pakketten is er ook een "Super performance"-optie, waar ook nog eens gebruik gemaakt kan worden van Varnish cache tesamen met de performance van een snellere serveromgeving op basis van cloud enterprise SSD's.

Over Wordpress, Wordpress in cijfers en Wordpress beveiliging
Wordpress is een prachtig mooi medium om gemakkelijk een website online te plaatsen. Zo kan men een vrij simpele website online zetten, maar ook redelijk geavanceerde websites. Wordpress is door de jaren heen behoorlijk geevolueerd; wat logisch is, daar Wordpress al ruim 17 jaar (!) bestaat en er zijn meer dan 35.000.000 Wordpress installaties wereldwijd. Wordpress op zichzelf heeft alleen al meer dan 345.000 programmeer regels (of zelfs meer ondertussen, zie ook hierboven). Van alle websites, gebasseerd op een CMS (Content Management Systeem), is meer dan 60% een Wordpress website. Ondertussen zijn er meer dan 62.000 verschillende (gratis en betaalde) Wordpress plugins te verkrijgen.

Mede door de populariteit van Wordpress is de kans op hacks ook een stuk aannemelijker. Zo zijn er tot op heden ruim 150.000 kwetsbaarheden gevonden in Wordpress. Deze kwetsbaarheden (welke tot een gehackte Wordpress website kunnen leiden) kunnen onderverdeeld worden in:

• Aantal kwetsbaarheden in Wordpress bestanden: ~18.000
• Aantal kwetsbaarheden in Wordpress databases: ~22.000
• Aantal kwetsbaarheden in Wordpress plugins: ~90.000
• Aantal kwetsbaarheden in Wordpress thema's: ~21.000

Dat zijn werkelijk waar extreem alarmerende aantallen en hierbij valt het direct op dat de grootste oorzaak van kwetsbaarheden (en de daaropvolgende hacks) Wordpress plugins zijn. Als resultaat hiervan worden er jaarlijks meer dan 60.000 Wordpress websites gehackt en vervolgens misbruikt voor andere doeleinden of u wordt onder druk gezet om "losgeld" te betalen om uw website weer online te krijgen. Via Google is gemakkelijk uit te zoeken (voor een website bouwer) welke plugins onveilig of discutabel zijn. Gebruik anders eens deze zoekopdracht hier op Google. Of kijk eens hier voor een aantal voorbeelden.

Van alle Wordpress websites wereldwijd is slechts een kleine 35% helemaal up-to-date. Wederom is dit ook een schrikbarend laag percentage. Zo zijn er momenteel ruim 35.000 Wordpress plugins die onlangs niet geupdate zijn. Dit is weer onder te verdelen als volgt:

• Bijna 17.500 Wordpress plugins heeft geen enkele update gehad in 2 jaar tijd
• Bijna 14.000 Wordpress plugins heeft geen enkele update gehad in 3 jaar tijd
• Bijna 4.000 Wordpress plugins heeft geen enkele update gehad in 7 jaar tijd

Bijna de helft van alle gehackte Wordpress websites zijn slecht of niet onderhouden Wordpress websites die drastisch achterlopen inzake updates en de aanbevolen veiligheids aanpassingen.
De bovenstaande statistieken en gegevens dateren nog van 2017 (zeer groot onderzoek destijds door diverse veiligheids- en tech bedrijven), maar zullen anno vandaag de dag alleen maar extremere vormen hebben aangenomen, helaas...

Daarom en nogmaals herhalen wij dit voor de zoveelste keer; hou uw Wordpress installatie altijd up-to-date! Update Wordpress en alle componenten periodiek (minimaal 1 keer per maand). Onder dergelijk onderhoud wordt dus niet alleen Wordpress zelf verstaan, maar ook Wordpress plugins en Wordpress thema's. En controleer altijd of een plugin / thema überhaupt nog wel updates ontvangt van de ontwikkelaar. Wij zien echt met enige regelmaat gehackte Wordpres websites waarbij de klant aangeeft helemaal up-to-date te zijn en dus de laatste updates heeft geinstalleerd. Echter bij controle blijkt men dan een Wordpres plugin te gebruiken uit 2018 die dus al meerdere jaren geen updates meer heeft gehad door de ontwikkelaar en vervolgens een kwetsbaarheid (= lek) bevat in de programmatuur, waardoor derden uw Wordpress website binnen kunnen komen.

Daarnaast zorg ervoor dat uw Wordpress altijd beveiligd is en dat de beveiliging eveneens up-to-date is. Bij Plesk kan men gratis gebruik maken van de Plesk Wordpress Toolkit; deze geeft duidelijke en zeer goede adviezen inzake de beveiliging van uw Wordpress website die u zelf gemakkelijk kunt toepassen (en ongedaan maken). Waarom hiervoor ook weer een legio aan extra plugins downloaden met alle gevolgen van dien qua performance, veiligheid en de kans op niet werkende website. Helaas is deze optie niet aanwezig bij de DirectAdmin Budget pakketten. Indien u deze zeer gebruiksvriendelijke oplossing wenst, dan zal u moeten overstappen naar een Plesk webhosting pakket. Het overzetten / migreren van DirectAdmin naar een Plesk webhostingpakket (Regular of hoger) is altijd kosteloos bij ons.

Dan ook bij deze nogmaals het verzoek om altijd uw contactformulieren te beveiligen met een (re-)Captcha code. Er is absoluut geen enkele reden om dit niet te doen. Er zijn diverse oplossingen hiervoor en ook voor de bekendste (contact)formulieren voor Wordpress. Bijna allemaal hebben ze een (re-)Captche beveiliging. Dit zorgt ervoor dat uw (contact)formulieren niet misbruikt kunnen worden om spam te versturen. Ook al bent u in de veronderstelling dat uw formulier niet misbruikt zal worden, dan bent u echt abuis! Ieder onbeveiligd (contact)formulier wordt vroeg of laat misbruikt. Daarom; beveilig altijd uw al uw (contact)formulieren. Als u dit niet doet en wij of onze andere klanten ondervinden hier hinder van, dan zetten wij bepaalde functies inzake uw hostingaccount gewoonweg uit. Wij willen gewoon niet dat ons netwerk en andere klanten de dupe worden van uw nalatigheid in deze. Het beveiligen van welk formulier dan ook duurt hoogstens 1 á 2 minuten. Dus er is absoluut geen reden om dit niet te doen!

Het runnen van een succesvolle Magento webshop is de kern van een balans tussen de kosten en hoe de webshop presteert. Met de verschillende functionaliteiten die Magento biedt is het gedesigned om het beste te presteren in een dedicated hosting omgeving. 

Maar wanneer je een grote Magento webshop hebt die dagelijks honderden transacties ontvangt, dan is het zeker verstandig om voor een VPS of een Dedicated server te kiezen. Deze twee oplossingen geeft programmeurs de kans op de hostingomgeving optimaal te configureren, zodat je de beste ervaringen voor je bezoekers kunt realiseren.

Echter voor de kleine webshops zijn oplossingen zoals Shared Webhosting een goed startpunt. Maar we begrijpen natuurlijk dat je als beginnende webshopeigenaar ergens moet beginnen. Daarom is het ten eerste belangrijk dat je Magento webshop zo snel mogelijk is. Hieronder vindt 7 manieren waarmee je je Magento webshop sneller kunt maken.

Cache Settings

Door de cache settings te enablen in je Magento webshop zal de prestaties van je webshop verbeteren door het laden in de database te verkleinen. Deze instelling is in te stellen door naar System > Cache Management te gaan en enable dan all cache types.

Sessions Storage

Deze instelling is ideaal voor mensen die hun webshop hosten op een Shared Webhostingpakket. Je zult het bestand local.xml vinden op je server in de map app/etc/ en dan is het verstandig om te kijken of alle instellingen goed staan dat de sessions in the database geplaatst worden in plaats van in het filesysteem.

PHP Versie

Door up te graden naar de nieuwste PHP versie zie je al direct meer verbeteringen. Je kunt je PHP versie upgraden via de speciale gateway van je hostingprovider. Je kunt het beste altijd even contact opnemen met je hostingprovider of je dit zelf kunt doen of dat dit door de provider zelf gedaan moet worden.

Flat Catalog

Magento slaat data op van producten zoals het product ID en prijs in verschillende tabellen. In sommige gevallen kan het even duren voordat alles goed geladen is. Flat Cataloging is het data plaatsen in één tabel wat ervoor zorgt dat producten sneller geladen worden op de website. Dit kun je activeren door te navigeren naar System > Configuration > Catalog > Front End en dan Yes klikken voor Category een Product Flat Catalog.

Javascript en CSS Files configureren

Het samenvoegen van Javascript- en CSS-bestanden zal het aantal HTTP-requests op je website een stuk verminderen. Ga naar System > Configuration > Developer en selecteer Yes voor Merge Javascript Files en Merge CSS Files. Je kunt hier ook de Fooman Speedster extension voor gebruiken, maar in sommige gevallen zorgt het voor een paar gebruikers problemen.

Magento Log

Normaal gesproken logt Magento van alles en na een tijdje kan dat uitgegroeid zijn tot een grote database. Maar in de meeste gevallen heeft dit geen zin, dus dan is het verstandig om dit aan te passen. Dit doe je door naar System > Configuration > Developer > Log Settings te gaan en alles uit te zetten.

Extension Management

Het deïnstalleren van extensies die je niet gebruikt kunnen een negatief effect hebben op de snelheid van je website. Daarom is het verstandig om voorzichtig te zijn met het deïnstalleren van extensies

Sum-up:

1. Tune the MySQL. You have no query cache, no thread_cache_size, no innodb_buffer_pool_size set.
If you have no idea where to start, I recommend the tool mysqltuner which can be found here: http://mysqltuner.com/

2. setup a robots.txt - currently you allow all crawlers to overload your website by crawling each and every region, including non-cached areas like search, filters, shopping bag, ......
The attached robots.txt is a good example for Magento

3. block malicious bots - malicious bots ignore all rules and send dozens of parallel requests per second, overloading the website - just to find security holes etc. pp
Reommendation: Place the following lines IN TOP of your .htaccess file:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (TwengaBot|BLEXBot|YandexBot|YandexImages|Ahrefs|MJ12bot|bingbot|BingPreview|alltheweb|baidu|msnbot|slurp|HubSpot) [NC]
RewriteCond %{REQUEST_URI} !^/403.shtml
RewriteRule .* - [R=403,L]

4. use a good working full page cache system like Varnish - this costs memory, but will reduce the load massively. For Magento a combination of Varnish with the module Turpentine is recommended.
Together with eg. Redis or Memcached for session and cache storage, you can gain massive performance improvements - see eg. a comparison here: http://info.magento.com/rs/magentocommerce/images/HostandBoastBestPracticesForMagentoHosting.pdf

5. Magento needs on its own already in production environment 2 GB of RAM, for installations with a big catalog it's even 2 GB per CPU core! Additional, each of the performance improvements like MySQL caching, Varnish, Redis and Memcached need memory!

6. Run only one shop per VPS if you have limited resources. If the memory and resources are tight for one shop, it's absolutely devastating for additional shops!

7. Check the extensions. Some of them provide interesting features, but are massive performance killers

8. Keep the Layout template clean. The more JavaScript you load and the more additional data is displayed per screen, the slower loads the shop. Even worse are external plug-ins (Facebook, Twitter, ...) as they need to be loaded with EACH page call from the external servers and depend therefore on the loading speed of those servers.
Use tools like YSlow to detect performance bottlenecks in your layout

9. Updating products, stocks, or prices, or running jobs to recreate/reorganize the cache or the search results during normal business hours blocks current users in the shop, as they have to wait until the database is ready with all the work

10. Monitor MySQL for slow queries and keyless searches to find problems in modules

11. For bigger catalogs use professional search plug-ins, which are way more effective

12. The search is always the slowest part of a shop - use it wisely. Don't use search links in Navigation or for SEM/Newsletters.

Tips om je webshop of website sneller te maken

Websites of webshops die niet vooruit te branden zijn, die je zul je veel tegenkomen. Het is vooral een grote ergernis waar veel bezoeker uit frustratie snel weg klikken. Dit is natuurlijk dodelijk voor je website en natuurlijk je conversie. Daarom is het nu tijd om daar iets tegen te doen. Hieronder staan een paar tips waarmee je jouw webshop of website sneller kunt maken.

Tip 1: Fuseer de javascript bestanden
Indien je een CMS-systeem zoals Magento is het mogelijk om javascript bestanden te mergen. Hierdoor worden er verschillende javascripten achter elkaar geplakt, zodat er één groot javascript bestand ontstaat. De internetbrowser van de bezoeker hoeft hierdoor niet meer vijf bestanden te laden, maar slechts één bestand.


Tip 2: Fuseer de CSS bestanden
Eigenlijk is dit hetzelfde als de merge van de javascript bestanden, maar gaat het hier om de CSS bestanden. Nadat je dit hebt aangezet, wordt er nog maar één CSS bestand ingeladen i.p.v. meerdere CSS bestanden. Maar test dit wel goed! Het gaat namelijk niet altijd goed. Onlangs hebben we bij een klant CSS merge aangezet, waarna de footer een ander lettertype kreeg.


Tip 3: Zet logging uit
Vooral het loggen van acties kan handig zijn in de bouwfase van een webshop. De developers kunnen dan het log raadplegen, als het niet helemaal gaat zoals het bedoelt is. Het wegschrijven van een logbestand kost ook tijd en geeft ook belasting op de harde schijf. Het is dus een overweging om een logging uit te schakelen.


Tip 4: Gebruik de "output_compression"
Als je de optie “output_compression” in je htaccess bestand aanzet, wordt de output van PHP gecomprimeerd verstuurd. Hierdoor ontvangt je browser kleinere ‘pakketjes’ (afbeeldingen, text, javascript, etc.). En kleinere pakketjes zijn sneller gedownload.


Tip 5: Maak gebruik van "mod_expires"
Hiermee geef je aan de browser aan hoelang bijvoorbeeld css bestanden uit de cache van de browser geladen mogen worden. Idem dito voor .jpg’s.


Tip 6: Optimaliseer en versnel de database
Dit klinkt heel technisch, maar dat valt erg mee. Vanuit het controlepaneel zoals DirectAdmin/Plesk kun je database tabellen optimaliseren. Dat kun je doen nadat je flink wat dingen uit de database hebt verwijderd.

Naast deze tips die je volledig zelf in de hand hebt, is natuurlijk de hostende partij die gedeeltelijk verantwoordelijk is voor de server performance. Indien je bij een hostingpartij zit waar je jaarlijks slechts een paar eurotjes betaalt, dan is de kans groot dat de server waar je website of webshop op staat erg vol staat met andere klanten (overselling, hoe meer accounts hoe beter voor de hostende partij!). Daarom is het altijd verstandig dat je in zee gaat met een betrouwbare hostingpartij die al wat jaren recht van bestaan heeft met een gedegen support afdeling.


Tip 7: Test uw website real-time
Er is een gratis online dienst van GTmetrix waar u de snelheid van uw website (gratis) kunt testen. Tevens krijgt u hier een aantal tips en verbeter punten m.b.t. uw website. Zoals aangegeven geeft GTmetrix een duidelijk inzicht in de "knelpunten" van uw website en wat u eraan kan doen om dit te verbeteren. Normaal gesproken is een score van 80% (of hoger) voor PageSpeed en YSlow goed te noemen. Uiteraard geldt hoe hoger, hoe beter uw website is opgesteld en dus ook sneller laadt voor uw bezoekers. Klik hier om de website van GTmetrix te bezoeken en test uw website vandaag nog.

Pas op voor "gratis" commerciële WordPress plug-ins

Eén van de grote voordelen van het WordPress contentmanagementsysteem is de enorme hoeveelheid beschikbare plugins — ruim dertigduizend op dit moment — waarmee je allerlei denkbare functionaliteiten aan het systeem (en je website) kunt toevoegen. Het overgrote deel van deze plugins is gratis te downloaden, maar voor een aantal, vaak meer geavanceerde downloads, moet betaald worden.

Zoals met alle software gebeurt, duiken van populaire commerciële plugins vaak al snel gratis downloads op. In sommige plugins worden de nodige aanpassingen gemaakt waardoor ze zonder aankoop te gebruiken zijn, waar dat bij anderen niet eens nodig zal zijn.

Deze "gekraakte" of gekopiëerde plugins komen niet terecht in de officiële database op wordpress.org, maar worden vaak via andere kanalen verspreid, zoals torrents en nieuwsgroepen, maar er zijn ook (populaire) websites gebouwd voor de verspreiding van dergelijke plugins.

Buiten het feit dat het in sommige landen illegaal is, en de ontwikkelaar niet financieel gestimuleerd, brengt het gebruik van dergelijke plugins voor de gebruiker potentieel ook gevaren met zich mee.

Buiten de gebaande paden treden

Waar de officiële Plugin Directory strenge eisen stelt aan ingestuurde plugins — die overigens nog steeds geen veiligheid kunnen garanderen — kunnen plugins die via andere kanalen worden aangeboden, allerlei aanpassingen bevatten die een WordPress-installatie kunnen schaden.

IT-beveiligingsbedrijf Sucuri deed onderzoek naar enkele gehackte WordPress-websites, en kwam daarbij kwaadaardige kopieën van commerciële plugins tegen. Een illegale kopie van een plugin waarmee websites voor zoekmachines geoptimaliseerd kunnen worden, bevatte bijvoorbeeld een toegevoegd stukje programmeercode dat automatisch en ongemerkt een nieuwe WordPress-gebruiker met volledige administratierechten aanmaakt, en kwaadwillenden derhalve toegang tot het systeem kon geven.

Een aanpassing in een andere "gratis" plugin zorgde ervoor dat één op de twintig niet-ingelogde bezoekers aan de betreffende website een paginagrote advertentie voorgeschoteld kregen, die vervolgens moeilijk te sluiten was. Omdat de eigenaar van het systeem doorgaans ingelogd zal zijn, en de kans anders slechts 1/20 is dat een advertentie vertoond wordt, zal hij of zij dit niet snel doorhebben.

Veilig plugins downloaden en gebruiken

Zoals van het WordPress-systeem — evenals alle andere cms-en — niet gezegd kan worden dat het volledig waterdicht is, geldt dat ook voor de meeste plugins, zowel gratis als commercieel. Het opvolgen van onderstaande tips kan de kans op een gecompromitteerd systeem echter aanzienlijk verkleinen.

1. Download alleen via de Plugin Directory of de website van de ontwikkelaar

• De meeste gratis plugins vind je terug in de officiële Plugin Directory op WordPress.org. Wie hier een plugin in wil laten opnemen, moet ervoor zorgen dat deze voldoet aan de richtlijnen, die bijvoorbeeld verbieden dat plugins ongewenste advertenties vertonen of gegevens verzamelen zonder toestemming van de gebruiker.
• Dat maakt het nog geen veilige haven, maar het is wel de plek waar het grootste deel van de WordPress-gemeenschap samenkomt, en waar daarom ook de meeste controle plaatsvindt. Ook kun je er eenvoudig zien welke plugins veel gebruikt worden, en of de ontwikkelaar deze nog actief ondersteunt.
• Commerciële plugins worden vaak aangeboden via de officiële website van de ontwikkelaar, die in de regel ook de betaling afhandelt, en waar je eventueel ondersteuning kunt krijgen. Omdat zij financieel baat hebben bij tevreden gebruikers, is het doorgaans veilig om hier plugins te downloaden.

Websites die verzamelingen van plugins aanbieden, in de vorm van directe downloads of links naar file sharing websites, kun je beter mijden. Virusscanners zullen malafide WordPress-plugins niet detecteren.

2. Probeer commerciële plugins niet gratis te verkrijgen

• Iedereen bespaart graag geld, en een gratis aanbieding van een commerciële plugin kan dan ook aanlokkelijk zijn. Houd echter rekening met de risico's: ten eerste kan er met de plugins geknoeid zijn, waardoor je je website mogelijk openstelt voor kwaadwillenden, en ten tweede hoef je niet op updates te rekenen.
• Wanneer er bijvoorbeeld een (beveiligings)probleem in de plugin wordt ontdekt, zul je vatbaar blijven tot je via dezelfde illegale kanalen een update vindt, je toch het origineel koopt, of tot je de plugin verwijdert.

3. Update WordPress en alle plugins regelmatig

• Of je nu wel of niet gebruikt maakt van plugins, het verdient de aanbeveling om je WordPress-installatie altijd zoveel mogelijk up-to-date te houden. Zowel in het cms zelf als in geïnstalleerde plugins en thema's kunnen zo af en toe nu eenmaal beveiligings- of andere problemen ontdekt worden.
• Door met de nieuwste versies te werken, kun je niet alleen profiteren van alle aangebrachte verbeteringen, maar wordt de kans op misbruik van je website ook zoveel mogelijk verkleind.

4. Verwijder ongebruikte plugins

• Ongebruikte plugins voegen niets toe aan je WordPress-website, maar moeten niettemin up-to-date gehouden worden zolang ze geïnstalleerd zijn. Dat is zonde van je tijd. Bovendien is het zo, dat hoe meer complexiteit je aan WordPress toevoegt, hoe langzamer het systeem wordt.

Elk cms heeft zo haar voor- en nadelen. WordPress is met recht populair, maar trekt als gevolg daarvan ook veel kwaadwillenden die van die populariteit misbruik willen maken.

Wordpress staat bekend om zijn open karakter, de grote diversiteit aan grafische themes en de ongekende mogelijkheden van plugins. Maar doordat iedereen in de achterliggende code kan neuzen, brengt dit ook veiligheidsrisico's met zich mee. Wij hebben een aantal tips op een rij gezet, waarmee je de veiligheid van jouw WordPress website kunt verbeteren.

1. Update WordPress

Het is een beetje een no-brainer, maar wordt helaas nogal eens vergeten; zorg ervoor dat je ten allen tijde de laatste versie van WordPress op jouw server hebt staan. Het team achter WordPress brengt met grote regelmaat nieuwe versies van WordPress uit, waarmee bekende veiligheids problemen gedicht worden.
Zet het dus in je agenda of schrijf het op je voorhoofd: check periodiek of er een update is van WordPress.

2. Blokkeer XML-RPC

Het meerendeel van de problemen met Wordpress websites komt doordat het xmlrpc.php bestand niet goed is afgeschermd. Hierdoor is het mogelijke of DDoS aanvallen te doen en/of zogenaamde brute force aanvallen. Dit met alle gevolgen van dien; website of zelfs een complete server onbereikbaar. Terwijl dit relatief simpel is tegen te houden. Maak (of pas je huidige) .htaccess bestand aan in de hoofdmap waar Wordpress is geïnstalleerd. En plaats hierin de volgende regels:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

Vervolgens opslaan en klaar! Dit is nog géén minuut werk en scheelt een hoop ellende, voor zowel ons, voor u en (eventueel) overige klanten op de server. Ook krijgt u website dan geen slechte naam bij Google.
Ook zijn er tegenwoordig plugins die hetzelfde doen, echter gezien de éénvoud adviseren wij altijd om dit zelf aan te passen...

3. Update de plugins en themes

Het is aan ten zeerste aan te raden plugins (en themes) regelmatig te updaten én om niet gebruikte plugins te verwijderen. Dat maakt het niet alleen overzichtelijk, maar het verkleint ook de kans op veiligheidsproblemen. Zorg er bovendien voor dat je jezelf niet laat verleiden tot het downloaden van een gratis plugin of theme van een onbekende aanbieder! Ga daarvoor naar betrouwbare sites als wordpress.org of themeforest.com (commercieel) en check voor ingebruikname altijd of de plugin geen rare code bevat.

4. Zorg voor de juiste bestandsrechten

Verkeerde bestands rechten kunnen ertoe leiden dat mensen met snode plannen zich toegang kunnen verschaffen tot jouw server. Hier vind je een uitvoerige beschrijving van de bestands rechten zoals die voorgeschreven worden door WordPress.
Let op: Hoewel de permissie 777 normaal gesproken een absolute nee is, is het in sommige gevallen noodzakelijk dat de folder /uploads in /wp-content de permissie 777 krijgt. In dat geval is het aan te raden dat om in deze folder een .htaccess-file te plaatsen met de volgende inhoud:

php_value engine off

Dit zorgt ervoor dat php in deze map uitgeschakeld wordt en er dus geen kwaadaardige code geupload kan worden. Er bestaat een plugin waarmee u op gemakkelijke wijze de bestandsrechten van jouw WordPress website kunt checken: File Permissions & Size Check. Gemakkelijker kunnen we het niet maken!

5. Verberg de WordPress versie

Zonder veel technische kennis kan achterhaald worden welke versie van WordPress je geïnstalleerd hebt. Een vluchtige blik op de html-code leert je namelijk het volgende:

<meta name="generator" content="WordPress 3.5.1" />

Omdat algemeen bekend is welke veiligheidsrisico’s er bij een bepaalde versie van WordPress horen, zou deze wetenschap dus gebruikt kunnen worden om toegang te krijgen tot de server.
Er zijn een tweetal zaken die u kunt doen om te voorkomen dat onwillende het versienummer achterhalen:

1. Verwijder het bestand readme.html uit de root van jouw website.
Omdat dit bestand bij een update van WordPress automatisch weer wordt toegevoegd wordt, is het wellicht beter om ervoor te zorgen dat dit bestand niet meer aangeroepen kan worden. Dit doe je door de .htaccess-file te openen en de volgende code toe te voegen:

2. Open het bestand meta.php in de folder /wp-includes en voeg de volgende code toe:

Dit zorgt ervoor dat de versie-informatie niet meer te vinden is in jouw code.

6. Verberg foutmeldingen bij het inloggen

Een nadeel van het standaard WordPress inlog-scherm is dat bij verkeerd inloggen verteld wordt of het een verkeerde gebruikersnaam of een verkeerd wachtwoord betreft. Dit maakt het een stuk gemakkelijker om via ‘brute force’-login pogingen toegang te krijgen tot de website.
Om deze functionaliteit uit te zetten open je de file: functions.php in jouw WordPress theme en voeg je de volgende code toe:

Dit zorgt ervoor dat gebruikers een algemene foutmelding krijgen.

7. Gebruik .htaccess om wp-config.php te beschermen

Als WordPress gebruiker weet je waarschijnlijk hoe belangrijk de file wp-config.php is. Deze file bevat immers alle informatie die nodig is om toegang te krijgen tot jouw database. Om deze file te beschermen kun je het volgende doen:
Open de .htaccess file in de root van jouw website en voeg de volgende code toe:

Dit zorgt ervoor dat niemand toegang krijgt tot wp-config.php

8. Installeer de plugin BBQ: Block Bad Queries

Deze plugin zorgt ervoor dat jouw beschermd wordt tegen kwaadaardige URL aanvragen (zoals eval, base64, etc.). Je kunt deze plugin hier vinden.

9. Scherm de map /wp-admin af met een .htaccess-bestand

Het is van belang dat de map /wp-admin, het centrale zenuwstelsel van iedere WordPress website, niet geopend kan worden door andere mensen. Je kunt deze folder afschermen met een gebruikersnaam en wachtwoord.

10. Verwijder de gebruiker ‘admin’

Standaard geeft WordPress het administrator-account de naam ‘admin’. Als iemand zou proberen om via ‘brute force’ toegang te verkrijgen tot jouw website, dan gebeurt dit zeer zeker met de gebruikersnaam: ‘admin’. Je doet er dan ook goed aan om dit te wijzigen in iets anders.

11. Verander de database prefix

Omdat WordPress de standaard databaseprefix /wp_ heeft, hebben de database-tabellen van duizenden WordPress websites exact dezelfde naam. Mocht er op een bepaald moment een veiligheidslek ontstaan in een theme of plugin, dan zullen hackers zich met alle zekerheid gaan richten op deze database-structuur. Het is dan ook verstandig om bij installatie van jouw WordPress site, deze prefix te veranderen. Je opent hiervoor de file wp-config.php en geeft een alternatieve prefix op, zoals:

Heb je WordPress reeds geïnstalleerd zonder deze prefix te wijzigen? Geen probleem, want dit kun je op ieder willekeurig moment doen. Dat kan handmatig, maar er zijn gelukkig ook plugins die het voor u regelen. Een voorbeeld hiervan is: Change DB Prefix.

Let op: zorg ervoor dat je altijd een backup maakt voordat je aan de slag gaat met de database en zorg ervoor dat u de nieuwe prefix ook in wp-config.php verwerkt.

Een aantal klanten krijgen de volgende melding te zien inzake hun website op een Plesk server:

Wordpress notifications are received: Failed to reset cache for the instance #XX: An error has occurred when decoding JSON: Decoding failed: Syntax error

Dit probleem wordt veroorzaakt door een problematische Wordpress plugin of Wordpress thema. Dit kan dus diverse oorzaken hebben:

• Het betreft een custom Wordpress plugin of thema
  • Dus niet een standaard Wordpress plugin of thema
  • Neem contact op met de ontwikkelaar van de plugin/thema

• Het betreft een verouderde Wordpress plugin of thema
  • Waarschijnlijk kan u dit oplossen door deze plugin of thema te updaten
  • Controleer of er updates beschikbaar zijn voor de plugin/thema in kwestie

• Het betreft een Wordpress plugin of thema die niet meer onderhouden/ontwikkeld wordt
  • U zal dan diegene moeten raadplegen die uw website heeft gebouwd
  • Deze zal een vervangende Wordpress plugin/thema moeten zoeken en installeren voor u

Dit is geen server gerelateerd probleem, maar heeft puur en alleen betrekking op uw Wordpress website. In uitzonderlijke gevallen kan het nog een bug betreffen in de Wordpress Toolkit van Plesk. In dit laatste geval, dient u even een paar dagen te wachten totdat Plesk hiervoor een update/bugfix voor uitbrengt. Dit wordt volledig automatisch geregeld door Plesk; m.a.w. wij kunnen dit versnellen en/of bespoedigen.

Onze ervaring leert echter dat dit vaak gewoon te wijten is aan een bepaalde Wordpress plugin of Wordpress thema. Met name custom c.q. zelfgemaakte Wordpress thema's leveren problemen op. Een custom Wordpress thema is natuurlijk mooi en uniek, maar doordat Wordpress telkens geupdate wordt, kan bepaalde (PHP) code in het thema niet meer correct functioneren. Dan krijg je een dergelijke melding zoals hierboven. Zie ook wat Plesk zelf aangeeft over deze foutmelding: https://support.plesk.com/hc/en-us/articles/12377006083735?page=1#comment_18266467676055. Hier wordt duidelijk vermeld dat deze melding veroorzaakt wordt door een niet compatible Wordpress thema of plugin.

Het enige wat u kan doen nu is om alle Wordpress plugins en thema's na te lopen inzake uw Wordpress website en deze te updaten, waar nodig. Maak uiteraard wel op voorhaand een back-up via de Plesk Backup Manager; deze is voor iedereen met een Plesk webhosting pakket gratis te gebruiken en voorkomt een hoop ellende wanneer een update uw Wordpress website breekt.

Wanneer een websitebouwer de website heeft gemaakt c.q. ontwikkeld heeft, dan zal u met deze persoon/bedrijf contact moeten opnemen om het één en ander na te lopen. Wij maken geen websites (ook nooit gedaan) en onderhouden ook géén websites. Wij zijn een hostingprovider, dus wij leveren ruimte op onze servers aan klanten. Wat een klant hierop plaatst is aan hun zelf en met alle mogelijkheden van vandaag de dag, is dit onmogelijk om allemaal seperaat te controleren. Indien u toch wenst dat wij dit doen, dan zal dit tegen het tech tarief gaan en deze begint bij 90.00 Euro. De tech zal dan alle plugins en thema's handmatig moeten controleren, daar wij niet bekend zijn met de werking van de website, de gebruikte plugins en thema's. Het start tarief is inclusief 1 uur werkzaamheden, iedere daaropvolgende 15 minuten kost 20.00 Euro. Hou hier rekening mee.

Ons advies

Wij adviseren u als eerste een paar dagen geduld te hebben, want aangezien de Plesk Wordpress Toolkit zeer regelmatig geupdate wordt, kan het dus ook een bug hierin betreffen. Dit zal dan snel genoeg gemeld worden aan Plesk zelf en dan zal er binnen een aantal werkdagen (3 tot 5 werkdagen) een update of bugfix uitgebracht worden. Dit wordt uiteraard volledig door Plesk zelf geregeld en wij kunnen dit niet bespoedigen...

Indien het probleem nog steeds bestaat na ruim een week, dan adviseren wij u één van de hierboven genoemede stappen op te volgen, want dan ligt het probleem zeer zeker binnen uw Wordpress website. Meestal is hier een Wordpress thema of Wordpress plugin debet aan. Dus wanneer het probleem nog steeds aanwezig is na circa 1 week, dan zou u één van de bovenstaande stappen moeten opvolgen.

Wij hebben de afgelopen jaren al meerdere keren vermeld (via websites, nieuwsbrieven, Kennisbank artikelen en in diverse support tickets) dat het absoluut noodzakelijk is om formulieren altijd te beveiligen met een captcha code. Er is géén enkele reden om dit niet te doen!

Wanneer dit niet gedaan wordt, dan zal het formulier altijd misbruikt worden om spam te versturen. Met als resultaat dat de mail server op een zwarte lijst komt te staan en u (en mogelijk ook andere klanten) geen emails meer kunnen versturen. U dient dus altijd formulieren te beveiligen hiertegen! Doet u dit niet, dan zetten wij de sendmail functie t.b.v. de PHP uit inzake uw website! Wij hebben hier al talloze keren op gehamerd om dergelijke formulieren te beveiligen.

Welke formulieren dienen beveiligd te worden? Ieder formulier waar een emailadres op staat dient beveiligd te worden. Denk bijvoorbeeld aan:

• contact formulieren
• inschrijving nieuwsbrief
• reactie / reageer pagina's (ook wel comments genoemd)
• overig formulieren waar een emailadres opgegeven moet worden

Dergelijke formulieren dienen altijd afgschermd te worden. Nogmaals; er is géén enkele reden om dit niet te doen. Doet u dit niet, dan zullen wij bij misbruik de PHP sendmail functie in zijn geheel uitschakelen voor uw website. Dat wil zeggen dat men geen formulieren meer kan verzenden (en dus ook geen spam). Ondanks al onze waarschuwingen en meldingen zijn er nog altijd veel te veel websites die deze beveiliging niet doorvoeren. Resultaat? De mailserver komt op de zwarte lijst te staan en (overige) klanten kunnen geen emails meer versturen. Vervolgens kunnen wij een de-listing aanvragen voor de mailserver (wat vaak 24 uur duurt). Dit kost ons niet alleen een hoop tijd en geld, maar ook gaat dit iedere keer ten koste van de reputatie van onze IP-ranges.

Hier ook een voorbeeld van een onbeveiligd (contact) formulier:

En ja, dit formulier werd ook misbruikt om spam te versturen (enkele honderden spam emails). Ook van deze website hebben wij de PHP sendmail functie compleet uitgezet. Hierdoor werkt het contact formulier niet meer, maar zal deze ook geen spam meer versturen met alle problematiek van dien.

Dit betreft nota bene een Wordpress website, waar het heel gemakkelijk is om dergelijke formulieren kinderlijk éénvoudig af te schermen via een captcha code of een andere beveiliging. Hiervoor zijn een legio aan verschillende Wordpress plugins voor beschikbaar om dit gemakkelijk en snel te kunnen realiseren.

Ook voor "losse" formulieren (dus niet gekoppeld aan een CMS, zoals Wordpress) zijn er verschillende oplossingen beschikbaar. Zo is de meest bekendste van Google, met de naam reCAPTCHA. Zie voor meer informatie hier. Dus er is absoluut geen enkele reden om welk formulier dan ook niet te beveiligen! En nogmaals; indien uw website ons en overige klanten (herhaaldelijk) problemen bezorgd, dan zetten wij vandaag de dag gewoon de PHP sendmail functie uit. Het kost ons gewoonweg teveel tijd en energie om klanten hierop individueel te attenderen en dan af te wachten totdat er een oplossing wordt toegepast. Sterker nog; onze ervaring leert ons, dat klanten die verzuimen om formulieren te beveiligen, niet eens merken dat hun contact formulier niet meer werkt c.q. functioneert. Ook dat zegt al voldoende...

Resumé; iedere vorm van een formulier waar email mee verstuurd wordt, dient beveiligd te worden. Wordt dit niet gedaan en wij constateren misbruik (in de vorm van spam), dan zetten wij de PHP sendmail functie direct uit. Dit voorkomt niet alleen een hoop werk en kosten voor ons, maar voorkomt ook ellende voor andere klanten.

Doorverwijzing naar dit artikel via support ticket

Indien u naar aanleiding van uw support ticket naar dit Kennisbank artikel bent doorverwezen, dan is de kans zeer aannemelijk dat het formulier op uw website (herhaaldelijk) misbruikt werd/wordt om spam te versturen. Als een gevolg hiervan (en zoals u hierboven ook al heeft kunnen lezen) hebben wij dus de PHP sendmail functie compleet uitgeschakeld voor uw domein en/of webhostingaccount.

Dit zal pas wederom geactiveerd worden als u (of uw website bouwer c.q. beheerder) het probleem heeft opgelost en het (contact) formulier beveiligd heeft. Wanneer dit gebeurd is, dan kan u dit aangeven in het support ticket. Wanneer wij constateren dat dit daadwerkelijk is gebeurd en dat het formulier inderdaad is beveiligd, dan zullen wij wederom de PHP sendmail functie weer inschakelen voor uw domein en/of website.

Problemen met email verzenden en/of ontvangen

Onbeveiligde contact formulieren en/of uitgeschakelde PHP sendmail functie hebben niks te maken met problemen bij het verzenden of ontvangen van email via een email programma (op computer, laptop, tablet, telefoon e.d.) of via webmail. Indien u puur en alleen problemen heeft met het verzenden en/of ontvangen van email, dan raden wij u aan om één van de andere Kennisbank artikelen te raadplegen hierover.

Vaak is het probleem dat u verkeerde of oudere instellingen gebruikt, die vandaag de dag niet meer goed functioneren of onveilig zijn.

Tags: contact formulier, sendmail php, formulieren, onbeveiligde formulieren, captch, recaptcha

We krijgen met enige regelmaat support tickets dat opeens één of meerdere menu items of subpagina's niet meer werken inzake een Wordpress website.

Enkele voorbeelden:

• https://domeinnaam.tld/contact/
• https://domeinnaam.tld/nieuws/
• https://domeinnaam.tld/about-us/

Vaak worden deze problemen veroorzaakt dat men de website 100% draait via Nginx in plaats van Apache.
Wanneer men gebruik maakt van Nginx, dan wordt het .htaccess bestand niet meer uitgelezen. Nginx leest geen .htaccess bestanden uit, dat doet alleen Apache.

Om dit te herstellen zal u "Proxy mode" moeten inschakelen onder de domeinnaam in kwestie. Dit doet u via "Hosting & DNS", vervolgens "Apache & nginx Settings" en dan tot "Nginx settings" omlaag scrollen. Aldaar ziet men de optie desbetreffende optie staan: Proxy mode. Deze dient dus aangevinkt te staan. Na twee of drie minuten (afhankelijk van de drukte op de server) zal dit toegepast moeten zijn en zouden menu items en/of subpagina's weer moeten functioneren. Zie ook de screenshots hieronder.

Indien dit niet het geval is, dan kunt u het beste even een support ticket aanmaken.