Hoe Verlaten WordPress Plugins Op Te Sporen Die Je Site In Gevaar Kunnen Brengen

van Alejandro Granata
Hoe Verlaten WordPress Plugins Op Te Sporen Die Je Site In Gevaar Kunnen Brengen thumbnail

“Het is april. Wat doet de kerstboom in de woonkamer?”

Je hebt uren besteed aan het versieren van de kerstboom en het baden in fonkelende lichtjes.

Maar dat was in december.

Het leven werd druk en voordat je het wist, brak de lente aan. En nu hangt de arme boom in de hoek, naalden verliezend – een stoffig brandgevaar meer dan een feestelijk middelpunt.

Dat is wat er gebeurt met verlaten WordPress plugins.

We installeren ze om een reden, maar na verloop van tijd worden ze vergeten. Ongecontroleerde achtergelaten plugins worden beveiligingsrisico’s, waardoor je site blootgesteld wordt aan potentiële bedreigingen.

Laten we ze vinden en verwijderen.

Wat Is Een Verlaten Plugin?

Oh ja, eerst moeten we nog begrijpen wat een verlaten plugin precies is.

Een verlaten plugin is een WordPress plugin die niet meer door de ontwikkelaar wordt onderhouden of bijgewerkt. WordPress beschouwt een plugin als verlaten als deze meer dan twee jaar geen updates heeft ontvangen.

Zulke plugins kunnen onverenigbaar worden met de nieuwste WordPress-versies, wat kan leiden tot potentiële beveiligingskwetsbaarheden en functionele problemen.

Waarom Verlaten Plugins Een Groot Probleem Zijn

Verlaten plugins zijn als tikkende tijdbommen voor je WordPress-site. In 2023 waren 97% van alle nieuwe WordPress-kwetsbaarheden afkomstig van plugins, terwijl slechts 0,2% in de WordPress-kern zelf werd gevonden. Dat betekent dat bijna elk beveiligingsprobleem dat WordPress-sites treft afkomstig is van plugins en thema’s — niet van de kernsoftware.

Het WordPress kwetsbaarheidsrapport van SolidWP heeft dagelijkse updates over nieuwe kwetsbaarheden in het WordPress ecosysteem. Je zult bijna altijd nieuwe kwetsbaarheden voor plugins zien, maar zelden voor de WordPress kern.

Screenshot van de aankondiging van WordPress Core-update 6.7.2 met een markering van 35 bug fixes. Een groen vinkje geeft aan dat er geen nieuwe kernkwetsbaarheden zijn.

Dat zijn duizenden ondernemers die te maken hadden met:

  • Gemiste inkomsten tijdens websiteonderbreking.
  • In gevaar gebrachte klantgegevens.
  • Beschadigde reputatie en verloren vertrouwen.
  • Google die hun site als “mogelijk schadelijk” markeert.
  • Uren (of dagen) besteed aan het opruimen van de chaos.

Wanneer ontwikkelaars hun plugins verlaten, stoppen ze met het dichten van beveiligingslekken — wat perfecte ingangen creëert voor hackers.

Denk erover na:

  • Geen beveiligingsupdates = blootstelling van je site aan bekende kwetsbaarheden.
  • Geen compatibiliteitstesten met nieuwe WordPress-versies = gebroken functionaliteit.
  • Geen bugfixes = onverwacht gedrag dat je site kan compromitteren.

Nu heeft Wordfence’s WAF 3 miljoen aanvallen geblokkeerd van ongeveer 14.000 IP’s die gericht waren op plugin kwetsbaarheden in slechts de eerste helft van 2023.

Maar laten we aannemen dat je geluk hebt gehad, en dat de verlaten plugin die je hebt volledig veilig is om te gebruiken.

We moeten nog steeds prestatieproblemen aanpakken.

Elke nieuwe WordPress update verbetert de snelheid, vermindert redundantie in het systeem, en maakt de algehele website responsiever terwijl er meer functies worden toegevoegd.

Maar als de verlaten plugin de website vertraagt, worden deze snelheidsverbeteringen misschien nooit opgemerkt, en zou je gemakkelijk kunnen denken dat WordPress de schuldige is (hoewel dat nooit het geval is).

Er is ook een grote kans dat de plugin een conflict veroorzaakt met een nieuwere versie van WordPress en je blijft achter met een kapotte website.

Helaas, wanneer dat gebeurt met verlaten plugins, sta je er volledig alleen voor. Geen ontwikkelaar om vragen te beantwoorden, geen gemeenschapsondersteuning, geen documentatie-updates. 15,7% van alle kwetsbare plugins is volledig verwijderd uit de WordPress pluginrepository vanwege verlating.

Hierdoor blijven website-eigenaren onbewust verouderde, ongepatchte software gebruiken die hackers kunnen misbruiken.

Zeg eenvoudigweg — stap zo snel mogelijk af van dergelijke plugins.

Ontvang inhoud rechtstreeks in uw inbox

Meld u nu aan om alle laatste updates rechtstreeks in uw inbox te ontvangen.

Hoe Verlaten Plugins Te Herkennen

Het is tijd om je spreekwoordelijke vergrootglazen op te pakken en te beginnen met zoeken naar aanwijzingen die plugins onthullen die stof verzamelen in je WordPress-dashboard.

Hier zijn enkele dingen die helpen om te identificeren of er een achtergelaten plugin op onze website rondzwerft.

1. De “Laatst Bijgewerkt” Datum

De meest voor de hand liggende rode vlag is duidelijk zichtbaar.

In je WordPress-dashboard, ga naar Plugins > Installed Plugins.

WordPress-dashboard toont de pagina Geïnstalleerde Plugins. Het menu-item 'Plugins' is gemarkeerd in blauw met een paarse omlijning en pijlen die ernaar wijzen.

Klik dan op Bekijk Details om de plugingegevens te openen waar je de “Laatst Bijgewerkt” datum zult zien.

UpdraftPlus WP Backup & Migratieplugin detailsvenster in WordPress. Een paarse omlijning benadrukt het 'Laatst bijgewerkt: 2 weken geleden' gedeelte.

UpdraftPlus is een populaire plugin en wordt regelmatig bijgewerkt. Op het moment van schrijven was deze twee weken geleden geüpdatet, en het is veilig om te behouden aangezien er actieve ontwikkeling is.

Maar je kunt nog steeds een oudere plugin op je website hebben zoals de onderstaande, die NEGEN jaar geleden is bijgewerkt:

Detailsvenster van Content XLerator WP Public Plugin in WordPress. Een waarschuwing geeft aan dat de plugin niet is getest met de huidige WordPress-versie. Een paarse omlijning benadrukt 'Laatst bijgewerkt: 9 jaar geleden.'

Elke plugin die langer dan een jaar niet is bijgewerkt verdient je aandacht, terwijl diegene die al twee jaar niet zijn aangeraakt in de officiële “verlaten” categorie van WordPress vallen en zo snel mogelijk van je website verwijderd moeten worden.

Als er pagina’s zijn die nog steeds gebruikmaken van de functionaliteit van de plugin (misschien is het een oude formulierplugin en heb je nog steeds enkele formulieren), vervang dan de functionaliteit zo snel mogelijk door nieuwere plugins.

2. Controleer de Bijgewerkte Datum in de Plugin Zoekopdracht

Stel je voor dat je je volgende WordPress-plugin wilt installeren. Je wilt ook de laatst bijgewerkte datums in de zoekresultaten controleren.

Laten we dezelfde verlaten plugin uit het bovenstaande voorbeeld hier nemen. Als je gaat naar Plugins > Nieuwe Plugins Toevoegen en zoekt ernaar, zie je het onderstaande scherm:

WordPress Plugin toevoegen-scherm met de Content XLerator WP Public Plugin. Een paarse omtrek benadrukt 'Laatst bijgewerkt: 9 jaar geleden.' De plugin heeft minder dan 10 actieve installaties en is niet getest met de huidige WordPress-versie.

Merk op dat het de laatst bijgewerkte datum direct in de zoekresultaten weergeeft, zodat je kunt kiezen of je de plugin wilt installeren of niet.

Als je niet op je WordPress-dashboard bent, maar plugins opzoekt in de WordPress plugin directory, kun je op elke plugin klikken en de versie en “Laatst bijgewerkt”-datum zien in het informatiepaneel aan de rechterkant.

Pagina van de WordPress plugin directory voor 'Embed Plus for YouTube Gallery, Livestream, and Lazy Loading with Facades.' Een paarse omtrek benadrukt de plugindetails, inclusief versie 14.2.1.3, laatste update 3 maanden geleden, meer dan 100.000 actieve installaties, en compatibiliteit met WordPress tot versie 6.7.2.

Dat zou je genoeg informatie moeten geven om te beslissen of de plugin het overwegen waard is of niet.

3. Bekijk Ondersteuningstickets

Stel je ziet een plugin die onlangs is bijgewerkt maar slechts een paar actieve installaties heeft. Hoe kun je zeker weten of de plugin actief wordt ontwikkeld?

De supporttickets kunnen een duidelijk beeld geven.

Op de WordPress plugins-directorypagina ga naar elke plugin die je overweegt, en klik op de Ondersteuning-link direct onder de downloadknop.

WordPress plugin-directorypagina voor 'UsersWP – Front-end inlogformulier, Gebruikersregistratie, Gebruikersprofiel & Ledenlijst plugin voor WP.' Een paarse omtrek markeert de 'Support' link.

Op deze pagina zie je alle ondersteuningstickets die WordPress-gebruikers hebben ingediend.

WordPress supportforum voor 'UsersWP - Front-end loginformulier, Gebruikersregistratie, Gebruikersprofiel & Ledenlijst plugin voor WP.' Toont een lijst van recente supportonderwerpen, aantal deelnemers, reacties en de laatste postdata. Zijbalk-links bevatten Veelgestelde vragen, supportthreads en recensies.

Als je merkt dat de ontwikkelaar actief reageert op, vragen oplost, zelfs nieuwe functies op verzoek toevoegt, kun je gerust overwegen om de plugin uit te proberen.

Maar soms kan het voorkomen dat vragen wekenlang niet worden beantwoord en dat er geen echte ontwikkeling is aan de plugin. Dat is het moment om weg te blijven en iets actievers te zoeken.

4. Luister Naar De Waarschuwingen Van Je Dashboard

WordPress is als die slimme techneut in je team die alles in de gaten houdt.

Als de WordPress-kern, een plugin of thema verouderd is, er een nieuwe kwetsbaarheid is, of er een mogelijk conflict is, stuurt het je signalen, meldingen en foutberichten om dat duidelijk aan te geven.

WordPress-dashboard toont een waarschuwing 'PHP-update vereist'. Het bericht geeft aan dat de site een onveilige PHP-versie gebruikt en suggereert een update voor betere beveiliging en prestaties. Een paarse omtrek benadrukt het waarschuwingsvak.

Je kunt ervoor kiezen om deze te negeren en verder te gaan met de actie die je van plan was te ondernemen — maar we adviseren om naar deze waarschuwingen te luisteren.

5. Automatische Beveiligingscontroles Uitvoeren

Er zijn veel manieren om je WordPress-website te beveiligen. De gemakkelijkste manier is om slechts één beveiligingsplugin zoals Wordfence, Patchstack, Sucuri, etc. te installeren en het uit te laten zoeken of iets goed is voor je website of niet.

Wordfence-beveiligingsscaninterface die een voltooide scan toont met 100% detectie op standaard-, premium malwarehandtekeningen en reputatiecontroles. Er zijn geen nieuwe problemen gevonden. Verschillende beveiligingscontroles, inclusief spam, blokkeerlijsten, bestandswijzigingen en kwetsbaarheidsscans, worden weergegeven.
Bron

Deze plugins houden elke beveiligingskwetsbaarheid, verlaten of verouderde plugins, en eventuele problemen met de WordPress-kern bij. Als je website tekenen vertoont die overeenkomen met een van deze problemen, zal de plugin je onmiddellijk op de hoogte stellen.

Zij voeren ook geautomatiseerde achtergrondscans uit om kwaadwillende actoren op te sporen die proberen verouderde of verlaten plugins te misbruiken om ongeautoriseerde toegang tot je website te krijgen, of om eerder veilige plugins te identificeren die besmet zijn geraakt.

6. De Populariteitstest

En ten slotte, als je je geen zorgen wilt maken over de technische details, laat het dan over aan de menigte. De beste WordPress-plugins zijn ook degene met het hoogste aantal actieve installaties.

Wanneer je zoekt naar plugins in de WordPress plugins directory, klik dan op de tab Geavanceerde Weergave onder de plugin gegevens (het gedeelte waar we de “Laatst bijgewerkt” datum zien).

WordPress plugin 'Advanced View' pagina toont statistieken, inclusief actieve versies, dagelijkse downloads grafiek en totale downloadgeschiedenis. Een paarse omlijning benadrukt het totaal aantal downloads van 609,788,768. Plugin details, beoordelingen en ondersteunde versies worden ook getoond.

De geavanceerde weergave toont je statistieken over welke versie van de plugins door alle gebruikers wordt gebruikt, en hoeveel downloads de plugin dagelijks en wekelijks ziet, samen met de totale installaties.

Plugins met afnemende actieve installaties (minder dan 1.000), dalende downloadtrends of consequent slechte beoordelingen kunnen op weg zijn naar verwaarlozing — of zijn daar mogelijk al.

Over het algemeen, als je je beperkt tot de top WordPress plugins die actief gebruikt worden door veel mensen, zul je over het algemeen geen problemen ondervinden. Dat komt omdat de ontwikkelaars en de technisch onderlegde gebruikers op zoek zijn naar problemen in de code en deze oplossen zodra ze verschijnen.

Verlaten Plugins Gevonden? Dit Kun Je Doen

Dus je hebt de plugin equivalent van die vergeten kerstboom op je WordPress site ontdekt. Wat nu?

Hier is je stap-voor-stap reddingsplan om deze veiligheidsrisico’s veilig te elimineren zonder je site te beschadigen.

Stap 1: Vind Een Alternatief

Voordat je iets aanraakt, zoek een vervanging. Zoek naar actieve plugins die vergelijkbare functionaliteit bieden als jouw verlaten plugins.

De beste vervangingen zullen hebben:

  • Updates binnen de laatste 3 maanden
  • Compatibiliteit met jouw WordPress-versie
  • Sterke beoordelingen (4+ sterren)
  • Een responsieve ontwikkelaarsgemeenschap
  • Goede documentatie

Nerd Opmerking: Soms is de perfecte vervanging helemaal geen plugin! Veel functies waarvoor vroeger plugins nodig waren, zijn nu ingebouwd in de WordPress kern of je thema.

Stap 2: Maak een Complete Back-up

Een back-up is het vangnet van je website. Sla het niet over!

Maak een volledige back-up van je WordPress-site, inclusief bestanden en database.

Je kunt plugins of de back-up tools van je host gebruiken, maar zorg ervoor dat je weet hoe je deze back-up kunt herstellen indien nodig.

Hopelijk is de back-up niet nodig, maar het zal een redder in nood zijn als er iets misgaat.

Stap 3: Test in een Staging Omgeving (Indien Mogelijk)

Voor bedrijfskritieke sites, test voordat je de sprong waagt. Als het mogelijk is, kloon je site naar een stagingomgeving en vervang daar eerst de verlaten plugins.

Als de site crasht, moet je onderzoeken wat er mis is gegaan en hoe je dit in de staging voordat je aan de live website begint kunt oplossen.

Deze omgeving wordt jouw risicovrije speeltuin om nieuwe plugins goed te testen met jouw specifieke configuratie.

Stap 4: Vervang Zorgvuldig De Plugin

Nu voor het hoofdevenement. Hier is hoe je die verlaten plugins kunt omwisselen.

  1. Activeer eerst de nieuwe plugin, zonder de oude al te deactiveren.
  2. Configureer de nieuwe plugin zodat deze overeenkomt met je instellingen van de oude.
  3. Controleer of de functionaliteit naar verwachting werkt met beide actief.
  4. Deactiveer (maar verwijder niet) de in onbruik geraakte plugin.
  5. Test je site grondig om er zeker van te zijn dat er niets kapot is gegaan.

Als je zeker weet dat alles werkt zoals het hoort, verwijder dan die oude WordPress plugin.

Stap 5: Controle Na Vervanging

Na de overschakeling, geef je site een grondige controle. Controleer de frontend en backend van je site op eventuele problemen.

Zoek naar visuele storingen, functionaliteitsproblemen of foutmeldingen. En let vooral op functies die afhankelijk waren van de vervangen plugin.

Moet Je Ooit Een Verlaten Plugin Behouden?

Laten we eerlijk zijn — soms heb je een verlaten plugin nodig waar je site absoluut van afhankelijk is.

Misschien heeft het een unieke functie (zoals een specifiek aanbevelingssysteem voor afrekenen) dat geen enkele andere plugin kan evenaren, of misschien heb je er aangepaste integraties omheen gebouwd.

Dus, kun je het houden (en zou je het moeten houden)? Nou… het is ingewikkeld.

Het behouden van een verlaten plugin is riskant. Je moet dit alleen overwegen als:

  • De plugin vervult een cruciale functie waarvoor geen haalbare alternatieven bestaan.
  • Je bedrijfsworkflow is afhankelijk van de aangepaste functies die het biedt.
  • De plugin is relatief eenvoudig met een minimale hoeveelheid code (je kunt een ontwikkelaar de plugincode op GitHub laten beoordelen).
  • Je hebt het grondig getest met je huidige WordPress-versie en het werkt goed samen.

Als aan al deze elementen is voldaan, kun je overwegen de plugin te behouden. Maar we raden nog steeds aan om een manier te vinden om de code te onderhouden met behulp van een ontwikkelaar of om er zo snel mogelijk vanaf te komen.

De Extra Beveiligingsmaatregelen Die Je Moet Nemen

Als je besluit om die verlaten plugin te behouden, moet je er een vesting omheen bouwen.

  • Maak Een Specifieke Firewall Voor Een Plugin: Gebruik beveiligingsplugins zoals Wordfence of Sucuri om aangepaste firewallregels te creëren die specifiek gericht zijn op potentiële kwetsbaarheden in je verouderde plugin. Deze fungeren als je eerste verdedigingslinie tegen aanvallen die bekende zwakheden targeten.
  • Voer Regelmatig Codecontroles Uit: Huur Een Ontwikkelaar In om periodiek de code van de plugin te herzien op beveiligingskwetsbaarheden. Ja, dit kost geld, maar het is aanzienlijk goedkoper dan omgaan met een gehackte site en de nasleep ervan.
  • Stel Verbeterde Monitoring In: Configureer waarschuwingen voor elke ongebruikelijke activiteit gerelateerd aan de plugin. Vroege detectie kan het verschil betekenen tussen een klein probleem en een volledige beveiligingsinbreuk die je hele site platlegt.
  • Isoleren Waar Mogelijk: Als het haalbaar is, draai de verouderde plugin op een aparte subdomein of omgeving, beperk de toegang tot gevoelige gegevens en functies van je hoofdsite — beschouw het als een quarantainezone.

Proactieve Stappen Om De Gezondheid Van Je Plugin Te Beheren 💪

Het is cliché, maar voorkomen is beter dan genezen.

Hier is hoe je een gezond plugin-ecosysteem bouwt dat je WordPress-site veilig houdt en optimaal laat presteren.

Plan Regelmatige Plugin Audits

Beschouw dit als de driemaandelijkse controle van jouw site.

Markeer je agenda voor een grondige pluginbeoordeling elke drie maanden. Tijdens deze audits, evalueer de recente updategeschiedenis van elke plugin, de compatibiliteitsstatus en of je deze nog daadwerkelijk nodig hebt.

Deze routinematige onderhoudsbeurt voorkomt pluginproblemen voordat ze beginnen en houdt je site slank.

Kies Plugins Met Een Sterke Staat Van Dienst

Niet alle plugins zijn gelijk gemaakt. Wanneer je nieuwe tools aan je site toevoegt, let dan op deze gezonde indicatoren:

  • Regelmatige updates (minstens elk kwartaal)
  • Grote, actieve gebruikersbasis (10.000+ installaties)
  • Responsieve ontwikkelaarsondersteuning (controleer hoe snel vragen worden beantwoord)
  • Gedetailleerde documentatie en duidelijke ontwikkelingsroadmap

Omarm de Filosofie van “Minder is Meer”

Je WordPress-site is geen verzamelvitrine voor plugins. Elke plugin voegt code, complexiteit en mogelijke beveiligingsproblemen toe.

Vraag jezelf af: “Lost deze plugin een echt probleem op dat ik nu heb?”

Zo niet, dan hoort het niet op je site. Streef naar het minimale aantal plugins die nodig zijn om je doelen te bereiken.

Stel Automatische Update-meldingen In

Blijf geïnformeerd zonder constant het dashboard te controleren. Configureer e-mailwaarschuwingen voor beschikbare plugin-updates via de tools van je host of een beheerplugin.

Deze e-mailwaarschuwingen helpen je om het overzicht te behouden over kritieke beveiligingsupdates of compatibiliteitsupdates, zelfs wanneer je druk bent met het runnen van je bedrijf.

Overweeg een Beheerde WordPress-hostingoplossing

Soms is het het beste om dingen gewoon aan een professional over te laten, zodat je aan je bedrijf kunt werken.

Diensten zoals DreamPress regelen het meeste onderhoud van WordPress, inclusief beveiligingsmonitoring en updates, en helpen ook als er iets kapot gaat.

Jouw Site Verdient Beter Dan Plugin-Spinnenwebben

Net als die vergeten kerstboom, kunnen achtergelaten plugins je ooit goed van dienst zijn geweest — maar hun tijd is voorbij. Je kunt de veiligheid en prestaties van je WordPress-site niet riskeren met deze achtergelaten plugins.

Maar, niet iedereen heeft de tijd of technische expertise om plugins te controleren op tekenen van verwaarlozing.

DreamPress kan dat voor je regelen. Het beheert automatische updates van WordPress-kern, beveiligingspatches en siteback-ups automatisch en biedt automatische dagelijkse back-ups, ingebouwde caching en 24/7 gespecialiseerde WordPress-ondersteuning.

Betekenis, jij richt je op het creëren van inhoud en het runnen van je bedrijf terwijl DreamPress je de zekerheid geeft dat je site goed verzorgd wordt.

Ga dus je gang — geef je WordPress-site de voorjaarsschoonmaak die het verdient, of laat de professionals bij DreamPress het voor je afhandelen.

website management by DreamHost
WordPress Hosting

Vermijd De Stress

Vermijd probleemoplossing wanneer je je aanmeldt voor DreamPress. Onze vriendelijke WordPress-experts zijn 24/7 beschikbaar om te helpen bij websiteproblemen — groot of klein.

Bekijk De Plannen
Foto van Alejandro Granata

Alejandro Granata