Verreweg de meeste gehackte WordPress-sites zijn niet binnengedrongen via WordPress zelf, maar via een plugin. Logisch: de kern van WordPress wordt door een groot team onderhouden en razendsnel gepatcht, terwijl die 60.000 plugins in de officiële bibliotheek variëren van professioneel onderhouden software tot een hobbyproject dat in 2019 voor het laatst is aangeraakt. Het goede nieuws: je kunt vooraf redelijk goed inschatten of een plugin een risico is. Daar heb je geen technische kennis voor nodig — alleen vijf minuten geduld vóór je op “installeren” klikt.
De check vóór je installeert
Elke plugin-pagina op wordpress.org toont precies de signalen die je nodig hebt:
- Laatste update. Meer dan een jaar geleden bijgewerkt? Dan is de kans groot dat niemand meer naar de code omkijkt — ook niet als er een lek wordt gevonden. WordPress toont zelf een waarschuwing bij plugins die twee jaar stil liggen.
- Actieve installaties. Een plugin met 100.000+ gebruikers wordt door meer ogen bekeken en sneller gepatcht dan één met 200 gebruikers. Populariteit is geen garantie, wel een filter.
- Getest met jouw WordPress-versie. Staat er “getest tot” met een versie van drie releases geleden, dan loopt de maker achter de feiten aan.
- Het support-forum. Blijven vragen wekenlang onbeantwoord, dan weet je hoe het gaat als jíj een probleem hebt. Een actieve ontwikkelaar die reageert is het beste teken dat er is.
- De changelog. Regelmatige releases met duidelijke omschrijvingen wijzen op serieus onderhoud; een changelog die al jaren “bugfixes” zegt, niet.
Bekende lekken opzoeken
Van vrijwel elke gemelde plugin-kwetsbaarheid bestaat een openbaar record. Databases zoals WPScan en Patchstack houden per plugin bij welke lekken er zijn gevonden en in welke versie ze zijn gedicht. Even zoeken op de pluginnaam leert je twee dingen: óf er ooit iets is gevonden (dat is niet erg — het gebeurt de beste), en vooral hoe snel de maker het destijds heeft opgelost. Een lek dat maanden open bleef staan is een rode vlag; een patch binnen een paar dagen is juist geruststellend.
De beste beveiliging: minder plugins
Elke plugin is een extra deur in je huis, en elke deur kan een slecht slot hebben. Loop je pluginlijst eens per kwartaal na: staat er iets gedeactiveerd dat je nooit meer gebruikt? Verwijderen — ook uitgeschakelde plugins tellen mee als aanvalsoppervlak. Doen twee plugins hetzelfde? Eén eruit. En blijkt een plugin die je gebruikt verlaten door de maker, zoek dan een onderhouden alternatief in plaats van te hopen dat het goed blijft gaan.
Wil je zeker weten dat je site geen tikkende tijdbommen bevat? Neem contact met ons op — wij lichten je pluginlijst graag voor je door.





