Een File Manager plugin kan een erg handig hulpmiddel zijn als je het nodig hebt, maar je kunt hetzelfde zeggen over een staaf dynamiet. Het is niet iets dat je in de rommella van de keuken wilt achterlaten voor het geval je het later nodig hebt.
De laatste tijd zien we veel gehackte WordPress websites waarbij de hackers toegang hebben gekregen via een File Manager plugin. Als zo’n plugin een kwetsbaarheid heeft, is het hacken van je website een fluitje van een cent.
Wat is een File Manager plugin?
Met een File Manager plugin kun je op een heel gemakkelijke manier bestanden in je WordPress website uploaden, downloaden, hernoemen, kopieren en de code ervan wijzigen. Voorbeelden van dit soort plugins voor WordPress zijn File Manager en FileOrganizer.
Het gevaar van een File Manager plugin
Zo’n bestandenplugin is handig, maar soms ook niet en soms zelfs gevaarlijk.
Als je niet weet wat je doet, kun je per ongeluk belangrijke core bestanden van WordPress wijzigen of verwijderen, waardoor je website niet goed meer werkt.
Maar het wordt pas gevaarlijk als iedereen die toegang heeft tot je website, dit ook kan doen. Via die plugin kan iemand anders ook heel gemakkelijk bestanden verwijderen, uploaden en de code van bestanden wijzigen. Dit kan leiden tot het verlies van gegevens, het plaatsen van malware op de website, of het gebruik van de website voor phishing-aanvallen. Iedere administrator van je website kan dit doen, maar ook iedereen die het wachtwoord heeft tot de toegang van het beheer van je website. Dat kunnen personen zijn aan wie jij het wachtwoord hebt gegeven, maar ook kan het wachtwoord van je website in verkeerde handen zijn gevallen. Of het wachtwoord is simpelweg gekraakt.
Wachtwoorden zijn de sleutel
Verstandig omgaan met wachtwoorden is dus belangrijk. Want het wachtwoord is de sleutel tot de toegang tot je website.
Een wachtwoord moet in de eerste plaats veilig zijn. Een veilig wachtwoord is moeilijk te raden en bestaat uit minimaal twaalf tekens, waaronder cijfers, kleine letters, hoofdletters en speciale tekens. Het is belangrijk om voor elk account een uniek wachtwoord te gebruiken.
Verder is het belangrijk om je wachtwoord niet te delen. Wil je iemand anders toegang geven tot het beheer van je WordPress website, maak er dan een apart account met een eigen wachtwoord voor aan. Verwijder accounts die niet meer nodig zijn.
Kwetsbaarheden in een plugin
Regelmatig worden kwetsbaarheden ontdekt in WordPress plugins. Een veiligheidsupdate verhelpt dan de kwetsbaarheid en maakt de plugin weer veilig en dicht het lek. Maar tussen ‘ontdekken’ en ‘updaten’ zit altijd tijd. Tijd voor ontwikkelaars om een update te maken die het lek dicht. En dan nog de tijd die ertussen zit voordat jij de update installeert. En de hacker zal deze tijd zo ‘nuttig mogelijk’ proberen te gebruiken.
Wat een hacker precies kan is afhankelijk van het lek. Nu hoeft het lek niet per se in de File Manager plugin te zitten om deze plugin tot een ‘handige tool’ te maken voor de hacker. Een lek in een andere plugin kan tot misbruik leiden van de File Manager plugin. Het komt echter ook regelmatig voor dat File Manager plugins zelf de oorzaak zijn en dus kwetsbaar zijn.
Gratis en premium plugins
De gratis File Manager plugins hebben vaak ook een betaalde versie. De betaalde versie wordt vaak de premium versie genoemd. Een premium versie heeft vaak wat extra mogelijkheden die handig voor je website kunnen zijn. Het komt voor dat mensen graag de premium versie van een plugin willen, maar daar niet voor willen betalen. De plugin wordt dan vaak van een warez site gedownload. Een warez site is een website die illegale software, muziek, films, games en andere digitale media aanbiedt zonder toestemming van de auteursrechthebbenden. Je kunt daar ook themes en plugins voor WordPress downloaden. De software, waaronder ook themes en plugins onder vallen, is in bijna alle gevallen besmet met malware, zoals virussen en backdoors. Installeer je dus een plugin die je hebt gedownload van een warez site, dan installeer je bijna altijd ook malware. Een gehackte website is dan een kwestie van tijd.
Het installeren van een premium plugin afkomstig van een warez site is dus een garantie voor een gehackte website. Of dat nou een File Manager plugin is of een andere plugin of een theme maakt niet uit. Een illegale download is vrijwel altijd besmet.
Veilig bestandsbeheer in WordPress
Het is altijd veiliger en waarschijnlijk efficiënter om een veilige SFTP/FTP-tool te gebruiken om bestanden van je website te openen, beheren en te bewerken. En geef je iemand anders de mogelijkheid om de bestanden van je website te bewerken, dan kun je in het hosting controlepaneel DirectAdmin een apart, tijdelijk FTP-account aanmaken. Dat account kun je weer verwijderen als het niet meer nodig is.
Een andere mogelijkheid is het gebruik van de File Manager in DirectAdmin. Hiermee kun je bestanden uploaden, verwijderen, inzien en bewerken.
Toch een File Manager plugin gebruiken
Je kunt natuurlijk goede redenen hebben om toch een File Manager plugin te gebruiken. En misschien verbaast het je als we zeggen dat dat prima is om te doen. Er is wel een ‘maar’: deactiveer én deinstalleer de plugin meteen na gebruik. Alleen deactiveren is dus niet voldoende. Je dient de plugin ook te verwijderen uit je website.
Vaak laten mensen een ongebruikte plugin gewoon staan omdat ze denken dat ze hem later misschien nog een keer nodig hebben. Dat is een hele slechte reden. Het is hetzelfde als de sleutel in de buitenkant van de achterdeur van je huis laten zitten voor het geval je de sleutel van de voordeur een keer bent vergeten. Je kunt dan inderdaad altijd nog via de achterdeur naar binnen. Helaas niet alleen jij.
Heb je je website laten maken door een webdesigner? Kijk dan na oplevering van je website of de plugin aanwezig is en zo ja, deactiveer en verwijder deze. Of vraag je webdesigner dit na te zien en zo nodig te verwijderen.
