File Manager plugins zijn populaire tools in WordPress. Ze maken het mogelijk om direct vanuit het WordPress-dashboard bestanden te beheren: uploaden, verwijderen, aanpassen. Zonder dat je via FTP hoeft in te loggen. Dat klinkt handig, maar vaak worden deze plugins weggezet als ‘gevaarlijk.
Toch is dat niet helemaal de juiste conclusie. File Manager plugins zijn niet per se kwetsbaarder dan andere plugins, maar wanneer er wél een kwetsbaarheid in zit en die wordt misbruikt, zijn de gevolgen veel groter.
De impact van misbruik van File Manager plugins
Alle WordPress plugins kunnen kwetsbaarheden hebben, of het nu een contactformulier, SEO plugin, slider, of File Manager is. Het aantal kwetsbaarheden per plugin type verschilt niet dramatisch.
Het verschil zit niet in de kans op een kwetsbaarheid, maar in de potentiële impact als een File Manager plugin wordt misbruikt:
- Directe toegang tot het bestandssysteem: een gehackte File Manager plugin geeft onmiddellijk volledige controle over alle bestanden.
- Onbeperkte functionaliteit: terwijl een gehackte contactformulier-plugin meestal beperkt blijft tot die specifieke functie.
- Volledige site compromise mogelijk: via een File Manager kunnen hackers direct malware uploaden, core bestanden aanpassen, etc.
Vergelijking
- Contactformulier plugin gehackt → mogelijk spam versturen, data lekken
- SEO plugin gehackt → mogelijk content manipulatie
- File Manager plugin gehackt → volledige controle over de website
Hoe ga je hier verstandig mee om?
File Manager plugins zijn niet gevaarlijker om te hebben, maar gevaarlijker om gehackt te raken vanwege wat ze kunnen doen. Wees daarom extra voorzichtig als je gebruik maakt van zo’n plugin.
- Installeer alleen File Manager plugins als het echt nodig is. Vaak is FTP of SFTP een veiliger alternatief.
- Installeer geen plugins van warez websites.
- Verwijder de plugin wanneer je hem niet gebruikt. Een inactieve plugin kan nog steeds kwetsbaar zijn.
- Update altijd direct naar de nieuwste versie. Dit geldt uiteraard voor alle plugins.
- Beperk toegang. Als je een File Manager plugin gebruikt, zorg er dan voor dat alleen beheerders met sterke wachtwoorden (en bij voorkeur 2FA) toegang hebben.
Sterke wachtwoorden
Verstandig omgaan met wachtwoorden is belangrijk, want het wachtwoord is de sleutel tot de toegang tot je website.
Een wachtwoord moet in de eerste plaats veilig zijn. Een veilig wachtwoord is moeilijk te raden en bestaat uit minimaal twaalf tekens, waaronder cijfers, kleine letters, hoofdletters en speciale tekens. Het is belangrijk om voor elk account een uniek wachtwoord te gebruiken.
Verder is het belangrijk om je wachtwoord niet te delen. Wil je iemand anders toegang geven tot het beheer van je WordPress website, maak er dan een apart account met een eigen wachtwoord voor aan. Verwijder accounts die niet meer nodig zijn.
Maak gebruik van tweefactorauthenticatie (2FA) voor de toegang tot je website.
Kwetsbaarheden in een plugin
Regelmatig worden kwetsbaarheden ontdekt in WordPress plugins, ook in File Manager plugins.. Een veiligheidsupdate verhelpt dan de kwetsbaarheid en maakt de plugin weer veilig en dicht het lek. Maar tussen ‘ontdekken’ en ‘updaten’ zit altijd tijd. Tijd voor ontwikkelaars om een update te maken die het lek dicht. En dan nog de tijd die ertussen zit voordat jij de update installeert. En de hacker zal deze tijd zo ‘nuttig mogelijk’ proberen te gebruiken.
Wat een hacker precies kan is afhankelijk van het lek. Nu hoeft het lek niet per se in de File Manager plugin te zitten om deze plugin tot een ‘handige tool’ te maken voor de hacker. Een lek in een andere plugin kan tot misbruik leiden van de File Manager plugin. Dit principe heet ‘attack chaining’.
Dit maakt File Manager plugins extra risicovol, niet omdat ze vaker gehackt worden, maar omdat ze het perfecte gereedschap zijn om een beperkte hack om te zetten in volledige site controle. File Manager plugins zijn gevaarlijk als secondary target: ze versterken de impact van andere kwetsbaarheden exponentieel.
Update elke plugin altijd naar de nieuwste versie zodra een update beschikbaar is.
Gratis en premium plugins
Veel plugins hebben een gratis en een betaalde (premium) versie met meer opties. Het komt voor dat mensen graag de premium versie van een plugin willen, maar daar niet voor willen betalen. De plugin wordt dan vaak van een warez site gedownload. Een warez site is een website die illegale software, muziek, films, games en andere digitale media aanbiedt zonder toestemming van de auteursrechthebbenden. De software, waaronder ook themes en plugins onder vallen, is in bijna alle gevallen besmet met malware, zoals virussen en backdoors. Installeer je dus een plugin die je hebt gedownload van een warez site, dan installeer je bijna altijd ook malware. Een gehackte website is dan een kwestie van tijd.
Het installeren van een premium plugin afkomstig van een warez site is dus zo ongeveer een garantie voor een gehackte website. Of het een File Manager plugin is of een andere plugin of een theme maakt niet uit: een illegale download is vrijwel altijd besmet.
Veilig bestandsbeheer in WordPress
Het is altijd veiliger en waarschijnlijk efficiënter om een veilige SFTP/FTP-tool te gebruiken om bestanden van je website te openen, beheren en te bewerken. En geef je iemand anders de mogelijkheid om de bestanden van je website te bewerken, dan kun je in het hosting controlepaneel DirectAdmin een apart, tijdelijk FTP-account aanmaken. Dat account kun je weer verwijderen als het niet meer nodig is.
Een andere mogelijkheid is het gebruik van de File Manager in DirectAdmin. Hiermee kun je bestanden uploaden, verwijderen, inzien en bewerken.
Toch een File Manager plugin gebruiken
Je kunt natuurlijk goede redenen hebben om toch een File Manager plugin te gebruiken. En misschien verbaast het je als we zeggen dat dat prima is om te doen. Er is wel een ‘maar’: deactiveer én deinstalleer de plugin meteen na gebruik. Alleen deactiveren is dus niet voldoende. Je dient de plugin ook te verwijderen uit je website.
Vaak laten mensen een ongebruikte plugin gewoon staan omdat ze denken dat ze hem later misschien nog een keer nodig hebben. Dat is een hele slechte reden. Het is hetzelfde als de sleutel in de buitenkant van de achterdeur van je huis laten zitten voor het geval je de sleutel van de voordeur een keer bent vergeten. Je kunt dan inderdaad altijd nog via de achterdeur naar binnen. Helaas niet alleen jij.
Verwijder daarom altijd plugins als je ze niet meer nodig hebt. Deactiveren alleen is niet voldoende.
Heb je je website laten maken door een webdesigner? Kijk dan na oplevering van je website of de plugin aanwezig is en zo ja, deactiveer en verwijder deze. Of vraag je webdesigner dit na te zien en zo nodig te verwijderen. Als je de plugin opnieuw nodig hebt, kun je hem in een paar muisklikken opnieuw installeren (en verwijderen).
Dit artikel is oorspronkelijk gepubliceerd op 2 november 2023 en voor het laatst geactualiseerd op 21 september 2025.