- Door
- Jeroen Mulder
- geplaatst op
- 13 april 2016 08:00 uur
Zonder enige twijfel is WordPress een van de populairste content management systemen op het web. Maar liefst 26 procent van alle sites draait op WordPress. Als dat bedrijf ineens besluit om gratis, automatisch SSL-certificaten uit te geven op WordPress-domeinen, dan is dat groot nieuws. Gratis https voor alle WordPress-sites. Het web wordt een stuk veiliger, kraaiden tal van websites dit weekend. Ja, maar het is vooral interessant vanuit commercieel oogpunt.
Een en ander komt voort uit het project onder de naam ‘Let’s Encrypt’ dat in december werd gelanceerd door de Internet Security Research Group. Dat project verstrekt gratis certificaten. Doel van dat project is om de implementatie van https zo eenvoudig mogelijk te maken. ‘Grote’ browsers als Chrome en Firefox hebben al aangekondigd dat ze http binnenkort als onveilig zullen aanmerken, vooral om webhosters te stimuleren om alleen nog https te gebruiken. Hostingproviders als DreamHost ondersteunen het project vanaf het eerste begin.
Het feit dat een cms-leverancier het project ook gaat ondersteunen, is een flinke stap voorwaarts in Let’s Encrypt. Maar natuurlijk zit er een stukje eigenbelang: WordPress wil de grootste blijven in cms-land en dat betekent dat je vooral in de gunst moet blijven van Google. Dat bedrijf scoort https-sites al sinds 2014 hoger in de zoekresultaten dan http-sites en dat is toch voor veel sites de absolute levensader. Maar er is meer…En dat heeft te maken met de Panama Papers. Die hebben WordPress enigszins in verlegenheid gebracht. De Panama Papers kwamen aan het licht doordat de site van Mossack Fonsecca, het bedrijf dat de belastingconstructies faciliteerde, werd gehackt. Dat was een koud kunstje, aangezien de site op een sterk verouderde versie van WordPress draaide – een versie die sinds december 2014 niet meer werd geüpdatet.
Overigens deugde er veel meer niet aan de site van Mossack Fonsecca. De klantenportal draait op een eveneens sterk verouderde en niet onderhouden versie van Drupal, een versie waarop al meer dan 25 beveiligingslekken zijn gedicht, waaronder het beruchte ‘Drupalgeddon’ dat SQL-injectie mogelijk maakte. De sites van Mossack Fonsecca waren ook op dit gebied niet voorzien van de nodige patches. Als de Panama Papers iets duidelijk maken, dan is het wel dat de beveiliging van content management systemen absoluut topprioriteit moet zijn. En daarvan is WordPress zich als marktleider maar al te goed bewust.