Inleiding

Plugins hebt u nodig voor een veilige website en webshop. Als eigenaar of beheerder bent u verantwoordelijk voor werking, veiligheid, stabiliteit en naleving van wet- en regelgeving. Deze verantwoordelijkheid begint al bij de keuze van de developer en het hostingbedrijf. Aan de developer moet u duidelijke instructies geven en controleren of deze correct zijn verwerkt. Het hostingbedrijf moet aantonen dat het aan de door u gestelde eisen voldoet, en u moet kunnen nagaan of dit daadwerkelijk het geval is.

Deze blog is onderdeel van een serie. Voor een overzicht van de onderwerpen die in deze serie besproken worden verwijzen wij naar de blog Een veilige website/ webshop – Algemeen.

Plugins voor een veilige website en webshop

Er bestaan tienduizenden gratis en betaalde plugins voor WordPress. Gelukkig hebt u er maar een paar nodig. Vraag uw developer om alleen officiële plugins te gebruiken die actief ondersteund worden met updates en support. Wij leggen uit welke u minimaal nodig hebt voor een goed werkende en veilige website/ webshop en welke u beter kun vermijden.

De belangrijkste eisen die u in dit verband moet stellen aan de developer zijn:

1. Kernplugins

Dit zijn de plugins die u bijna altijd nodig heeft in een website/ webshop.

WooCommerce

  1. Dit is de basisplugin om in WordPress een webshop te maken. WooCommerce regelt alle webshopfunctionaliteit, heeft geen ingebouwde betaalfunctionaliteit, maar kan o.a. wel aan plugins voor Mollie en PayPal gekoppeld worden. Deze plugin maakt het mogelijk om en ondersteunt:
    • Producten te beheren (fysieke en digitale; ondersteuning voor maten en kleuren; voorraadbeheer; productcategorieën).
    • Bestellingen en klanten te beheren (orderadminstratie; klantaccounts; e-mailmeldingen; retouren en terugbetalen).
    • Verzendingen te organiseren (verzendmethoden; verzenddiensten; verzendkosten).
    • Rapportages en analyses te maken (dashboard; periode, product of categorie gebonden rapportages; integratie Google Analytics).
    • Ondersteunt het verrichten van betalingen (meerdere betaalmethoden; veilige (internationale) betaalprocessen).
  2. De plugin is uitbreidbaar met databases; kan gekoppeld worden aan bedrijfs- en marketingsystemen en ondersteunt AVG/GDPR en logging.

WooCommerce payments

Deze plugin gebruikt u als u het handig vindt om bestellingen en betalingen in één systeem te beheren, als u in een land zit waar de plugin ondersteund wordt (Nederland) en als u een eenvoudige setup wilt zonder externe dashboards. Deze plugin gebruikt u niet als u lage transactiekosten wilt, als u complexe betaalmethodes nodig heeft (cadeaubonnen; achteraf betalen) of als u de voorkeur geeft aan support vanuit Nederland.

WooCommerce PDF Invoices & Packing Slips

Deze plugin hebt uw nodig om er voor te zorgen dat uw facturen automatisch voldoen aan de Nederlandse en EU-voorschriften. Lees ook deze blog.

Security plugin

  1. Security-plug-ins als Wordfence Security of iThemes Security Pro zorgen ervoor dat uw website beter beschermd is tegen hackers, malware en datalekken. Ze vullen de basisbeveiliging van WordPress en de hosting aan. De belangrijkste functies zijn:
    • Malware scanning. Controle op verdachte bestanden.
    • Firewall. Houdt hackers, bots en brute force-aanvallen tegen.
    • Login beveiliging. Beperkt het aantal loginpogingen, biedt 2 factor login (2FA) en IP’s blokkeren.
    • Monitoring en logging. Registreert wie inlogt en wat wordt aangepast. Dit is belangrijk om te voldoen aan de AVG.
    • File integrity monitoring. Waarschuwt voor wijzigingen in WordPress-core, thema’s of plugins.
    • Spam- en bot-bescherming. Blokkeert spam in formulieren en reacties en beschermt tegen scraping bots (geautomatiseerde softwareprogramma’s die websites analyseren en specifieke informatie verzamelen).

SEO plugin

SEO plugins als Yoast SEO of Rank Math SEO zijn niet verplicht, ze helpen u om uw website beter vindbaar te maken in zoekmachines (Google, Bing, etc.). Technische SEO-taken zijn geautomatiseerd en u wordt begeleid bij het optimaliseren van pagina’s en producten. Wij zijn een fan van Yoast CEO.

Caching plugin

  1. Een caching-plugin als WP Rocket, W3 Total Cache, WP Super cache of LiteSpeed cache maakt uw website sneller en efficiënter door een soort tijdelijke kopieën (caches) van uw pagina’s en bestanden op te slaan. In plaats van dat WordPress elke keer een pagina “live” moet opbouwen uit de database + het thema + de plugins, krijgt uw bezoeker een voorgebouwde versie te zien.
  2. Caching is belangrijk voor uw website vanwege:
    • Snellere laadtijd, waardoor bezoekers minder snel afhaken. Bezoekers beslissen vaak binnen 3 – 5 seconden of ze blijven of afhaken.
    • Betere SEO, omdat bij voorbeeld Google snelle sites beloont met een hogere ranking.
    • Minder serverbelasting, wat belangrijk is bij veel bezoekers of piekdrukte.

Back-up plugin

Er bestaan meerdere back-up plugins. Bij voorbeeld: UpdraftPlus, BlogVault of Duplicator. Wij zijn daar echter geen fan van. Waarom niet? Wij leggen dit uit in onze Blog: Stop met WordPress backup plugins!.

Ons advies: Leg de verantwoordelijkheid voor het regelmatig maken, veilig en lang bewaren en indien nodig het terugzetten, bij uw hostingbedrijf.

2. AVG/GDPR-compliance plugins

  1. Voor cookies gebruikt u Complianz of CookieYes om alles te regelen met betrekking tot de AVG wetgeving. Denk hierbij aan cookies plaatsen, tracking en toestemming. Dit is verplicht omdat u bezoekers moet informeren en toestemming moet vragen als u cookies plaatst. Lees ook onze blog: Veilige website en webshop – Developer: AVG/GDPR
  2. De belangrijkste functies van deze plugins zijn:
    • U toont een cookie-melding aan bezoekers, biedt de keuze-opties accepteren, weigeren en voorkeuren aanpassen en de banner blijft zichtbaar totdat de keuze gemaakt is.
    • Plaatst cookies pas nadat de keuze gemaakt is.
    • Legt vast welke keuze een bezoeker gemaakt heeft.
    • Helpt u om een op maat gemaakte privacyverklaring en cookiebeleid op te stellen.
  3. Ons advies: gebruik Complianz als uw zich richt op Nederland en de EU-markt. Verkoopt u internationaal en wilt u meerdere wetgevingen afdekken, gebruik dan CookieYes.
  4. WP GDPR Tools gebruikt u om uw klanten zelf in de gelegenheid te stellen om de gegevens die u van hen opslaat in te zien, aan te passen en/ of te verwijderen. U hoeft dit dus niet zelf handmatig te doen waardoor er minder kans is op fouten.

3. Plugins om te vermijden

  1. Er bestaan heel veel plugins die u beter kunt vermijden, omdat het gebruik te veel risicos met zich brengt. Wij bespreken een aantal voorbeelden.
    • Plugins van onbekende ontwikkelaars of obscure websites. Denk bij voorbeeld aan premium/ betaalde plugins die u ‘gratis’ kunt downloaden. Deze zijn vaak gehackt of geïnjecteerd met malware.
    • Plugins die niet regelmatig geüpdatet worden. Zoek de plugin op op wordpress.org/plugin/ en controleer wanneer die voor het laatst geüpdatet is.
    • Plugins die extreem veel functies combineren, zoals alles-in-een (security/caching/SEO) plugins. Dit soort plugins zijn vaak minder veilig en traag.
    • Plugins die niet van de officiële respositories komen (wordpress.org/plugin/ of betaalde licentiepagina’s van betrouwbare ontwikkelaars.

4. Officiële bronnen

  1. Officiële bronnen zijn:
    • WordPress.org/plugin/. Hier vindt u alle gratis plugins die officieel worden beheerd en gecontroleerd.
    • WooCommerce.com/products/. Hier vindt u alle officiële extensies voor WooCommerce.
    • Betaalde plugins rechtstreeks bij de maker. Op bij voorbeeld wp-rocket.me vindt u WP Rocket, op wordfence.com vindt u Wordfence en op complianz.io vindt u Complianz.

5. Hoe kunt u dit als opdrachtgever controleren?

  1. Vraag aan uw developer een lijst met álle gebruikte plugins. Op de lijst moeten de naam, het versienummer en de bron vermeld staan.
  2. Ckeck op de pagina van WordPress.org of de officiële website van de maker van de plugin:
    • Het aantal installaties. Meer dan 10.000 is een goed teken.
    • De laatste update. Deze moet bij voorkeur minder dan 6 maanden geleden zijn gebeurd zijn. De reviews.

Lees ook onze blog: Plugins, de meeste van deze populairste hebt u niet nodig

Hebt u nog vragen over plugins voor een veilige website en webshop? Neem contact met ons op. We helpen u graag.

Ga naar het overzicht van alle blogs over veiligheid van website en webshop