Att ett IT-säkerhetsbolag driver sin webbplats på WordPress är som att en låssmed lämnar verkstadsdörren olåst. Här är varför vi valde en annan väg, och vad du bör tänka på.

WordPress driver en mycket stor andel av världens webbplatser. Det gör plattformen kraftfull och välbekant, men också till det överlägset mest attackerade målet på nätet. Angripare behöver inte gissa hur sajten är byggd; de vet redan.

Var riskerna faktiskt finns

Själva kärnan i WordPress är relativt välunderhållen. Problemen sitter nästan alltid i det runtomkring:

  • Plugins och teman. Varje tillägg är kod från en tredje part, och varje föråldrat tillägg är en potentiell väg in. En typisk sajt har dussintals.
  • Inloggningssidan. Den är offentlig och välkänd, vilket gör den till ett ständigt mål för automatiserade attacker.
  • Databasen. Innehållet ligger i en databas som kan bli måltavla för injektionsattacker om något tillägg är slarvigt skrivet.
  • Eftersatt underhåll. Säkerheten står och faller med att någon faktiskt patchar allt, hela tiden. Det glöms ofta bort.

En sajt som blir defacad eller kapad är pinsamt för vilket företag som helst. För ett säkerhetsbolag är det affärsdödande.

Det säkra alternativet

För de flesta marknadssajter finns en enklare och säkrare modell: en hårdad statisk sajt. Ingen databas, inga plugins, ingen inloggning att forcera. Sidorna serveras som färdiga filer, det finns helt enkelt nästan ingenting att attackera.

Fördelarna stannar inte vid säkerheten. Statiska sajter är blixtsnabba, vilket både besökare och Google belönar, och de är billigare att driva eftersom det inte finns någon serverprogramvara att underhålla.

Behöver du blogga regelbundet? Det går utmärkt att kombinera en statisk sajt med ett enkelt, separat skrivverktyg, du får bekvämligheten utan att öppna upp attackytan.

Sammanfattningsvis

WordPress är inte fel för alla. Men om säkerhet är en kärnfråga för din verksamhet bör du åtminstone ställa frågan: hur mycket attackyta är vi bekväma med? Ofta är svaret mindre än man tror.

An IT security company running its website on WordPress is a bit like a locksmith leaving the workshop door unlocked. Here is why we chose a different path, and what you should consider.

WordPress powers a very large share of the world's websites. That makes the platform powerful and familiar, but also by far the most attacked target online. Attackers do not need to guess how the site is built; they already know.

Where the risks actually live

The WordPress core itself is reasonably well maintained. The problems almost always sit in everything around it:

  • Plugins and themes. Every add-on is third-party code, and every outdated add-on is a potential way in. A typical site has dozens.
  • The login page. It is public and well known, which makes it a constant target for automated attacks.
  • The database. Content lives in a database that can be targeted by injection attacks if any plugin is carelessly written.
  • Neglected maintenance. Security depends on someone actually patching everything, all the time. That is often forgotten.

A site that gets defaced or hijacked is embarrassing for any company. For a security company it is business-ending.

The secure alternative

For most marketing sites there is a simpler and safer model: a hardened static site. No database, no plugins, no login to break into. Pages are served as finished files, there is simply almost nothing to attack.

The benefits do not stop at security. Static sites are lightning fast, which both visitors and Google reward, and they are cheaper to run because there is no server software to maintain.

Need to blog regularly? You can happily combine a static site with a simple, separate writing tool, you get the convenience without opening up the attack surface.

In summary

WordPress is not wrong for everyone. But if security is a core concern for your business, you should at least ask the question: how much attack surface are we comfortable with? Often the answer is less than you think.