Technisch · 4 min lezen
PHP
PHP is de programmeertaal die de meeste websites op het web aandrijft, van WordPress-blogs tot webshops. Die populariteit brengt risico's met zich mee die je als ondernemer moet kennen.
Inhoudsopgave
Je laat een nieuwe website bouwen. De developer zegt dat het op WordPress draait en dat alles klaarstaat. Drie maanden later verschijnt er een melding dat er een beveiligingslek in een plugin zit, en dat je PHP-versie verouderd is. Je weet niet wat dat betekent, maar je snapt wel dat er iets mis is.
De keuken achter je restaurant
PHP is een scripttaal die op de server draait, niet in de browser van de bezoeker. Vergelijk het met een restaurantkeuken: de gast ziet het bord, niet wat er achter de deuren gebeurt. Wanneer een bezoeker jouw pagina opent, voert de server de PHP-code uit, haalt hij gegevens op uit een database , en stuurt hij de kant-en-klare HTML naar de browser.
PHP bestaat al sinds 1994 en is op meer dan 78 procent van alle websites actief. WordPress draait op PHP, net als Drupal, Joomla en Laravel. Dat maakt PHP veruit de meest verspreide servertaal op het web.
Wanneer het mis kan gaan
Precies die verspreiding maakt PHP kwetsbaar:
- Verouderde versies. PHP 7.4 en ouder krijgen geen beveiligingsupdates meer. Sites die er nog op draaien, zijn een open deur voor aanvallers.
- Slecht geschreven plugins. WordPress heeft tienduizenden plugins. Sommige worden al jaren niet meer bijgewerkt. Een kapotte plugin is een lek in jouw site.
- Versieconflicten. PHP 8.x breekt soms compatibiliteit met oudere code. Een upgrade kan een site die jarenlang werkte in een keer onbereikbaar maken.
- Gedeelde servers. Op goedkope hosting deel je een server met honderden andere sites. Een lek in een andere site kan doorwerken naar de jouwe.
Alternatieven zoals TypeScript (server-side via Node.js) en Cloudflare Workers lossen sommige van deze problemen anders op.
Hoe je PHP herkent in de praktijk
Je ziet PHP zelden direct, maar de sporen zijn herkenbaar. Een beheeromgeving op /wp-admin draait vrijwel zeker op PHP. In het onderhoudspaneel van je hostingprovider zie je welke PHP-versie actief is.
Voor jouw site zijn twee checks relevant. Vraag je developer: welke PHP-versie draaien we? En is dat nog een versie met actieve beveiligingssupport? PHP.net publiceert per versie de einddatum van support.
Het andere aandachtspunt zijn plugins. Elke plugin is een stuk PHP-code dat op jouw server draait. Hoe minder plugins, hoe kleiner het aanvalsoppervlak. Als je een WordPress website laat maken is minimale plugin-inzet altijd veiliger.
Wat dit voor jou betekent
PHP is geen probleem zolang je het actief bijhoudt. De meeste beveiligingsincidenten ontstaan niet door PHP zelf, maar door verouderde versies en slecht onderhouden plugins. Wie een website laat maken overweegt, doet er goed aan te vragen op welke technologie de site draait en of er een onderhoudsplan bij hoort.
Veelgestelde vragen
Wat is PHP?
PHP is een server-side scripttaal die op de webserver draait voordat de pagina naar de browser wordt gestuurd. De server voert de PHP-code uit, haalt gegevens op uit een database en stuurt de kant-en-klare HTML terug. WordPress, Drupal en Laravel zijn gebouwd op PHP.
Is PHP onveilig?
PHP zelf is niet onveiliger dan andere talen, maar de combinatie van verouderde versies, slecht onderhouden plugins en gedeelde servers maakt PHP-sites een populair doelwit. Met een actuele PHP-versie, minimale plugins en actief onderhoud zijn de meeste risico's beheersbaar.
Welke PHP-versie moet mijn site draaien?
Controleer php.net/supported-versions voor de actuele versies. PHP 8.2 en 8.3 krijgen nog actief beveiligingsupdates. PHP 7.4 en ouder heeft geen ondersteuning meer en moet zo snel mogelijk worden bijgewerkt.
Wat zijn alternatieven voor PHP?
Node.js en TypeScript (server-side) zijn de meest gebruikte alternatieven voor nieuwe projecten. Cloudflare Workers draait TypeScript zonder traditionele server. Deze opties missen de brede hostingondersteuning van PHP, maar bieden voordelen op het gebied van snelheid en veiligheid.
Heeft WordPress altijd PHP nodig?
Ja. WordPress is volledig in PHP geschreven en vereist een server met een actieve PHP-installatie. Dat geldt ook voor alle WordPress-plugins en -thema's.
Veelgestelde vragen
Wat is PHP?
PHP is een server-side scripttaal die op de webserver draait voordat de pagina naar de browser wordt gestuurd. De server voert de PHP-code uit, haalt gegevens op uit een database en stuurt de kant-en-klare HTML terug. WordPress, Drupal en Laravel zijn gebouwd op PHP.
Is PHP onveilig?
PHP zelf is niet onveiliger dan andere talen, maar de combinatie van verouderde versies, slecht onderhouden plugins en gedeelde servers maakt PHP-sites een populair doelwit. Met een actuele versie, minimale plugins en actief onderhoud zijn de risico's beheersbaar.
Welke PHP-versie moet mijn site draaien?
Controleer php.net/supported-versions voor de actuele versies. PHP 8.2 en 8.3 krijgen nog actief beveiligingsupdates. PHP 7.4 en ouder heeft geen ondersteuning meer.
Wat zijn alternatieven voor PHP?
Node.js en TypeScript (server-side) zijn de meest gebruikte alternatieven voor nieuwe projecten. Cloudflare Workers draait TypeScript zonder traditionele server.
Heeft WordPress altijd PHP nodig?
Ja. WordPress is volledig in PHP geschreven en vereist een server met een actieve PHP-installatie. Dat geldt ook voor alle WordPress-plugins en -thema's.
Gerelateerde begrippen
Klaar voor een website die klanten oplevert?
Vertel kort wat je nodig hebt. Je krijgt binnen 24 uur een eerlijk antwoord en een vaste prijs.