Beveiligen Archives - Pagina 16 van 24

5 manieren om brute force aanvallen tegen te houden

23 mei 2016/2 Comments/in Beveiligen, Hackers, iThemes Security, Malware

De iThemes Security PRO NL plugin heeft 5 manieren waarop brute force aanvallen tegengehouden kunnen worden.

404 Detectie

Bots en hackers vissen vaak naar pagina’s en bestanden op je website. Ze zijn op zoek naar plugins, thema’s e.d. met een lek waarop ze een malware/data injectie kunnen uitvoeren.
Veel van die bestanden of pagina’s zijn niet te vinden waardoor de web server antwoordt met een 404-error.

iThemes Security PRO NL houdt het aantal pogingen bij dat een IP-adres (bot/pc) doet om pagina’s\bestanden op te halen die niet beschikbaar zijn.

Na een x aantal pogingen (404’s) zal de beveiliging de toegang ontzeggen tot de website. Eerst tijdelijk maar wanneer de pogingen later weer verdergaan zal iThemes Security PRO NL het IP adres in het .htaccess bestand zetten waardoor de gehele website niet eens meer opgeroepen kan worden.

Brute Force Bescherming (geautomatiseerd)

Brute Force Bescherming richt zich op het login panel. Wanneer hier mislukte inlogpogingen op worden uitgevoerd, worden deze geregistreerd. Dus wanneer de gebruikersnaam en het wachtwoord foutief ingevuld worden telt iThemes Security PRO NL deze foutieve inlogpogingen en na een x aantal pogingen wordt de toegang tot de inlogpagina tijdelijk ontzegt. Je kunt een maximaal aantal pogingen instellen en de tijd die nodig is voordat er weer nieuwe pogingen gedaan mogen worden. Uiteindelijk wordt het IP adres waarmee de inlogpogingen uitgevoerd worden geblokkeerd waardoor het niet meer mogelijk is om de login pagina continu lastig te vallen of om via de brute force methode pogingen te doen in je website te komen.

XML-RPC uitschakelen

Via XML-RPC kunnen diverse inlog pogingen gedaan worden. Deze functie kun je uitschakelen via de plugin als je geen Jetpack of externe app gebruikt om WordPress te benaderen.

Afwezig Modus

Je zult je WordPress website vaak alleen overdag bijwerken. Het is dan niet nodig om de login pagina 24 uur per dag open te zetten. De Afwezig Modus geeft je de mogelijkheid om een tijd in te stellen waarop de login pagina wel-of-niet bereikbaar is.

Brute force aanvallen tegenhouden per IP

In de plugin heb je een veld waar je IP adressen kunt invullen om te blokkeren. Heb je bijvoorbeeld een Nederlands product waarmee je alleen Nederlanders wilt bereiken en ontdek je dat er veel Brute Force aanvallen uit China of Rusland komen? Dan zet je die IP adressen in de ban-lijst zodat ze geen kans krijgen om brute-force aanvallen op je website te doen.

Meer weten over deze plugin die Brute Force aanvallen tegenhoudt?

Klik dan hier!

Statistieken over de veiligheid van websites

21 mei 2016/0 Comments/in Antivirus, Beveiligen, Hackers, Hacks, Malware, Updaten

Met meer dan 1 biljoen websites (lees: 1,000,000,000!!) kun je begrijpen dat het een enorme markt is voor zowel websitebezoekers maar ook voor hackers.

Stel je eens voor, dat je 1% kunt infecteren met je eigen reclame!

Dat wordt veel geprobeerd. In de wetenschap dat 1/3e van alle websites gemaakt zijn met WordPress, Joomla en Magento, zijn deze systemen ook een groot doelwit van hackers.

De rapportage van Sucuri laat zien dat de cybercriminaliteit de afgelopen jaren sterk is toegenomen.

Lukt het de hackers om websites massaal te hacken?

De vraag of het hackers lukt om websites massaal te hacken hangt vooral af van de manier waarop met websites om wordt gegaan.

Een grafiek op Sucuri laat zien dat WordPress het meeste geupdate wordt van alle bovengenoemde systemen.

Tevens lanceren de ontwikkelaars achter WordPress met rap tempo beveiligingsupdates met nieuwe en verbeterde methodes om websites veiliger te maken. Ook zijn er diverse artikelen waarmee ze gebruikers op de hoogte te stellen van de risico’s die bepaalde gewoontes met zich meebrengen en hoe de website goed beschermd kan worden tegen hackers en hackscripts.

Toch spreekt Sucuri over meer dan 11000 gehackte websites in het eerste kwartaal van 2016. Dit zijn alleen al de websites die bij hun zijn aangemeld of in beheer zijn.

Het updaten van de plugins en CMS-en blijkt niet genoeg om de hackers en scripts te stoppen!

Plugins, de zwakke schakel

De plugins blijven een zwakke schakel. Hoewel de heren van WordPress alles doen om een veilig CMS online te zetten, zorgen plugins met XSS lekken ervoor dat de website alsnog open staat voor injecties.

De Timthumb, Revslider en Gravityforms zijn krachtige plugins die veel gebruikt worden, maar niet vaak genoeg bijgewerkt worden door gebruikers. (Samen zijn ze goed voor 25% van alle lekke websites!)

Wat doen deze plugins:
Revslider wordt gebruikt om mooie sliders te maken met call-to-action content en de Gravityforms om formulieren op te zetten met een groot aantal flexibele mogelijkheden.

De meest voorkomende problemen bij gehackte websites

In de top 3 problemen die veroorzaakt worden door gehackte websites staat de “backdoor” op nummer 1. Dit lijkt onschuldig maar de “open deur” geeft hackers ieder moment de gelegenheid om met je website te doen wat ze willen!

Nummer 2 van de problemen die een hack(er) veroorzaakt is natuurlijk de malware. Kortom: de reclame die je website gaat tonen via spam of links in je website. Of erger nog, de bestanden die je computer besmetten en zo reclame gaan tonen die de hacker wenst. (Dit maakt maar weer eens duidelijk hoe belangrijk en goede antivirus is voor je computer)

Op nummer 3 staat de SEO spam, dat zijn de links naar producten die de hacker of een betalende partij verkopen.

1-op-de-5 sites wordt na een hack voorzien van een script dat via je website gaat e-mailen (zeer schadelijk voor de reputatie van je website).

En ook het verbouwen van het uiterlijk van je website en het direct doorsturen van een bezoeker, zijn de grovere methodes die 1-op-de-10 websites treffen.

Wat kun je doen tegen hackers?

De informatie die we net hebben beschreven, laat zien dat plugins, verkeerde gewoontes en de populariteit bijdragen aan het hoge aantal gehackte websites.

Dit kun je helaas niet simpel verhelpen door op tijd de updates te doen. Er is meer voor nodig.

Hackers moeten tegengehouden worden in hun pogingen en geautomatiseerde scripts moeten beperkt worden. Zelfs als een lekke plugin de website open zet voor hackers.

Een antivirus plugin voor WordPress die meer dan 100+ bekende lekken dicht en veel methodes van hackers opvangt, is geen luxe meer maar noodzaak om te voorkomen dat je website een gemakkelijk doelwit wordt!

Download de Nederlandse antivirus voor WordPress nu!

Meer over het beveiligen van je WordPress website vind je ook in het artikel ‘Serieus, je moet je WordPress website nu echt beveiligen‘.

Interview: De verbeterde iThemes Security PRO NL

20 mei 2016/2 Comments/in Beveiligen, iThemes Security, Oplossen

De verbeterde versie van de iThemes Security PRO NL wordt onderhouden door Daniël van der Winden.

Met passie voor WordPress beveiliging zet hij zich in om de beveiliging van WordPress up-to-date te houden en te verbeteren.

Wij stelden enkele vragen aan Daniël,

Je bent programmeur achter de verbeterde iThemes Security Pro voor Nederland. Hoe ben je zo betrokken geraakt?

Laat ik eerst voordat ik deze vraag beantwoord nadrukkelijk vermelden dat iThemes de oorspronkelijk ontwikkelaar is van de iThemes Security (Pro) plugin. Zij verdienen dus het grootste deel van de credits voor het ontwikkelen van deze plugin.

Eind 2014 kwam ik toevallig in aanraking met WordPress. Wat me meteen opviel was dat dit CMS standaard enkele
kwetsbaarheden kent waarop het kan worden aangevallen. Vervolgens ben ik mij gaan oriënteren op beveiligingsplugins op wordpress.org en iThemes Security staat daar in de top 3.
Wat ook heeft meegespeeld is dat de gratis iThemes Security plugin zoveel tekortkomingen heeft en dat iThemes deze tekortkomingen niet actief oppikte (met name op het WordPress.org plugin forum). En dat vond ik echt zonde want de functionaliteit die de iThemes Security plugin biedt en de laagdrempelige vorm waarin deze is gegoten is echt geweldig.

Gezien de mogelijkheden die de GPL licentie biedt (fork), zag ik ruimte voor een sterk verbeterde versie van de betaalde iThemes Security Pro plugin. Aangezien de iThemes Security Pro plugin niets anders is dan de gratis iThemes Security plugin + 10 Pro features zitten alle tekortkomingen van de gratis plugin ook in de Pro versie. Verder bleken er in de Pro versie ook zat Pro specifieke bugs te zitten.

Ik ben eerst begonnen met een Nederlandse vertaling te maken. Toen die af was, bleek dat er een hele rits vertaal bugs in het product zaten. iThemes biedt namelijk zelf 0 (nul) vertalingen voor hun security (Pro) plugin en vertalingen krijgen bij iThemes duidelijk geen prioriteit. Die vertaal bugs blijven dus allemaal in de code van het product zitten omdat niemand (iThemes voorop) de plugin in een niet en_US taal gebruikt. Zo bestaat er ook nu nog een vertaal bug in de plugin waarvoor overigens wel een workaround bestaat. Zonder die workaround zijn bij gebruik van een vertaling alle Ithemes Security plugin tabs in het WordPress Dashboard behalve de Dashboard tab blank/leeg. Maak je je eigen vertaling dan zal deze dus zonder de workaround niet eens goed kunnen werken ! Afijn, voor ik het wist zat ik al op 50+ vertaal bugfixes!
Maar dat was niet het enige. Ook in de functionaliteit van de plugin bleken flink wat bugs te zitten.
Er zit zelfs een ernstige (stored XSS) kwetsbaarheid in de plugin zelf waardoor de veiligheid van de WordPress website in het geding komt !
Ik kon nog maar aan 1 ding denken. Dat kan beter, veel beter ! En zo is de iThemes Security PRO NL plugin ontstaan.

Mag je zomaar een fork van een bestaande premium plugin ontwikkelen en tegen betaling aanbieden en is dit ethisch/juridisch verantwoord?

Het simpele antwoord is ja. De GPL licentie staat dit allemaal toe. Sterker nog: het is handelen volledig in de geest van de GPL ! Met als uiteindelijk doel meer keus voor de consument en belangrijker nog een kwalitatief beter product.
iThemes is zich volledig bewust van de eerder genoemde tekortkomingen. Toch besloten zij een aantal maanden geleden om de UI (zeg maar het uiterlijk) te gaan vernieuwen. Kortom een nieuwe look ipv de inhoudelijke tekortkomingen aan te pakken.
Daarnaast zijn de activiteiten van iThemes op het WordPress.org plugin forum minimaal. iThemes activiteiten worden hoofdzakelijk aangestuurd vanuit marketing beweegredenen en dat mag. Echter WordPress website security staat daardoor NIET bovenaan hun prioriteitenlijst.
Dus wat betreft het ethische aspect denk ik dat hetgeen ik heb gedaan gemakkelijk te verantwoorden is.
Rest mij nog te vermelden dat ik de afgelopen 18 maanden honderden topics heb afgehandeld op het WordPress.org plugin forum.
Tot slot, ook de iThemes Security PRO NL plugin wordt uitgebracht onder de GPL licentie.

Hoeveel tijd is er in het verbeteren van de iThemes Security PRO NL gaan zitten?

Heel erg veel tijd. Ik ben er sinds eind 2014 non stop mee bezig geweest …
Het was inderdaad niet makkelijk maar het resultaat is er inmiddels wel naar.
Als je de hoeveelheid tijd die ik er aan besteed heb afzet tegen de prijs van de plugin dan is er maar 1 conclusie mogelijk: koopje !

Je hebt iThemes Security verbeterd, op welke punten is de plugin anders dan de Amerikaanse versie?

De iThemes Security PRO NL plugin pakt een aantal tekortkomingen aan in de oorspronkelijke plugin.
Op de eerste plaats vertaling (localization)! De plugin is volledig in het Nederlands vertaald. Sterker nog hij bevat zowel een informele als formele Nederlandse vertaling.
Daarnaast zijn er ook flink wat aanpassingen gemaakt op het gebied van internationalisatie. Denk aan koppeling van het datum/tijdformaat zoals ingesteld in de WordPress instellingen aan datums/tijden getoond in o.a. emails en de Logs pagina.
Ook zijn er een groot aantal bugs gefixed. Zowel mbt vertaling als functionele bugfixes.
Veel van deze bugfixes waren het gevolg van meldingen op het WordPress.org plugin forum. Meldingen waar iThemes niets mee heeft gedaan. Ik zie wekelijks problemen gemeld worden die 18 maanden geleden ook al werden gemeld …
Ondertussen heb ik die bugs allang gefixed …
Verder is er betere support voor de Nginx web server en het Windows platform.
Een en ander heeft geresulteerd in een beveiligingsplugin die een WordPress site een stuk beter beveiligd.

Niet geheel onbelangrijk is dat de oorspronkelijke plugin tot en met de laatste release (Free 5.4.0/Pro 2.3.0) een ernstig stored XSS lek bevat.

Je hebt de iThemes Security PRO NL toegankelijk gemaakt voor Nederland, in welk opzicht is de plugin beter dan WordFence, Sucuri en Bulletproof?

Ik ken WordFence, Sucuri en Bulletproof niet voldoende om daar een goed onderbouwde mening over te kunnen geven.
Het enige dat ik zeker weet is dat mits correct geconfigureerd de iThemes Security PRO NL plugin een prima keuze is om je WordPress website mee te beveiligen.

De plugin is exclusief verkrijgbaar op WPbeveiligen, kan ik de plugin ook bij jou kopen? Heb je een website?

Nee, ik heb geen website en ik verkoop de iThemes Security PRO NL plugin op dit moment niet zelf. De plugin is exclusief verkrijgbaar via wpbeveiligen.nl

Welke achtergrond heb je? Ben je programmeur, beveiliger?

Mijn achtergrond is divers. Hoofdzakelijk support bij o.a. Oracle Nederland. Ik ben iemand die door veel zelf te doen en uit te zoeken allerlei IT/website vaardigheden heeft ontwikkeld. Beetje autodidact dus.
Ik heb een sterk analytisch vermogen en ben vooral gedreven in het zoeken naar de root cause van problemen. Pas als de oorsprong van een probleem is gevonden kan er een juiste oplossing voor worden ontwikkeld.
Dit sluit naadloos aan op website security. Ik beheers alle onderliggende technieken.

Kan mijn website ook beveiligd worden met de plugin of kan dat alleen met bepaalde servers of WordPress versies?

Ja, in principe kan elke WordPress website beveiligd worden met de iThemes Security PRO NL plugin. Er zijn slechts enkele beperkingen. Wat betreft web server worden alleen Apache, Nginx en Litespeed ondersteund.
Microsoft IIS wordt dus niet door de plugin ondersteund. Verder is het zo dat de plugin vele features bevat die ten goede komen aan de beveiliging van de website maar die soms ook een ongewenst effect kunnen hebben. In dat geval kun je een dergelijk feature nader tweaken of uitschakelen.
Het idee achter de plugin is om zoveel mogelijk features te gebruiken die het juist functioneren van de site niet in de weg staat.

Verder kan de plugin vanaf WordPress 4.1 tot de meest recente 4.5.2 versie worden gebruikt.

Hoe houden jullie de plugin up to date?

We maken op dit moment nog geen gebruik van een eigen update server. Uitrol van updates zal dus per email geschieden (en/of anderszins). Zodra de installed base voldoende draagvlak heeft, investeren we in een update server.

Hebben jullie updates en hoe installeer ik die?

Ja, de iThemes Security PRO NL plugin wordt regelmatig geüpdatet.
Als je de plugin aanschaft heb je standaard recht op 1 jaar support en updates.
Kwestie van de oude plugin folder renamen/deleten en dan het nieuwe per email ontvangen zip bestand uploaden naar de server en uitpakken.

Ik heb veel klanten met een WordPress website die beveiligd moeten worden, kan ik de plugin vaker gebruiken?

Voor iedere website (per domein dus) moet je een licentie aanschaffen. Wpbeveiligen.nl hanteert daarbij volumekorting welke je kunt raadplegen op de website.

Kan ik de plugin simpelweg activeren of moet ik daarna nog iets doen?

Na activatie van de plugin doorloop je eerst 4 stappen in het “Belangrijke Eerste Stappen” scherm.
Vervolgens kun je op basis van de “Beveiligings Status” 1 voor 1 extra onderdelen van je site beveiligen.

Botst de beveiligingsplugin met andere plugins?

Ja, soms wel. Dat is onvermijdelijk, ondanks dat ik mij zoveel mogelijk conformeer om volgens de WordPress codex richtlijnen te coderen. Vaak ligt het aan de code van de andere plugin. En soms ligt het aan de code van de iThemes Security PRO NL plugin. Meestal is het snel op te lossen.

Ik heb ook WordFence, het lijkt me goed om deze plugin ook te activeren. Of moet ik die verwijderen?

Ik weet dat het kan, maar vaak zit er een overlap in de functionaliteit. Mijn advies is om 1 goede beveiligingsplugin te gebruiken. Dit om onnodige overhead te voorkomen.

Ik heb een blog over mijn kids en familie. De website is niet zo groot, heeft het dan zin om iThemes Security PRO NL te gebruiken?

Websites worden vaak volledig geautomatiseerd (botnets) aangevallen en gehackt. Helaas hebben botnets geen geweten.
ALLE WordPress websites op het internet lopen het risico te worden aangevallen en gehackt!

Wij hebben een bedrijfswebsite op maat laten maken. Wij gebruiken een thema op maat en diverse plugins die ook op maat geprogrammeerd zijn. Gaat dat samen met de iThemes Security PRO NL?

Ja in principe wel, maar het is onmogelijk om de plugin met alle beschikbare plugins en thema’s te testen.
Dus het kan gebeuren dat de plugin botst met een andere plugin of thema. Dit is simpelweg niet uit te sluiten.
Vaak wordt het probleem dan veroorzaakt door de bewuste plugin of het thema. Je moet dan contact opnemen met de auteur van de plugin of dat thema. Soms veroorzaakt de iThemes Security PRO NL plugin het probleem. Het posten van een uitgebreide probleemomschrijving met de te volgen stappen om het probleem te reproduceren op het WordPress.org plugin forum helpt om tot een spoedige oplossing te komen. Soms kan zelfs toegang tot de probleemomgeving nodig zijn om het probleem te debuggen.
Los hiervan is het in zijn algemeenheid gebruikelijk/verstandig om een security plugin eerst grondig te testen in een test omgeving alvorens deze uit te rollen naar de live website.

Ik wil de plugin graag direct kopen en downloaden. Waar kan ik hem downloaden?

Zoals eerder aangegeven is de verbeterde iThemes Security PRO NL te downloaden bij WPbeveiligen.
Klik hier om de plugin te downloaden!

WordPress installeren

11 mei 2016/6 Comments/in Beveiligen, Hackers, Hosting

Voor het installeren van WordPress gaan we ervan uit dat je een hostingpakket hebt.

Stap 1. Een hostingpakket

Zo’n pakket bestaat uit minimaal 1000 MB schijfruimte zodat je WordPress kunt plaatsen en in de toekomst nog tekst en afbeeldingen. Tevens heb je een database nodig die vaak standaard bij een pakket zit.

Wanneer je een hostingpakket hebt besteld krijg je een e-mail met bepaalde gegevens.

De FTP gegevens

Deze geven toegang tot de server waar je WordPress op gaat plaatsen in stap 3.
Het gaat hier vaak om,

Hostname (voorbeeld: ftp.voorbeeld.nl)
Username (voorbeeld: 1voorbeeldje)
Password (voorbeeld: &Y#HLlk214h)

Deze voer je in bij een FTP programma waarmee je WordPress op de server kunt gaan zetten.

De MySql database gegevens

Deze gegevens zijn vaak,

Database naam (voorbeeld: voorb_dname)
Database username (voorbeeld: voorb_uname)
Wachtwoord (voorbeeld: &Y#HLlk214h)

Die MySql database gegevens zul je tijdens de installatie van WordPress moeten opgeven in stap 4.

Stap 2. Download WordPress

WordPress is gratis te downloaden op WordPress.org

Pak WordPress daarna uit met een ZIP of WINRAR programma.

Stap 3. WordPress op de server plaatsen

Zoals in stap 1 aangegeven heb je FTP gegevens gekregen welke je in kunt voeren in Filezilla.

Eenmaal ingevuld, leg je een verbinding en zie je vaak de mappen WWW of HTTPDOCS, dat wordt de “root” van je site genoemd en daar komen alle bestanden die je uitgepakt hebt met ZIP of WINRAR.

Stap 4. WordPress aan de database koppelen

Als je WordPress op je server hebt staan, kun je naar het domein surfen waar je WordPress wilt gebruiken.
Daar wordt eenmalig gevraagd om MySql gegevens zoals de Database-naam en Gebruikersnaam + wachtwoord in te vullen.

Haal de database naam en de gebruikersnaam niet door elkaar!

Database host is 9/10x gewoon localhost, en anders een specifiek adres wat je in de mail van je hostinggegevens hebt ontvangen.

De tabelprefix kun je het beste aanpassen voor de veiligheid, zet daar bijvoorbeeld abc_ of 007_ of een andere unieke prefix neer,

Je bent klaar!

Dat was de installatie van WordPress. Je kunt nu inloggen op www.je-eigen-website-adres.nl/wp-admin

Op wp-admin geef je de zojuist gekozen (of per e-mail ontvangen) gebruikersnaam en wachtwoord in en daarmee kom je in het admin van WordPress, dat is de plek waar je WordPress kunt beheren.

Beveilig je website

Standaard is WordPress een sterk systeem, maar doordat het gratis te downloaden is en veel gebruikt wordt, zijn veel hackers actief om je website te gebruiken om hun eigen reclame op te injecteren.

Dat kun je tegenhouden door middel van een goede beveiligingsplugin voor WordPress. Wij gebruiken deze plugin ook voor onszelf en al onze klanten, de Nederlandse plugin past meer dan 100+ zwakheden aan en maakt het de hackers een stuk moeilijker!

Gehackte inhoud gedetecteerd, wat nu?

6 mei 2016/4 Comments/in Antivirus, Beveiligen, Hackers

Als je een bericht krijgt van Google waar staat dat er gehackte inhoud gedetecteerd is op je WordPress site, baal je natuurlijk enorm.
Er ontstaan direct enkele vragen waarmee wij u mee zullen helpen:

Hoe komt het dat de website plotseling gehackt is?

Vaak ligt dit aan een lekke plugin of thema. WordPress is in 15% van de gevallen de boosdoener maar dat gebeurt vaak alleen als je WordPress echt al langer dan 1-3 jaar niet ge-update hebt.
Plugins worden door hackers getest en wanneer ze een lek vinden waarmee ze binnen kunnen komen op WordPress websites, laten ze een script los op internet dat speurt naar alle websites die resultaat geven op die specifieke plugin waarna ze hun injectie doen.

Ze injecteren een script, een stuk code waarmee ze reclame kunnen maken via jouw website. Dit valt vaak onder ongewenste reclame of phishing en Google ziet dit meestal als eerste waardoor je een e-mail van Google krijgt met de tekst: Gehackte inhoud gedetecteerd

Wat kan ik doen om de website weer te herstellen nadat er gehackte inhoud gedetecteerd is?

De gemakkelijkste weg is WPbeveiligen inhuren om je WordPress te herstellen en te beveiligen. Wij doen dit al jaren en dan weet je zeker dat het goed gebeurt. In combinatie met de standaard garantie heb je ook een stukje rust als wij je website herstellen en beveiligen.

Zelf je WordPress website herstellen na de melding dat er gehackte inhoud gedetecteerd is

Een goede start is de gratis scanner van Sucuri. Die laten 5/10x zien waar de hackbestanden zitten.
Maak dan een backup van je website, alle bestanden en de database.
Verwijder de gehackte bestanden, de regels code. (Die kunnen Eval & Base64 gecodeerd zijn)
Vernieuw de plugins, update WordPress & waar mogelijk je thema.
Beveilig je WordPress met een goede antivirus voor WordPress.

Let op: er komen veel meer dan 5 stappen bij kijken, maar dit is de basis.

Hoe voorkom ik de melding van Google dat er gehackte inhoud gedetecteerd is?

Gebruik een goede antivirus voor WordPress.
Laat geen plugins en thema’s op de server staan wanneer je ze niet gebruikt.
Beperk het aantal plugins tot maximaal 8-15.
Update geregeld. (Hou er rekening mee dat er soms ook bugs in updates zitten.. maak dus eerst een backup)
Verzeker jezelf ervan dat je hoster goede software op de server heeft om aanvallen tegen te houden en data van sites onderling te scheiden.

Mijn WordPress website toont een andere website!?!

1 mei 2016/4 Comments/in Antivirus, Beveiligen, Hackers, iThemes Security

Als je dit bericht leest omdat je WordPress website ineens verwijst naar een andere website (netjes vertaald), kun je het beste direct contact opnemen.

Scripts en hackers gebruiken je website voor hun eigen doeleinden

Hackers schrijven scripts waarmee ze binnen kunnen komen om je WordPress website aan te passen zodat die doorverwijst naar hun eigen website.

Dit kan door middel van een link in je website zijn, of door middel van een re-direct; wanneer de bezoeker je website bezoekt wordt die direct omgeleid naar een website van de hacker.

De website van de hacker

Over “de website van de hacker” valt nogal wat te zeggen aangezien hij of zij die website vaak alleen heeft om het grote cash binnen te halen. Vaak verkoopt die websites producten die ze zelf niet eens aan hun eigen vrienden of familie durven te tonen. Maar het gaat immers om geld he?!….

Hou deze hackers buiten je website

Je zit er niet op te wachten om een reclamebord te worden voor de producten van een hacker, en daarom moet je ervoor zorgen dat de hacker je website niet in kan zonder toestemming.

WordPress zich laat hackers niet toe, maar de vele plugins in een WordPress website bevatten vaak wel een opening waardoor een hacker zijn reclame kan plaatsen of bezoekers kan doorverwijzen.

Bescherm je WordPress website

Deze antivirus / beveiligingsplugin zorgt ervoor dat je WordPress website beschermd is tegen hackers.

De plugin helpt je om het admin te verbergen
Maakt kwetsbare bestanden op de server onbereikbaar
Blokkeert herhaalde pogingen
Zorgt dat alleen veilige wachtwoorden gebruikt worden
Maak backups van je database
Houdt bestandswijzigingen bij
Brengt je op de hoogte van aanpassingen
En meer..

De beveiligingsplugin beheert je WordPress als een professional en helpt jou de juiste instellingen te gebruiken om je WordPress te beschermen tegen hackers.

Gratis WordPress wallpapers

27 april 2016/2 Comments/in Beveiligen

Ben je ook fan van WordPress?! Wij hebben enkele toffe wallpapers voor je die gratis te downloaden zijn!

Klik op de wallpaper die je wilt, en sla de wallpaper daarna op zodat je die kunt instellen als achtergrond!)

Enjoy!

WordPress basic 1920×1080

WordPress – Niet te stoppen 1920×1080

WordPress gaat de wereld rond wallpaper

WordPress wallpaper gaat de wereld rond

WordPress wallpaper

WordPress wallpaper basic black

WordPress creative wallpaper

WordPress beveiliging – De piramide

27 april 2016/4 Comments/in Beveiligen, Hackers, Hosting, iThemes Security, WooCommerce

WordPress beveiligen, hoe leg je dat nu uit? Het is zo’n omvangrijk stuk informatie. En om het volledig te begrijpen heb je veel ervaring en kennis nodig.
Om een beeld te schetsen hebben wij het visueel gemaakt!

De beveiliging van een WordPress site, is…

Is als een piramide

De basis is uiteraard WordPress
Het topje waar het na de download van WordPress allemaal begint, is de programmeur/vormgever die je WordPress website op gaat zetten.

1 onderdeel beveiligen is nutteloos!

Je kunt 1 onderdeel aanpakken, en denken dat je website veilig is. Neem bijvoorbeeld een goede programmeur/vormgever, of veilige wachtwoorden, of de nieuwste updates.
Maar zoals je aan de piramide kunt zien is dat slechts 1 onderdeel.

Echt een veilige WordPress website

Om echt een veilige WordPress website te krijgen moet je alle onderdelen beveiligen.

Wij gaan je stuk-voor-stuk helpen om alle onderdelen van de piramide goed te krijgen zodat je WordPress echt veilig is!

De programmeur/designer
Het thema
De plugins
De hosting
De gebruiker
WordPress

De programmeur

Een goede WordPress website bouwer zal niet meer dan 8-10 plugins gebruiken. Elke plugin is een nieuwe mogelijkheid voor hackers, aangezien lang niet alle plugin ontwikkelaars verstand hebben van beveiliging.

Hier komt het dus aan op kennis, de programmeur/vormgever moet zich bewust zijn van de gevaren die elke extra plugin met zich meebrengt en moet dus enkele zaken inprogrammeren in plaats van overal een plugin voor te gebruiken.

WordPress is namelijk flexibel en kan op zichzelf al ontzettend veel met custom fields, templates en hooks.

Hou er wel rekening mee dat een programmeur/vormgever langer bezig kan zijn met je website als hij zelf de functies moet aanmaken zonder plugin, dus het budget moet ook omhoog! Je kunt niet verwachten dat een programmeur een website opzet voor een klein bedrag (150-300) en dat die dan ook alle functies kan inprogrammeren.

Het is dus een keuze van jou, of de website top safe gaat worden of dat je voor goedkoop gaat. (ook NIET elke programmeur die veel geld vraagt is goed!!)

Het thema

Premium of gratis, dat maakt niet uit.

Niet?!

Premium themes worden vaker door hackers getest omdat ze het liefst sites kraken waar geld in zit. Premium plugins worden door velen gebruikt en dat weten hackers ook.
Kortom, premium is geen garantie. Doe even research of het thema in deze database staat.

De plugins

Zoals je in de piramide kunt zien, zijn plugins een groot onderdeel van de website, meer dan 36.3% van de veiligheid van je site hangt af van de plugins.
De plugins worden “door derden gemaakt” zoals ze dat noemen. Hier heb je dus te maken met personen die op de zolderkamer een plugin programmeren, of met een team dat een plugin lanceert.

Weet jij wie je plugin heeft gemaakt? En of die verstand heeft van veiligheid?

Er zijn 44,273 plugins die je gratis kunt downloaden op WordPress.org

Dit is een geweldig aanbod! Plugins zoals:

Yoast seo
Count per day
Akismet
Woocommerce
iThemes Security PRO NL

Dit zijn geweldige plugins die WordPress omtoveren tot webshop of marketing machine!

Maar wanneer ze eenmaal aanslaan bij de grote menigte, downloaden hackers de plugins en gaan ze op zoek naar een lek. Wanneer ze die hebben gevonden maken ze een script die websites test op de aanwezigheid van de bewuste plugin en dan een script uitvoert waardoor je website vol komt te staan met reclame. Reclame voor een product dat de hacker verkoopt. Vaak is dit dan ook nog eens viagra aangezien dat duur is en schijnbaar veel verkocht wordt??

De hosting

De hosting is de plek waar je website staat. Dit is een zogenoemde “datacenter”.

Klinkt heel hip, en dat is het ook. Er staan allemaal high tech computers te draaien waar je website op staat.

Nou, high tech.. het zijn eigenlijk hele dure uitgeklede computers!
Krachtige processoren en veel opslag zorgen ervoor dat de websites razendsnel het internet op gaan wanneer een websitebezoeker die website opvraagt.

Wat is de verantwoordelijkheid van de hoster?

De hoster moet zorgen dat de server software up-to-date is. De websites worden getoond via een computer waar Linux of Windows op draaien en die moeten niet geïnfecteerd/gehackt worden.
Dit gebeurd overigens bijna nooit en daarom is dit ook maar 9.09% in de piramide.

Wat doet een goede hoster?

Een goede hoster wil zijn high tech computers snel houden, dat betekent dus dat hij ervoor zorgt dat websites bezocht worden maar de scripts van hackers niet actief zijn.
Dat betekent soms dat een hosting bedrijf je zal vragen om alle WordPress plugins up-to-date te houden.

Of zelfs je WordPress website offline haalt!

Als je website druk bezig is om spam te versturen of aanvallen uitvoert op andere servers/computers van de hoster zal hij je website vaak direct offline halen zodat dit script stopt met het lastig vallen van personen of computers.

De gebruiker

Wat jij als gebruiker kunt doen

Je plugins/thema en WordPress up-to-date houden
Wachtwoorden kiezen die niet gemakkelijk te raden zijn
Geen onnodige plugins of thema’s op de server laten staan
Niet op links klikken wanneer je ingelogd bent als administrator van je website

WordPress

De heren die WordPress hebben ontwikkeld en dit nog steeds gratis doen, zijn heel actief. Ze lanceren maandelijks en soms nog vaker nieuwe WordPress updates waarbij ze nieuwe trucs van hackers tegenhouden.

WordPress op zich is een goed en stabiel systeem! Het is in 2003 op mei gelanceerd en dus al meer dan 10 jaar in ontwikkeling.

Wist je dat?!

Er een Nederlandse beveiligingsplugin is die 80% van deze onderdelen voor je regelt!

iThemes Security PRO NL

Deze plugin helpt je de server/hosting in te stellen, dwingt gebruikers goede wachtwoorden te kiezen, houdt hackers buiten, beveiligd mappen, stopt brute force attacks, beveiligt je admin, en geeft je overzicht en controle over je website!

Kennis èn ervaring kost jaren

21 april 2016/0 Comments/in Beveiligen, Hacks, Oplossen, Updaten

Ik kom veel programmeurs tegen die een hack in hun website hebben, of in de site van de klant en dan op Google opzoeken hoe ze die hack kunnen verwijderen.
Ze vullen hun programmeerkennis aan en proberen met die informatie de site te herstellen en te beveiligen.

Maar hoeveel ze ook op internet lezen en toepassen, de hacks blijven geregeld terugkomen.

Denk aan het terugzetten van een oude backup, het verwijderen van bepaalde plugins, het updaten van WordPress.
Slimme programmeurs die echt wel weten hoe WordPress werkt, en hoe de server werkt, en welke code er wel-of-niet in WordPress thuis hoort.

Ondanks hun kennis kunnen ze de website niet veilig houden.

Waar ik dan vaak aan moet denken, is dat kennis en ervaring jaren kost.

En dat heb ik ervaren…

Toen ik jong was had ik een oldtimer, een schakelbrommer.
Die reed niet helemaal naar behoren en behaalde niet de snelheid die hij hoorde te halen.
Veel research op internet gedaan, heel veel aan gesleuteld, maar niets leek het probleem op te lossen.

Tijdens 1 van de testritten liep er een oude man, rond de 80+ voorovergebogen en riep: Je mengsel is te vet, je verbrand te veel olie.

Ik zei: nee dat zit wel goed ik weet wat in de tank zit!

De oude man zei: ik hoor dat hij te vet loopt. Je moet minder olie in je benzine doen.

Later bleek dat er mengsel in de tank was gegaan die er niet in hoort voor dat specifieke type brommer.
(Er zat nog een los oliereservoir op de brommer waar een klein beetje olie in moest.. en de brommer kon daardoor op andere benzine rijden)

Diverse mensen om mij heen (incl de vorige eigenaar van de brommer) wisten het niet op te lossen, deze man hoorde het aan het motorgeluid!

Dàt is kennis en ervaring!

Comment spam verwijderen in WordPress

7 april 2016/7 Comments/in Beveiligen, Hackers, iThemes Security

Wat is comment spam

Comment spam is de Engelse term voor ongewenste reacties op je blog.
Reacties die niets met het onderwerp te maken hebben en vaak links naar producten van andere website bevatten.

Alle comment spam in 1 keer verwijderen

Alle comments staan in een database, en deze plugin leegt in 1x je gehele comment table in de database.

Let op! Je bent in 1 keer ALLE comments kwijt.

Spam comments selectief verwijderen, zonder plugins

Je kunt de weergave van het aantal reacties in je admin aanpassen, klik hiervoor op “scherminstellingen” als je bij de reactie’s bent in je WordPress admin en zet het aantal dat weergegeven wordt op 50 of 100.

Dan kun je daarna alle berichten selecteren, (in 1x) en de reacties die je wilt bewaren de-selecteren. Dit ligt natuurlijk aan de verhouding tussen spam en het aantal berichten die je wilt houden.

Comment spam voorkomen via WordPress

WordPress heeft een instellingen pagina voor de reacties.
Hier kun je de drempel wat hoger leggen voor het plaatsen van reactie’s.
Zet bijvoorbeeld ieder bericht met meer dan 1 link direct weg als spam, of verplicht iemand die wil reageren te registeren.

Plugins om comment spam tegen te houden

Er zijn diverse plugins die comment spam tegenhouden, denk aan Akismet die standaard al bij iedere WordPress installatie zit.

iThemes Security PRO NL heeft ook een goede functie om comment spam effectief tegen te houden. De PRO heeft een reCAPTCHA mogelijkheid waardoor je het comment formulier kan voorzien van de vereiste om een captcha aan te klikken.

Teven kun je de reCAPTCHA direct inzetten voor nieuwe registraties en voor het login panel.

Belangrijk!

Klik nooit op een link bij een reactie als je ingelogd bent!

Als je ingelogd bent als administrator heb je namelijk administrator rechten om bepaalde zaken aan te passen in WordPress, en dat weten hackers ook.

Er zijn javascript codes/links die op de achtergrond bepaalde zaken uitvoeren als je erop klikt!

Comment spam, contact spam oplossen via phpmyadmin

Er is ook nog een manier om spam te verwijderen via phpmyadmin, ook zeer effectief en je kunt selectief zijn voor comments die verschillende statussen hebben.

Maak eerst een backup van je database!!

Alle reacties verwijderen:
 DELETE from wp_comments WHERE comment_approved = '1'

Alle reacties die niet toegelaten zijn verwijderen:
 DELETE from wp_comments WHERE comment_approved = '0'

Alle spam gemarkeerde reacties verwijderen:
 DELETE from wp_comments WHERE comment_approved = 'spam'

Alles uit de prullebak verwijderen:
 DELETE from wp_comments WHERE comment_approved = 'trash'

Kom je er niet uit? Wij kunnen je helpen bij het oplossen van spam problemen. Zowel preventief als wanneer je eigen website spam verstuurd!

Neem contact op.