Featured image for Is je nieuwe WordPress website ook beschermd tegen hackers? in category BEVEILIGEN

Is je nieuwe WordPress website ook beschermd tegen hackers?

/2 Comments/in , ,

Je hebt net een WordPress website laten maken door een professioneel webbureau en verwacht dat deze goed beveiligd is. Kortom dat hackers en de tientallen scripts die rondgaan op het internet geen misbruik kunnen maken van je website door die te infecteren met spam-scripts met als gevolg dat je website offline wordt gehaald door je website hoster.

Maar.. Mijn nieuwe WordPress site is niet beveiligd?!

Grote kans dat je nieuwe WordPress website nog niet beveiligd is!

Wacht eens even dat is onzin, hij is net nieuw! Bangmakerij. Marketing!

Nee helaas niet, WordPress websites zijn de meest gehackte websites op internet. Dit komt doordat WordPress het populairste systeem is en er zomaar plugins van derden in worden gezet die onveilig zijn.

De lijst van onveilige plugins en releases

Check hier de lijst van plugins en WordPress releases die een update hebben gekregen of mogelijk nog lek zijn:

WPScan Vulnerability Database

Veel programmeurs en website ontwikkelaars hebben nu eenmaal niet de diepgaande kennis die nodig is om WordPress correct te beveiligen.

Ik ontwikkel meer als 10 jaar WordPress websites en wist de eerste 5 jaar ook niet alles van de manieren die hackers gebruiken en over de scripts die van server naar server rondgaan.
Dat leer je pas als je 100+ websites beheert en 2-op-de-10 websites plat gaan door het versturen van spam of het tonen van informatie die niet op de website thuishoort.

Hoe komt het dat WordPress onveilig is?

Dit komt door alle plugins en theme’s die niet door WordPress zelf ontwikkeld worden maar door personen die minder kennis hebben op het gebied van veiligheid.

WordPress is open-source, gratis te gebruiken en krijgt haast iedere maand een veiligheidsupdate.
Plugins die ontwikkeld worden door mensen die er alleen maar “rijk” van willen worden zonder de plugins bij te werken als blijkt dat ze gehackt zijn zorgen ervoor dat WordPress onstabiel wordt.

Hoe test ik of mijn WordPress website beveiligd is?

  1. Kijk eens naar de link in de navigatiebalk van je admin, staat daar nog steeds www.jewebsite.nl/wp-admin waar je inlogt? Dat adres is bij iedere hacker bekend en dus zeer riskant.
  2. Is je login naam “admin”? Ook dit is een standaardgegeven wat als eerste getest wordt bij hack pogingen.
  3. Heb je een hele oude versie van WordPress?
  4. Heeft je website meer dan 10 plugins? Elke extra plugin is een potentieel lek.
  5. Is er geen enkele beveiligingsplugin geinstalleerd? Dan loop je veel risico.

Dit is even de eenvoudige versie hoe je kunt controleren of je website beveiligd is. Dit zijn de meest simpele basisbeginselen om je WordPress te beschermen.

Wat kan er nou gebeuren als mijn website gehackt is?

Als je een website hebt die niet commercieel is en er geen geld mee wordt verdiend, maakt het je wellicht weinig uit of de website gehackt wordt.

Ja maar.. ik heb een simpele website over de de brei-club van een klein dorpje

Het maakt voor een script niet uit of de website commercieel is of over de brei-club van een klein dorpje gaat. Hierin is een script niet selectief, het script zal op iedere mogelijke website zijn bestanden zetten die weer andere websites besmetten.

En de hosting partij die je website host, wil niet dat andere sites besmet worden of je website spam gaat versturen. Dus zetten ze je website offline totdat het opgelost is.

En dat is vervelend, want je website is vanaf dat moment onbereikbaar voor bezoekers + het kost veel meer als de website moet worden hersteld en alle bestanden, backdoors verwijderd moeten worden.

Maar hoe beveilig ik mijn WordPress website dan?

Ik heb diverse artikelen geschreven die je kunt gebruiken bij het beveiligen van je WordPress websites.

Kan wpbeveiligen mijn nieuwe website beveiligen?

Jazeker! WPbeveiligen is actief voor nieuwe websites, bestaande websites en heeft uitgebreide ervaring met thema’s en plugins.

Standaard krijg je ook nog een maand garantie die je kunt uitbreiden naar 3-6-12 maanden.

Een beveiligingspakket is niet eens zo duur als je ziet wat er allemaal voor gedaan wordt!

Wat WPbeveiligen zoal doet:

  1. Zorgen dat de navigatie-balk geen injecties toelaat
  2. Dat bestanden niet te her-schrijven zijn
  3. Dat de root map en uploads mappen geen bestanden bevatten die daar niet horen
  4. Dat bestanden niet zomaar op de server gezet kunnen worden
  5. Een user niet zomaar in de database te zetten is en user-1 niet zomaar te misbruiken is
  6. Dat je een backup hebt van je database en bestanden
  7. Dat WordPress de nieuwste release heeft
  8. Dat een hacker niet zomaar de readme bestanden kan lezen om te ontdekken welke WordPress variant je hebt
  9. Dat de wp-content mappen niet uit te lezen zijn en plugins/uploads mappen niet verkeerd gebruikt kunnen worden
  10. Dat je plugins ge-update worden tijdens de beveiliging en geen gevaar vormen
  11. Dat lekke plugins vervangen worden door andere of niet meer in gebruik gesteld worden
  12. Dat gebruikersnamen en wachtwoorden niet te gemakkelijk te raden zijn voor bots
  13. Dat een brute-force attack niet op je admin uitgevoerd kan worden
  14. Dat gebruikers en bots niet meer als 5 pogingen mogen doen om in te loggen
  15. En meer!
Featured image for WordPress, een feest voor de eigenaar en hacker in category BEVEILIGEN

WordPress, een feest voor de eigenaar en hacker

/1 Comment/in ,

Ik programmeer sinds het begin van WordPress, dat wil zeggen sinds dat WordPress 2-3 jaar oud was. Ja dit is al weer 11 jaar geleden aangezien de eerste 1.0 variant van WordPress op 3 januari 2004 te downloaden was.

In die tijd (2002-2004) had je Drupal, Joomla, Mambo en WordPress. Ze vroegen nog aan mij: Zou je niet aan Mambo beginnen? Mambo heeft de toekomst.

En ze hadden gelijk, CMS heeft de toekomst. Echter heeft WordPress dit zeer goed opgepakt en om die reden ben ik na 2-3 jaar met WordPress aan de slag gegaan.

Wat is WordPress?

WordPress is een open source script dat in het begin vooral personen ondersteunde die blogs wilden beginnen, maar de kracht van WordPress en het bedrijf achter WordPress (Automattic) was groter dan een “blogje”.

In 2005 veranderde dit blog systeem langzaam naar CMS. CMS betekent: Content Management Systeem.
Kortom, buiten alleen een stukje tekst werd WordPress langzaam een systeem dat ook content ging ondersteunen. Denk hierbij aan Afbeeldingen, foto-albums, videos, code en meer!

WordPress heeft elk jaar een grote sprong voorwaarts gemaakt en mag zich nu 1 van de grootste CMS-en noemen die er zijn.

Hoge bomen vangen veel wind

Wie opvalt, boven het maaiveld uitsteekt, heeft daar niet alleen voordelen van maar ook nadelen. 1 nadeel bij WordPress is dan ook dat veel hackers zich hebben gericht op dit Open Source systeem.

Open Source betekent dat de code voor iedereen beschikbaar is, gratis en met het recht om het aan te passen.

Aangezien iedereen dit geweldige systeem kan gebruiken. En WordPress over meer dan 40.000 gratis plugins beschikt in de community, kun je begrijpen dat dit niet alleen populair is bij de gebruikers maar ook bij de hackers.

De hackers kunnen elk gewenste plugin testen op lekken en deze gebruiken om de WordPress websites te hacken.

Is hacken zo gemakkelijk?

Nee, je hackt niet zomaar een website of een plugin. Maar als je een doorgewinterde programmeur bent die PHP/HTML en MySql beheert… tja dan kun je met de informatie uit de database en schrijfrechten een lek vinden.. en na lang zoeken een mogelijkheid om via een functie meerdere ongewenste acties uit te voeren binnen WordPress.

de hacker

Je zou denken dat er niet zoveel knappe koppen zijn die zoeken naar een lek in een plugin, waarmee ze hun spam/reclame kunnen verspreiden. WordPress is gratis te downloaden voor iedereen op de gehele wereld. Er zijn in sommige arme landen best veel personen werkeloos , hele slimme personen die ook hun gezin te eten moeten geven. Zo worden nette burgers met een IT opleiding vaak schrijvers van scripts die veel geld kunnen opleveren.

Hoe kun je een knappe kop kunt tegenhouden..

Wat een hacker vaak wil doen is het inzetten van injecties in de database via de browser, of het plaatsen van bestanden die mails versturen voor zijn product.

Als je weet wat de lekken zijn in plugins weet je ook wat je moet doen om ze tegen te houden.

Hier ben ik gespecialiseerd in. Ik zorg ervoor dat:

  1. De navigatie-balk geen injecties toelaat
  2. Dat bestanden niet te her-schrijven zijn
  3. Dat bestanden niet zomaar op de server gezet kunnen worden
  4. Een user niet zomaar in de database te zetten is en user-1 niet zomaar te misbruiken is
  5. Dat je een backup hebt van je database en bestanden
  6. Dat een hacker niet zomaar de readme bestanden kan lezen om te ontdekken welke WordPress variant je hebt
  7. Dat de wp-content mappen niet uit te lezen zijn en plugins/uploads mappen niet verkeerd gebruikt kunnen worden
  8. Dat je plugins ge-update worden tijdens de beveiliging en geen gevaar vormen
  9. Dat lekke plugins vervangen worden door andere of niet meer in gebruik gesteld worden
  10. Dat gebruikersnamen en wachtwoorden niet te gemakkelijk te raden zijn voor bots
  11. Dat een brute-force attack niet op je admin uitgevoerd kan worden
  12. Dat gebruikers en bots niet meer als 5 pogingen mogen doen om in te loggen

Dat is wat WPbeveiligen doet!

Featured image for Waarom je niet gemakkelijk van een WordPress hack af komt in category BEVEILIGEN

Waarom je niet gemakkelijk van een WordPress hack af komt

/2 Comments/in , , , , ,

Hackers zijn heel creatief in het maken van scripts die niet worden herkend door de server, WordPress of plugins zoals WordFence  & Ithemes security.

Een hackers schrijft zulke scripts om via jouw website reclame te kunnen maken voor zijn eigen website waar hij gesponsorde reclame toont of producten verkoopt.

Jouw website gebruiken om bezoekers te krijgen kan op diverse manieren, als je dit artikel verder leest, weet je direct waarom een beveiligingsplugin gebruiken om je website te scannen niet voldoende is om van een hack af te komen.

WordPress hack 1: de cookie methode

Door middel van een cookie zorgt het hackscript ervoor dat het slechts 1x per gebruiker actief geladen wordt. Door die eenmalige activatie ga je er als website eigenaar bij het testen vanuit dat de hack weg is, als het je überhaupt al de eerste keer opgevallen is. Het script zorgt er ook voor dat het alleen actief wordt wanneer een user agent aangegeven wordt. Kortom, de server die geen Chrome of mobiel is zal geen actief script tegen komen.

WordPress hack 2: de base64/eval methode

De code wordt geschreven in een gecodeerde php taal. Hierdoor merken diverse scanners niet welke functies er uitgevoerd worden in een php bestand. Het zijn cijfers en letters waardoor je de output van de code niet kunt gebruiken om de source op te sporen en aan te passen door middel van een reguliere search & replace.

base64-voorbeeld

Voorbeeld van een stuk Base64 code

WordPress hack 3: de admin methode

Als eigenaar van de website is de kans groot dat je ingelogd bent op het afmin panel van WordPress.

Hier houden hacks rekening mee, door zichzelf uit te schakelen wanneer een administrator aangemeld is. Zo werken de beveiligingsscanners dus ook minder effectief of zelfs helemaal niet.

WordPress hack 4: de iframe methode

Door het inzetten van 1 simpele regel code kan een dynamisch iframe geladen worden waar later elke pagina mee opgeroepen kan worden.

Doordat deze via javascript geladen wordt staat deze code niet op de plek waar hij een zichtbare output in de broncode krijgt.

En om het dan nog erger te maken wordt er vaak rekening gehouden met de host user waardoor niet elke browser de iframe toont.

Door middel van wat inline code wordt de iframe aan het zicht onttrokken.

WordPress hack 5: De Htaccess methode

Je zou hem gemakkelijk over het hoofd kunnen zien. In je root staat de Htaccess. Dit is een bestandje die de browser kan doorverwijzen naar andere pagina’s. De truc die vaak wordt gebruik is het doorverwijzen van enkel android toestellen naar een domein waar een bestandje draait die bij elk bezoek doorverwijst naar een andere website uit de lijst met malware sites. Op de pc zie je er niets van en wordt je niet doorgestuurd.

Naast deze 5 methodes die we net besproken hebben zijn er nog veel meer mogelijkheden die de servers toelaten om bezoekers om te leiden naar malafide websites. Voor de gewone programmeur zijn deze methodes onbekend en om die redenen kom je niet zomaar van een hack af.

Als beveiliger van WordPress websites heb ik een groot aantal trucs gezien en gaat er een belletje rinkelen als de reguliere opschoningstechnieken zoals grondig speuren + updaten + verwijderen + scannen niet oplevert.

Op zulke momenten worden de hi-tech trucs gecontroleerd.

Om jezelf wat slapeloze nachten te besparen en dagen research, kun je altijd contact opnemen met WPbeveiligen.

Met standaard garantie en mogelijkheden om de service van WPbeveiligen uit te breiden naar een garantie van 3, 6 of 12 maanden, ben jij zeker van een beveiligde website zonder dat je zelf alle kennis in huis moet hebben om preventief en actief de hackers en virusscripts tegen te houden.

Featured image for Zou je WordPress nog wel gebruiken als start van een nieuwe website? in category ANTIVIRUS

Zou je WordPress nog wel gebruiken als start van een nieuwe website?

/2 Comments/in , , , ,

WordPress lekken gevonden in alle versies voor 3.8 – updates nodig, WordPress 3.9 lek nog een update, lekken gevonden in WordPress 4.0, WordPress 4.1…

Deze nieuwsberichten lees je steeds vaker. Zoals ik in eerdere artikelen schreef, neemt WordPress een groot deel van het internet in beslag en richten grote aantallen hackers (lees hier waarom) zich op WordPress wat helaas succes heeft bij veel websites die niet up-to-date zijn.

De vraag die daardoor zowel bij mij en mijn klanten opkomt is daarom terecht:

Zou je WordPress nog wel gebruiken als basis?

Het antwoord is nog steeds: ja

Maar…

De jaren dat iedereen met een beetje lezen een WordPress online kon zetten, er een aantal plugins en een thema voor kon downloaden en klaar was met de site en het onderhoud, zijn voorbij.

Is WordPress slechter geworden?

WordPress is niet slechter geworden. WordPress is nog steeds in handen van de ontwikkelaars die met hart en ziel aan de verbetering van dit systeem werken.

Elke keer wanneer een lek bekend wordt, zorgen ze ervoor dat er een veiligheids- update uitgebracht wordt. Kortom de kwaliteit is nog steeds hoog en de snelheid waarmee WordPress bijgewerkt wordt, is meegegaan met de nood.

Tevens is WordPress is nog steeds voorzien van wachtwoorden, de database en de laagdrempelige manier waarmee je websites op kunt zetten. WordPress stuurt nog steeds bij en zorgt hierdoor dat het 1 van de beste CMS-en blijft dat goed functioneert.

Hoe kun je WordPress dan zonder problemen gebruiken?

WordPress op zichzelf is een goed systeem, waar je echter rekening mee moet houden als je een WordPress website wilt opzetten.

Er zijn enkele “spelregels” die veranderd zijn door de vele pogingen van hackers en de diverse virussen die rondgaan op het internet.

De “spelregels” van WordPress in 2015

wordpress spelregels

  1. Gebruik maximaal 5-8 plugins
    Elke plugin is een deur die gebruikt kan worden door hackers. De plugins worden ook door programmeurs ontwikkeld die “het grote geld ruiken” en even snel een plugin maken zonder deze te updaten of te beveiligen wanneer er lekken (exploits) gevonden worden.
  2. Update WordPress op geregelde basis
    Niet elke update is gericht op veiligheid, je hoeft daarom ook niet elke update te volgen en kunt soms het beste wachten tot de kinderziektes uit de update zijn.
    Er zitten wel eens bugs in, en de plugin ontwikkelaars hebben ook even nodig om hun plugin bij te werken aangezien die wellicht hangen op de code van de vorige WordPress versie.
  3. Kies een unieke gebruikersnaam, wachtwoord en schermnaam
    1 van de eerste woorden die een spambot uitprobeert is je schermnaam, websitenaam, variaties daarvan.
    Kortom: wees creatief en gebruik geen “woordenboek woorden” en zet er een cijf#r en HooFdletter tussendoor.
  4. Een beveiligingsplugin zoals WordFence, Securi, Ithemes Security is geen overbodige luxe
    Deze plugins zorgen ervoor dat je gemakkelijk in kunt stellen of elke bezoeker door de mappen van je server kan bladeren, of de versie van WordPress zichtbaar is, waar het admin panel te vinden is, of bestanden schrijfbaar zijn, of lange query’s via de navigatiebalk gebruikt mogen worden, of tientallen inlogpogingen zorgen voor een ip-ban en meer.
    Om je WordPress website nog enigszins veilig te houden heb je 1 van deze plugins nodig.
    Let op: je moet deze dan ook goed instellen!
  5. Zorg ervoor dat er geen keyloggers op je pc staan
    Via kleine scripts van het internet, een pagina of een add-on in je browser kunnen ze je data opvangen en doorsturen. Zorg ervoor dat je een goede antivirus gebruikt op de pc.
    Tip: Avira heeft een goede gratis virusscanner!
Featured image for Premium theme's: voor & nadelen van premium themes in category BEVEILIGEN

Premium theme’s: voor & nadelen van premium themes

/3 Comments/in , ,

Premium themes van Themeforrest, Elegant themes en veel andere grote theme developers worden zeer veel gebruikt. De thema’s zijn mooi, veelzijdig en zien er professioneel uit.

Dat weten de programmeurs maar al te goed, maar de hackers helaas ook. Hackers weten dat de theme’s miljoenen keren zijn gedownload en gebruikt worden over de hele wereld. Om die reden richten hackers zich op die premium themes en schrijven ze scripts die de lekken (exploits) van de themes gebruiken om bestanden neer te zetten op de server.

Wat die bestanden doen kun je hier lezen. En hoe je die geplaatste bestanden kunt herkennen kun je hier lezen.

De premium theme’s hebben enkele grote nadelen als het gaat om de veiligheid van je website. Ze bevatten 2 tot 20x meer code dan eigenlijk nodig is.

Waarom Premium themes meer code bevatten dan nodig is

De premium themes zijn ervoor gebouwd om flexibel te zijn, ze bieden daarom mogelijkheden om content op diverse manieren te tonen. Al deze functionaliteiten worden voor-geprogrammeerd.
In plaats van 3 templates voor de home, sub en single pages hebben ze er 8 + sitebuilders en nog een aantal bestanden die de templates aansturen als je binnen die vorm nog wilt schuiven met de content, of een slider, of functies zoals social media etc.

Ook al gebruik je deze functies niet, ze staan wel op de server en zijn voor hackers te benaderen en wanneer je website niet goed beveiligd is, kunnen ze bestanden zelfs uitvoeren waardoor ze veel macht hebben.

Verkeerd gebruik van Premium themes

Mits juist gebruikt is een premium theme een “goedkope” oplossing voor het ontwikkelen van een website. Echter zie ik vaak de fout dat deze flexibele thema’s niet correct gebruikt worden en “voor het gemak” grafische aanpassingen buiten de mogelijkheden van het thema om in de code gezet worden. (hardcoding)

Wat je dan krijgt is dat je de theme niet kunt updaten! Aangezien een update nieuwe bestanden bevat en je dus grafische veranderingen krijgt. Vooral wanneer een programmeur de code erin heeft geschreven (wellicht ook door gebrek aan kennis van premium themes en alle mogelijkheden) kun je als website eigenaar geen update doen zonder alle aanpassingen van de vorige keer weer door te laten voeren in de nieuwe.

Vaak worden premium themes daarom niet ge-update en bevatten ze lekken.

Een premium theme “gratis” downloaden

Het “gratis” downloaden van een premium theme die eigenlijk betaald moet worden, is de grootste fout die je kunt maken!

De personen die deze betaalde theme’s erop zetten, plaatsen GRATIS een stukje extra code in de theme.

Die code publiceert informatie waarmee ze de theme terug kunnen vinden in Google, ze laten dan een query los op je website en hebben daardoor toegang tot je server, de website, je WordPress admin.

Kortom zoals ik in een vorig artikel schreef: goedkoop is duurkoop, hacken is gratis.

Het juiste gebruik van een premium theme

Voor het gebruiken van een premium theme moet je jezelf inlezen in de mogelijkheden, daarna kijk je rustig even door alle menu’s die het thema in je admin heeft gezet en bekijk je de mogelijkheden zodat je een invulling kunt geven aan je website.

Bij de meeste premium theme’s zijn er voor-geprogrammeerde mogelijkheden voor het invullen en kiezen van de volgende zaken:

  • Je logo
  • De sliders (middels een build-in-slider of revolution slider)
  • De kleuren van het thema
  • De intro teksten, landingspagina teksten, de author teksten
  • De favicon (het kleine bookmark icoontje)
  • Lettertype keuzemogelijkheden
  • Formulieren
  • en meer..

En de thema’s bieden dan ook nog mogelijkheden voor in-content shortcodes, tabs en jquery oplossingen en meer.

Kortom, als je zo’n thema hebt gekocht kun je ontzettend veel, en is het geen goed plan om dingen “even gemakkelijk” te hardcoden in het thema zelf.

Wanneer je alle instellingen in het admin panel en WordPress zelf hebt gedaan, kun je, nadat je een backup hebt gemaakt, je thema updaten wanneer er een nieuwe versie uit is.
Diverse thema’s bieden hiervoor ge-automatiseerde updates, en andere moet je handmatig via de ftp doen.

Tip voor programmeur/vormgevers

Elegant themes geeft je voor 1 vast bedrag toegang tot alle themes. Ze hebben nog enkele plugins zoals extra shortcodes die je kunt downloaden en ze hebben thema’s in diverse categoriën.

 

Featured image for Hoe vindt WPbeveiligen een hack of backdoor? in category BEVEILIGEN

Hoe vindt WPbeveiligen een hack of backdoor?

/2 Comments/in ,

Een hackfile of backdoor in de 1500 tot 3500 bestanden vinden die een WordPress website gemiddeld aanstuurt, lijkt onmogelijk.

Zoeken naar een speld in een hooiberg

Als je website lekken bevat waarmee bots bestanden op je server kunnen zetten dan verspreiden ze die het liefst zo onopvallend mogelijk.
Denk hierbij aan de uploads mappen, dan zit je toch al snel 5 mappen diep vanaf de root.

Als je dan bedenkt dat hackbestanden in php worden neergezet tussen al je andere bestanden met telkens nieuwe bestandsnamen en trucs begrijp je dat er kennis en ervaring nodig is om die bestanden te vinden.

Enkele tips hoe ik dat doe wil ik je wel geven, maar al mijn overige tips blijven natuurlijk wel “het geheim van de smid”.

Methode 1 – Hack bestanden vinden op wijzigings & aanmaakdatum

Bestanden die via een bot worden toegevoegd zijn vaak op een ander tijdstip toegevoegd dan de rest van je bestanden. In 99% van de gevallen later na de start van je website. Hoe bekender je website wordt des te groter de kans dat deze gevonden wordt door bots die graag schadelijke bestanden inzetten.
Let dus op het tijdstip van wijziging of plaatsing.

Methode 2 – Wat hoort er niet thuis in WordPress?

Zoek de verschillen, ik weet zo ongeveer uit mijn hoofd 80% van alle bestanden die in WordPress horen te staan. Als ik daar dan ineens een options.php of model.php of 312.php zie staan, weet ik al hoe laat het is en kijk ik even welke code erin staat voordat ik op delete druk.

Methode 3 – Scannen op de code in de bestanden

Ik heb diverse scanmethodes die zowel geautomatiseerd als handmatig kunnen kijken in diverse bestanden tegelijk.
Hiermee zoek ik dus op:

  • frames
  • base64
  • eval
  • cookie
  • inject
  • p.a.c.k.e.d
  • display: none / visibility: hidden
  • En meer

Methode 4 – Search in de database

Met een programma en de gebruikelijke servertools, doorzoek ik de mysql database op backdoors, users die er niet horen, content die niet zichtbaar is en meer.

Methode 5 – Google webmaster tools

Google webmaster tools laat vaak als eerste van allen weten wanneer een website malware en phishing bestanden bevat. Daar kan handige informatie uit komen zodat je de hack kunt aanpakken.

Dit zij enkele methodes die ik gebruik. Er zijn er veel meer en elke website vereist zijn eigen extra aanpak om een hack te vinden. Websites met meer als 10 plugins vereisen weer controles op diverse plekken die je niet zou verwachten. Oude serversoftware of open servers vereisen ook een andere aanpak.

Globaal gezien komt het erop neer dat de websites eerst grondig worden nagekeken en ge-evalueerd waarna er een steeds verfijnderde search plaatsvindt om alles eruit te halen en uiteindelijk te beveiligen.

Let op: het verwijderen van een spamscript, malware syntax of frame is alleen het begin. Het dichten van het lek en beveiligen van de website is het uiteindelijke doel!

Featured image for De Anti-Malware plugin in category BEVEILIGEN

De Anti-Malware plugin

/1 Comment/in , ,

Als beveiliger van WordPress websites wordt het weleens later dan gedacht. Het vinden van 1 lijn code waar elke reguliere WordPress website gerust meer dan 700.000 lijnen unieke code bevat is best een uitdaging.

Maar zo nu-en-dan kom je midden in de nacht iets tegen waarvan je denkt “dat moet ik delen!“.

Zo ook deze Anti Malware plugin die veel werk uit handen neemt:

  • Verwijderd automatisch bekende backdoors
  • Blokt SoakSoak en andere exploits van de Revolution Slider
  • Zorgt ervoor dat wp-login beschermd is tegen brute force pogingen
  • Update timtumb wanneer deze verouderde varianten heeft
  • Geeft je de mogelijkheid tot een snelle scan met 1-klik
  • Laat je met 1-klik alle .htaccess mappen nakijken op redirects etc
  • Kijkt met 1-klik tientalle mappen na op de server

Hoewel deze plugin geen all-in-one oplossing is tegen hackers en scripts is het wel een goede tool om de website snel na te kijken op diverse malware scripts, backdoors en de .htacces files.

Mocht je op dit artikel beland zijn doordat je oplossingen zoekt tegen een gehackte website, maak het jezelf dan niet te moeilijk en laat WPbeveiligen je WordPress website cleanen en beveiligen. Dat scheelt je veel slapeloze nachten.

Featured image for 10 misvattingen over de veiligheid van WordPress in category BEVEILIGEN

10 misvattingen over de veiligheid van WordPress

/2 Comments/in , , , , ,

Hackers weten hoe ze via plugins, thema’s en via de server in je WordPress website kunnen komen. Maar ze maken vooral gebruik van de gewoontes die wij zelf hebben om je WordPress website te hacken.

Er zijn diverse misverstanden over de beveiliging van WordPress waarvan ik er enkele wil bespreken. Zo blijven wij de hackers een stapje voor!

De 10 meest opvallende misvattingen op een rij:

1. Niemand raadt mijn wachtwoord, dit is namelijk “Stroopwafel” en wie denkt daar nu aan..

Helaas, de scripts die geschreven zijn om websites te hacken via de login page gebruiken onder andere de woorden uit het woordenboek om wachtwoorden te raden. En ja, ook w00rden m3t c1jfer5 ertu55en.

2. Als ik mijn WordPress direct bij elke nieuwe release update, blijft het beschermd tegen hackers..

Helaas, je plugins en theme en serverinstellingen zijn ook verantwoordelijk voor veiligheidslekken. En als je alles direct na iedere release update, loop je het risico dat de plugins botsen met de nieuwe code van WordPress.

Op deze manier kan je website ook errors opwerpen met als resultaat dat de site niet meer zichtbaar wordt.

Uiteindelijk zijn errors tussen releases van WordPress en plugins er net zo vaak de oorzaak van dat je website niet meer zichtbaar is, als dat het door hacks komt.

En hoewel het updaten zorgt voor de nieuwste veiligheidsupdates zijn de hackers toch weer de eerste die een lek vinden. Die wordt pas dicht gemaakt nadat er websites gehackt zijn en bekend wordt dat er een lek in de plugin zit.

3. De concurrent heeft mijn website laten hacken..

Die kans is heel klein.

Een standaard hack script is in 90% van de gevallen de hacker.

Er gaan op dit moment meer als 1000+ scripts rond die WordPress websites testen op lekken, zichzelf bij succes verspreiden op de server en zo weer op zoek gaan naar nieuwe sites.

4. Ik heb een plugin die mijn admin verbergt en het maximaal aantal login pogingen beperkt en dus is mijn website beveiligd..

Hackers en hackscripts kunnen helaas gemakkelijk zonder het login panel in de site komen.

Via lekken in bestanden op de server zorgen scripts ervoor dat de database aanspreekbaar is en heeft een hacker (of script) het admin panel van WordPress niet nodig om pagina’s aan te passen.

5. Ik verneem het wel van de hosting als er problemen zijn met de website. Dan kan ik de website altijd nog even laten beveiligen..

Helaas wordt je website vaak genoeg direct offline gehaald, en wordt je daarna op de hoogte gesteld. Maar dan is de website tot die hersteld is niet meer bereikbaar.

Dit om de volgende redenen:

  • Een gehackte website belast de server behoorlijk
  • Een hosting partij kan je gehackte website geen spam laten versturen
  • Een gehackte website beperkt de snelheid van andere klanten in een shared pakketstructuur

Interessant om te weten: een server is in feite een hele snelle computer die de bestanden laadt en toont aan de bezoeker op internet. Hoe snel de server dan ook mag zijn, als de ene server besmet is en virussen verstuurt of pogingen daartoe doet.. houdt die de andere server daarmee bezig en werken ze tegen elkaar in.

Ongeacht of er een server en data verbinding van 100 euro is of een server en verbinding van 10.000 euro.

Kortom, ga verstandig met je website om. Update je website met gepaste regelmaat, maak backups die teruggezet kunnen worden als de site besmet raakt en om te voorkomen dat je website offline gaat.. laat de website beveiligen of ga aan de hand van de info op deze website aan de slag!

Een website vereist onderhoud.

6. Andere CMS systemen zijn beter

Andere zijn minder populair en daardoor minder in de picture. Maar deze hebben net zo vaak of vaker last van lekken.

7. Ik ga naar een duurdere hostingpartij dan is mijn website beter beveiligd

Ook al betaal je 300 euro per jaar aan je hosting, het ligt er maar net aan of ze naast de server ook kennis hebben van programmering binnen bepaalde systemen zoals WordPress.

8. Ik lees me even in, dat beveiligen kan zo moeilijk niet zijn

WordPress heeft diverse forum’s en tientallen artikelen waar mensen uitleggen hoe je de WordPress website kan beveiligen. Maar er gaan maanden overheen voordat je echt alle trucs van hackers a-tot-z kent. En dan moet je alle kennis nog up-to-date houden aangezien er continu nieuwe hacks gemaakt worden.

9. Eens beveiligd, altijd veilig

Als je WordPress op dit moment volledig beveiligd is, maar er over 1-2-3 maanden nieuwe lekken gevonden worden bij plugins, thema’s of de core van WordPress loopt je website weer risico om gehackt te worden. De beveiliging kan ervoor zorgen dat 9-10 hacks niet effectief zijn, maar waterdicht blijft het niet.
Om die reden geven wij standaard een basis garantie en kun je voordelig 3, 6 of 12 maanden garantie bijkopen zodat je over een half jaar ook nog zonder extra kosten kunt genieten van je beveiligde WordPress website.

10. Ik kan zelf zien of de website gehackt is

De meeste scripts draaien op de achtergrond van je server. Het de-facen zoals ze dat noemen waarmee ze laten weten dat je website gehackt is kom slechts 1-op-de-999 keer voor.
Daarnaast zijn er trucs waarmee een scripts zichzelf de-activeert als je ingelogd bent in WordPress. Of wanneer je de website met de pc bezoekt..

Waar je vaak wel effectief mee kunt zien of je website gehackt is: de Malware scanner van Sucuri

 

 

 

Featured image for Mijn WordPress website verstuurt spam, wat nu? in category BEVEILIGEN

Mijn WordPress website verstuurt spam, wat nu?

/4 Comments/in , , ,

Je krijgt een melding van je hosting provider dat je website spam verstuurt. Of je krijgt een bericht van Google dat je website als onveilig wordt opgemerkt.

Nadat je deze melding ontvangt, komen er vaak diverse vragen bij je op die ik hieronder voor je beantwoord:

Wat betekent het als de website spam verstuurt?

Je website is geïnfecteerd met een bestand dat e-mails verstuurt naar een adressenlijst.

Wat is spam?

wordpress mailSpam is ongewenste reclame. In die e-mails worden vaak producten verkocht waar je liever niets mee te maken wilt hebben. Denk aan viagra, zogenaamde wondermiddeltjes en andere aan geprijsde producten.
Vaak zijn de e-mails en producten nog in het engels ook. De e-mails zijn bedoeld om de massa te bereiken.

Het grootste nadeel wanneer je website spam verstuurt

Met de uitgaande e-mails naar vreemden die je niet kent valt nog te leven. Het opgegeven antwoord-adres dat gebruikt wordt, is van een ander dus je zult zelf geen reacties terug krijgen.
Wat echter vervelender is, dat is de stap die instanties nemen wanneer je website spam verstuurt.
De instanties blokkeren namelijk het ip adres waar de spam berichten vandaan komen. Wat betekent dat alle e-mail van jouw ip adres niet meer aankomt bij andere personen of bedrijven.
In technische termen zetten ze je ip adres van de website op de blacklist.
Als je jouw e-mail zakelijk gebruikt, is dit dus een ramp!

Hoe kun je contoleren of je op de blacklist staat?

Er zijn diverse websites waarmee je kunt controleren of je op een blacklist staat. 1 van de beste is www.mxtoolbox.com
Je vult je website adres in en selecteert: “blacklist”, waarna mxtoolbox een lijst met bedrijven controleert die de controle hebben over het wel-of-niet doorlaten van e-mailverkeer.

Hoe kom je van de blacklist af?

De blacklist verwacht dan dat je het probleem oplost. Kortom je moet het bestand dat verantwoordelijk is voor het spammen van je server verwijderen.
Pas nadat je 100% zeker bent dat je het spamscript of meerdere bestanden hebt verwijderd, kun je een de-listing aanvragen.
Bij een de-listing halen ze je website van de blacklist af wat enkele uren kan duren.

Maar let op: als je een de-listing aanvraagt terwijl je website nog spamt kom je snel weer op de blacklist en de 2e keer duurt het een stuk langer voordat je daadwerkelijk van de blacklist afgehaald wordt.

Hoe vind ik een spam bestand?

Om een spam bestand te kunnen vinden heb je een stukje achtergrondkennis nodig, je kunt een spam/virus bestand aan diverse kenmerken herkennen.

  1. Je herkent een spam bestand aan de extensie. Een spam bestand is een uitvoerend script en dus .php
  2. Een spam bestand is vaak geschreven en gecodeerd door middel van eval/base 64 wat betekent dat je geen reguliere php ziet als je het bestand opent met een code editor. Je zult een lange reeks van cijfers en letters zien staan.
  3. Logischerwijs kun je een nieuwe WordPress installatie vergelijken met wat er op je server staat. Zo vind je bestanden die toegevoegd zijn en wellicht niet thuis horen in de website.
  4. Qua benaming kun je helaas weinig beginnen aangezien ze vaak namen verzinnen zoals object.php of wp-configure.php die enorm veel lijken op de huidige bestanden. Maar als je een doorgewinterde WordPress programmeur bent zoals Wpbeveiligen, pik je de bestanden die niet thuishoren op de site er sneller tussenuit.
  5. Als je kijkt naar de plaatsingsdatum van het bestand op de server, kun je vaak zien dat deze datum afwijkt van de rest van de bestanden die tijdens de installatie op 1 datum staan.

Is het probleem opgelost als het spamscript verwijderd is?

Nee, dan is het probleem niet opgelost aangezien een spamscript op een bepaalde manier op de server terecht gekomen is en die methode niet verdwijnt na het verwijderen van het spamscript.

Enkele manieren hoe een spamscript op de server terecht kan komen

Een spamscript wordt via een lekke plugin op de server geplaatst, via een injectie of via de ftp.
WordPress biedt diverse mogelijkheden waarmee bestanden naar de website geschreven kunnen worden:

  • De media uploader
  • De plugin updater
  • Diverse plugins die rechten hebben om bestanden aan te passen

Die manieren worden ge-automatiseerd door scripts benut.

Wanneer je dus alleen het geschreven bestand verwijdert wat de spam verstuurt, komt het ge-automatiseerde script vanzelf weer langs om het weer op de server te zetten.

Voorkomen dat je een spamscript op de server krijgt

Er zijn diverse manieren om te voorkomen dat je op speurtocht moet naar spamscripts en bestanden die hackers toegang verschaffen tot je server, enkele daarvan kun je lezen in het artikel over de WordPress beveiliging verbeteren en in het artikel wat bespreekt wat je vooral niet moet doen als je WordPress veilig wilt houden.

 

Featured image for WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin in category BEVEILIGEN

WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin

/2 Comments/in , ,

De WordPress seo plugin van Yoast is 1 van de meest bekende en meest gebruikte plugins bij WordPress websites.

Leuk weetje: Joost van der Valk, de eigenaar van deze populaire plugin die wereldwijd gebruikt wordt, is een Nederlander.

Echter, de kans dat hackers manieren zoeken om websites te hacken via deze veelgebruikte plugin is logischerwijs zeer groot. En zolang ze die niet gevonden hebben is er niets aan de hand.

Helaas heeft 1 van de ontwikkelaars van Wpscan een zwakke plek ontdekt in de optimalisatie plugin van Yoast.

Gelukkig heeft de ontwikkelaar van Wpscan dit lek netjes gemeld voordat een ander brein het lek zonder te melden gaat gebruiken voor minder prettige doeleinden.

In feite kan deze hack niet zomaar gebruikt worden aangezien je het mysqli command alleen met de juiste rechten kan doorvoeren.

Dit betekent dat de uitvoerder van het mysql command een aangemelde author, editor of beheerder moet zijn.

Maar hoe een hacker wel te werk kan gaan is als volgt, hij zet een url op je blog in een comment  (of e-mail) met een injectie code en zorgt ervoor dat je daarop kan klikken als aangemelde gebruiker met die rechten. Waardoor alsnog de data uit de database komt en via via in de handen van de hacker beland.

Dit wetende kun je het volgende doen:

1. Klik nooit op links die in 1 van  de comments op je website gezet zijn.

2. Update SEO by Yoast nu. De nieuwste versie zou een patch bevatten volgens de logs.

3. Beperk wie een author of editor is en informeer ze over punt 1.

4. Zorg ervoor dat je database niet te gemakkelijk bereikbaar is, evenals je admin.

5. Maak backups van je database waardoor je altijd je data terug kan halen als er iets met de database gebeurt.

Je kunt je WordPress website door Wpbeveiligen laten beveiligen. Naast de controle op backdoors, updaten, beveiliging en het opschonen van gehackte websites zorgt Wpbeveiligen voor de start van deze werkzaamheden voor een backup.

Zo ben je zeker dat de website bij updates die problemen veroorzaken niet zijn data verliest.