Featured image for Is mijn premium plugin veilig? in category HACKERS

Is mijn premium plugin veilig?

/4 Reacties/in , ,

Het wordt vaak aan mij gevraagd, of een premium plugin veilig is.

Een korte uitleg over premium plugins

De premium plugins kosten eenmalig of jaarlijks een bepaald bedrag. Voor dat bedrag zou je verwachten dat de plugin veiliger is.

Maar dat ligt helemaal aan de instelling van de programmeur van de plugin. Sommige steken veel tijd in de veiligheid van de plugin en sommige alleen in de ontwikkeling om zo veel mogelijk geld te verdienen.

Een premium plugin is dus niet per definitie veiliger dan een gratis te downloaden plugin.

1 nadeel dat de premium plugins hebben is dat hackers meer tijd nemen om lekken te vinden in zulke plugins. Ze weten namelijk dat websites met betaalde plugins vaker bedrijfswebsites of andere belangrijke websites zijn. Er is immers in geïnvesteerd.

Het gaat een hacker er niet om de website plat te leggen maar om reclame (spam) te versturen via het domein of reclame op de site te plaatsen. (Linkbuilding en bezoekers)

Belangrijk als je premium plugins gebruikt

  • Koop ze netjes, de gratis te downloaden illegale versies bevatten vaak hacks en backdoors voor de hackers.
  • Update de plugin regelmatig.
  • Laat de updates en de licentie na een jaar niet verlopen wanneer dat beperkt dat je kunt updaten.

 

Featured image for WordPress onder controle? in category BEVEILIGEN

WordPress onder controle?

/4 Reacties/in , ,

Het blokkeren van hackers om je WordPress website veilig te houden met de iThemes Security PRO NL is belangrijk.
Maar wist je dat de log bestanden van iThemes Security PRO NL veel inzicht geven over je website?

De log bestanden geven je inzicht in de bestandswijzigingen, in de inlogpogingen, de opgeroepen “pagina’s” en meer!

“Waarom is het zo belangrijk om inzicht te hebben in de bestandswijzigingen??” Hoor ik je denken.

De bestandswijzigingen

De bestandswijzigingen tonen je welke bestanden aangepast of bijgeschreven zijn.
Het kan namelijk altijd voorkomen dat je WordPress website door een lekke plugin of door eigen toedoen wordt getroffen door een injectie, door een hack via een plugin of thema wat niet helemaal veilig was. (of waar na jaren een lek in is ontdekt door een hacker, dat komt nogal eens voor..)

iThemes Security PRO NL houdt veel tegen maar ontzegt plugins niet altijd om bestanden te schrijven, anders zouden sommige plugins namelijk niet kunnen werken.

Mocht er dus op een bepaald moment een hack(ers)bestand op je server komen, hoef je geen dagen te zoeken door alle mappen en bestanden en code maar open je gewoon de log bestanden.

Wat je kunt zien in de log bestanden van iThemes Security PRO NL

  1. De datum van wijziging
  2. Welke bestanden aangepast zijn
  3. Welke bestanden bijgeschreven zijn
  4. Het complete pad naar het bestand

Kortom, weten welke bestanden aangepast zijn, voorkomt veel problemen wanneer je toch getroffen wordt door een hack/injectie. Je kunt tijdig actie ondernemen en je weet exact wat er gebeurd is!
Daarnaast kun je ook zien welke pogingen gedaan zijn om in te loggen en naar welke bestanden gezocht wordt. De gezochte bestanden die onder het 404 tab staan zijn vaak aangeroepen door hackbots die op zoek zijn naar een lek in je WordPress.

Dit even wat betreft de weergave die de iThemes Security PRO NL je geeft zodat je WordPress onder controle kunt houden. In diverse andere artikelen op WPbeveiligen kun je lezen hoe je kunt voorkomen dat bestanden aangepast worden en kun je leren hoe je de hackers en bots volledig geautomatiseerd kunt laten blokkeren.

 

Featured image for Mijn WordPress is gehackt. Ik download 5 antivirus plugins! in category ANTIVIRUS

Mijn WordPress is gehackt. Ik download 5 antivirus plugins!

/2 Reacties/in , , , ,

“Mijn WordPress is gehackt. Ik download een antivirus plugin, en misschien nog wel 1, en nog 1..”

En fixed?

Nee, er zijn diverse goede plugins te downloaden. Denk aan iThemes Security en WordFence, of Sucuri, Acunetix, All in one security.. er zijn er heel veel!

Maar wat deze 5 plugins niet doen,

Ze kunnen hackers code niet uit elkaar halen, ze evalueren geen code. Wat een beveiligingsplugin hoogstens kan doen is het tonen van code die mogelijk niet in je site thuis hoort.

De gratis plugins

Een gratis plugin mist veel mogelijkheden zoals de geplande scan, backups en meer.

De Premium plugin

Een premium plugin heeft veel meer mogelijkheden zoals het inplannen van scans zodat je snel op de hoogte bent van hacks, en het tegenhouden van hackers en hackscripts.

Maar als het gaat om het verwijderen van hacks..

Ook al download je 5 beveiligings plugins.. als er eenmaal een hack in je site zit kom je er niet gemakkelijk vanaf.

Waarom 5 beveiligings plugins je niet meer helpen als je al gehackt bent

  1. De database gegevens zijn uit de wp-config gehaald en worden gebruikt om nieuwe injecties op de database uit te voeren
  2. De FTP gegevens zijn mogelijk bekend, tegen het beschrijven van de server (met de rechten ervoor) kan geen enkele plugin je helpen
  3. De plugins herkennen nieuwe hack-codes niet als zijnde “gevaarlijk” of als open deur voor hackers

Kortom

Beveilig je WordPress site vóórdat je website gehackt wordt. Voorkomen en beter dan genezen!

 

Featured image for Mafkezen en Malware in category BEVEILIGEN

Mafkezen en Malware

/3 Reacties/in , , ,

Het internet is anoniem, en zoals een klant van de week tegen mij zei: ”Het internet zit vol met mafkezen en malware”

Met welke personen hebben we te maken?

Qua hacks en malware komen wij van alles tegen, maar natuurlijk nooit de persoon zelf aangezien iedere “mafkees” toch wel het verstand heeft om zich te verschuilen achter een Proxy.

Professionele programmeurs

Een voorbeeld van briljant programmeerwerk,

Vandaag kwamen wij jpeg afbeeldingen tegen in de uploads map.
Niet vreemd toch?

Totdat je het bestand met een php editor opent en je code tegenkomt die je WordPress website open zet voor hackers.
De hackers die naast deze truc ook nog een goed staaltje programmeerwerk leveren om deze bestanden uitvoerbaar te maken.

voorbeeld

De scriptkiddies

Een internet-term die gebruikt wordt om personen aan te duiden die alleen een script uitvoeren en zo “je website hacken”.

Dit is een hele grote groep, voornamelijk jongeren. Ze kijken wat youtube video’s en volgen zo de stappen die een doorgewinterde hacker neemt om een site te hacken.

En bij de gemiddelde WordPress website zonder extra beveiliging hebben ze helaas nog kans van slagen ook.

De mafkezen

Je hebt ook een groep hackers die uit zijn op “roem”. Het maakt ze niet uit welke website lek gaat, als hun naam of reclame maar op de site komt te staan.

In enkele gevallen heb je een volledig nieuwe startpagina met een fictieve schuilnaam en een afbeelding waarbij zijn beeldmerk duidelijk getoond wordt, maar meestal maakt je website, zonder dat je het weet, reclame voor dure producten waar jij eigenlijk helemaal niets van wilt weten. Soms legaal en soms illegaal.

Slot

Je hebt personen uit de gehele wereld die zich richten op WordPress gebruikers, er zitten briljante mensen bij die dit voor “het grote geld” doen.
Maar ook personen die alleen een computer en een diepe schuld hebben en zo toch nog wat willen/moeten verdienen omdat ze in de meeste landen simpelweg geen uitkering krijgen en het hele gezin honger lijdt.

Ieder persoon heeft zijn drijfveer om deze illegale activiteiten te ondernemen, en aan ons de taak om te zorgen dat ze niet in je WordPress kunnen komen!

Onze website staat vol met artikelen, tips hoe je mafkezen en malware tegen kunt houden. Lees gerust eens verder!

Featured image for Meekijken op uw smartphone, zo gemakkelijk?! in category HACKERS

Meekijken op uw smartphone, zo gemakkelijk?!

/0 Reacties/in

Wij zijn natuurlijk van de websitebeveiliging, maar ik vond dit wel een inspirerende video.

Deze video laat zien hoe gemakkelijk het is om mee te kijken op je smartphone, zonder dat je het doorhebt. Simpelweg door als hotspot te gaan werken.

De eenvoud is schrikbarend, met alleen 1 stukje software en een doodgewone laptop of telefoon kun je al zoveel!
(En datzelfde geld overigens ook voor hackers van websites)

Featured image for Het gemak van gewoontes in category BEVEILIGEN

Het gemak van gewoontes

/1 Reactie/in , ,

Bij het hacken van een site maak ik gebruik van de gewoontes van de mensen. Denk bijvoorbeeld aan de gebruikersnaam en het wachtwoord. Van nature willen we iets gebruiken wat te onthouden is, wat er vaak voor zorgt dat je een voor- of achternaam gebruikt. Misschien een geboortedatum erachter en heel misschien nog wat c1jfer5.

Maar het moet niet te ingewikkeld zijn, we hebben een hekel aan wachtwoorden aangezien er al zoveel zijn die je moet onthouden.

Van die gewoontes maak ik graag gebruik.

Nog een voorbeeld van gewoontes

Als je aan een hacker denkt, heb je vaak een stereotype beeld van een slecht persoon. Immers, wie zou er willen leren hoe je kan inbreken bij een ander?

En terecht, er zijn er maar weinig die al de moeite doen om daarna met hard werken wat bij te verdienen.

Maar ze zijn er, white hat hackers

white hat

 

Hacken puur voor de kick, het vermaak zonder een website te benadelen met hacks. Een bedrijf benaderen en ze op de hoogte stellen van de hacks.

Of gewoon iemand zijn toegang teruggeven tot de site als die zijn wachtwoord vergeten is.

Hacken van sites is een leuke bezigheid, als je weet waar je mee bezig bent.
Ik doe het voor het vermaak, vandaar dat ik ook gastblogger ben geworden op wpbeveiligen.

Voor het gemak kunnen jullie mij Hacker Anno noemen, hopelijk leren jullie van de trucs die ik de komende weken zal beschrijven. En leren jullie dat er ook goede hackers zijn.

Groet,
Anno

Featured image for Antivirus voor WordPress in category ANTIVIRUS

Antivirus voor WordPress

/4 Reacties/in , ,

Is antivirus voor WordPress wel nodig?

Als je WordPress zou gebruiken zonder plugins en met een uniek thema dat niet door 1000en andere gebruikt wordt is een antivirus voor WordPress haast niet nodig.
WordPress is een stabiel en redelijk veilig systeem om je website mee op te zetten.

Een antivirus voor WordPress is haast niet nodig

Het zijn de plugins die problemen veroorzaken

De plugins die je gratis op WordPress.org kunt downloaden worden ook door hackers gedownload. De hackers testen de plugins op lekken waarmee ze WordPress websites kunnen overnemen.
Als ze het beheer over je website hebben, plaatsen ze reclame voor hun eigen producten.

Hackers zijn niet selectief

Iedere website die kan linken naar hun website en producten, is een vooruitgang voor de status van hun website. Of je nu de bakker in een klein dorpje bent met een simpele WordPress website of een hondentrimsalon, het maakt de hacker niet uit. (Vooral aangezien die vaak een script schrijft dat geautomatiseerd te werk gaat)

Hackers misbruiken je gehackte website voor:

  • Het versturen van spam (mails) via jouw server en IP adres
  • Het plaatsen van links in je pagina’s zodat ze meer bezoekers krijgen
  • Het plaatsen van links naar producten van de hackers zodat hun website stijgt in de Google resultaten (Een grove manier van backlink SEO)

Hou hackers tegen met antivirus voor WordPress

Wat Antivirus voor WordPress voor je WordPress website doet:

  • Antivirus voor WordPress zal Brute-Force aanvallen tegenhouden, dit zijn scripts die een computer aansturen om 1000-en wachtwoorden per minuut op je admin af te vuren om zo na een geruime tijd je website binnen te kunnen dringen met het juiste wachtwoord.
  • Antivirus voor WordPress zal database backups maken, mocht er iets verkeerd gaan en een hacker in je admin kan komen kun je de backup terugzetten.
  • De Antivirus voor WordPress zorgt ervoor dat je standaard url wp-admin verborgen wordt en andere links om je admin te bereiken ook.
  • De Antivirus voor WordPress beheert ook het gebruikersgedrag voor je, en zorgt ervoor dat jij en je schrijvers goede wachtwoorden moeten gebruiken. De release van WordPress van de afgelopen maand heeft een nieuwe functie gekregen waardoor je e-mailadres niet standaard gebruikt zal worden voor het inloggen op je admin panel. (Een nieuwe functie van WordPress waar wij zeer tegen zijn in verband met de veiligheid)
  • DDOS aanvallen die uitgevoerd worden middels de XML-RPC kunnen tegengehouden worden. Zodat pingbacks niet misbruikt worden om andere sites plat te leggen.

En goede antivirus voor WordPress is de iThemes Security Pro

Featured image for Een WordPress webshop met WooCommerce in category BEVEILIGEN

Een WordPress webshop met WooCommerce

/11 Reacties/in , , ,

Wij als programmeurs en WordPress-verslaafden hebben veel webshops geprobeerd, maar de WooCommerce plugin is de afgelopen jaren de ongeslagen kampioen!

Wat is WooCommerce

WooCommerce is een webshop plugin voor WordPress die gratis te gebruiken is. Het is de meest bekende webshop plugin die veel gebruikt wordt. Door zijn populariteit worden er tientallen plugins aangeboden die de mogelijkheden die WooCommerce geeft nog verder uitbreiden.

Hoe installeer je WooCommerce

WooCommerce kun je vinden in de plugin database van WordPress zelf. Het is te downloaden op de officiele website van WooCommerce.
Het installeren is een kwestie van een paar muisklikken, maar let wel op dat je het daarna moet configureren.

woocommerce

WooCommerce veilig houden

WooCommerce is een stabiele plugin om een webshop mee op te bouwen, maar als je WordPress website gehackt wordt, kan een hacker zowat alles met je website doen wat hij wil.

Denk aan het doorgeven van informatie over gebruikers, het toevoegen van zijn eigen producten in je shop, enz.

Dat wil je niet hebben!

Dat is de keerzijde van gratis webshop software, iedereen kan het downloaden en de zwakke plekken opzoeken en zo een hack opzetten of injecties programmeren.

Het is dus van belang dat er een goede beveiliging op je website draait.

Een beveiliging die:

  1. verdachte injecties blokkeert;
  2. gebruikers of bots blokkeert na een x-aantal inlogpogingen;
  3. hackers tegenhoudt;
  4. je WordPress administratiepanel verstopt;
  5. bijhoudt wat er op de server gebeurt.

De Ithemes Security PRO doet dit gelukkig.

WooCommerce en SSL

WooCommerce heeft Payment Gateways zoals ze dat noemen, even simpel gezegd: betaalmogelijkheden waardoor de kopers gemakkelijk vanaf je website kunnen betalen via PayPal of iDeal.
Maar dit betekent wel dat er belangrijke klantgegevens van de koper via je website verstuurd worden naar de bank.

https ssl veilig

Omdat die gegevens nooit in handen van een crimineel mogen vallen, is het uiterst belangrijk een SSL-certificaat te regelen. Met een SSL-certificaat krijgt je website een HTTPS-link die beveiligd is en de gegevens met een codering het internet op stuurt.
Mocht die informatie toch onderschept worden door een internetcrimineel, dan is ze gecodeerd en niet zomaar uit te lezen.

Een goede start met WooCommerce

Pas als je WooCommerce op een goede veilige manier kunt gebruiken, kun je producten toevoegen en de webshop online zetten.

Je opent namelijk ook geen winkel waarvan de achterdeur niet op slot kan!

 

Featured image for WordPress installatieproblemen in category BEVEILIGEN

WordPress installatieproblemen

/4 Reacties/in , , ,

Als fanatiek WordPress-programmeurs weten wij maar al te goed dat een installatie niet altijd soepel verloopt. Het WordPress-systeem is wel betrouwbaar maar externe factoren zorgen er wel eens voor dat je enkele aanpassingen moet maken of handmatig enkele instellingen moet plaatsen.

We analyseren hier enkele veel voorkomende problemen en bieden direct de oplossing!

WordPress-installatie probleem #1

De wp-config.php kan niet worden beschreven.

Oplossing: kopieer de wp-config-sample.php en haal in de bestandsnaam het stukje -sample weg, plaats de mysql-gegevens handmatig in het bestand. De wp-config.php sample file vind je in de httpdocs waar ook de wp-config.php moet komen te staan.

WordPress installatie probleem #2

Het admin-systeem werkt niet volledig, laadt niet in (error pages) of geeft aan dat het enkele files mist.

Oplossing: Je hebt waarschijnlijk een WordPress download op de FTP geplaatst waarbij enkele files niet of onvolledig overgeplaatst zijn naar de server. Kopieer daarom de files nogmaals naar de server en overschrijf daarbij de files om zeker te zijn dat er volledige files komen te staan.

WordPress-installatie probleem #3

Het admin-systeem werkte nog bij de installatie maar na het toevoegen van plugins loopt het vast.

Oplossing: een plugin veroorzaakt de error, ogenschijnlijk kun je het niet meer deactiveren omdat je niet meer in het admin systeem kunt komen. Wat het beste werkt is het hernoemen van de plugins. Voeg bijvoorbeeld een streepje toe in de naam van de map op de server. De plugin wordt dan inactief en je weet zo direct welke plugin de error veroorzaakt. De ontwikkeling van de plugins loopt wel eens achter op de nieuwere WordPress-releases aangezien die zeer frequent uitkomen.

WordPress-installatie probleem #4

De installatie is net afgerond, er wordt een nieuwe post aangemaakt en het uploaden van een afbeelding lukt niet.

Oplossing: de map uploads is soms niet direct beschrijfbaar, hetgeen wel belangrijk is. Ga naar de httpdocs > wp-content > uploads en klik rechts op het bestand. Je kunt daar meestal onderaan in het menu kiezen voor File Permissions, ook wel CMOD genoemd. Zet de schrijfrechten met het cijfer op 777 en het probleem is hoogstwaarschijnlijk verholpen.

WordPress-installatie probleem #5

De permalinks kunnen niet worden gewijzigd omdat de .htaccess niet aanwezig of beschrijfbaar is.

Kijk in de map httpdocs van jouw hostingpakket/serverruimte of daar een bestandje staat met de volgende naam: “.htaccess”. Het is een unieke naam omdat het geen extentie lijkt te hebben en er een punt voor staat. Toch is deze file van groot belang. Maak een nieuwe file aan als deze in de map ontbreekt en zet die file met de schrijfrechten op 777.
Genereer de permalinks in je admin > instellingen > permalinks. Vergeet niet om de schrijfrechten 444 (alleen leesrechten) te zetten als je klaar bent, anders kunnen hackers of hackbots je website redirecten (doorlinken)!

5 problemen en 5 oplossingen

Dit zijn enkele veel voorkomende problemen en oplossingen. Heb je andere problemen of heb je hulp nodig?
Wij werken al jaren met WordPress, en hoewel wij ons voornamelijk concentreren op het herstellen en beveiligen van WordPress kunnen we je ook uit de brand helpen als je er niet uitkomt.

Neem contact op voor de beschikbaarheid, aangezien het herstellen en beveiligen van WordPress websites onze prioriteit heeft.

Featured image for Wat is JQuery nu precies? Is het veilig? in category BEVEILIGEN

Wat is JQuery nu precies? Is het veilig?

/6 Reacties/in , ,

JQuery is al in gebruik sinds 2006. Toch valt op dat veel programmeurs het nog niet gemakkelijk kunnen gebruiken. En dit terwijl JQuery zich er uitstekend voor leent om wel door iedere programmeur gebruikt te worden!

JQuery is een algemeen geaccepteerde bibliotheek van javascript handelingen. De handelingen zijn zo verwerkt in het gratis downloadbare bestand op www.jquery.com dat je met weinig regels code veel dynamische handelingen uit kunt voeren met de elementen van een website.

Enkele feiten over jQuery op een rij

  1. JQuery is gratis te gebruiken door iedere programmeur
  2. JQuery is een standaard die door 90% van de browsers geaccepteerd is
  3. JQuery kun je gebruiken om de DOM en CSS te manipuleren
  4. JQuery is een bibliotheek aan code die je in de website moet laden
  5. Er zijn vanaf het begin van het internet meerdere pogingen gedaan om een dynamische webstandaard te ontwikkelen die nooit echt geaccepteerd werden
  6. De grootste websites online gebruiken jQuery waaronder Google
  7. Meer dan de helft van alle websites online gebruikt jQuery
  8. JQuery is 1 van de redenen dat Flash zo snel uit websites is verdwenen
  9. JQuery is snel en licht en daardoor geschikt voor mobile devices
  10. JQuery wordt regelmatig ge-update en blijft zo geschikt voor de nieuwste browsers

Wat is het verschil tussen jQuery en jQuery minified?

De standaard jQuery bibliotheek van handelingen zoals ze dat noemen is gedocumenteerd en helder gecodeerd door het gebruik van enters en witruimte.

De minified versie die ook wel afgekort wordt als jquery.min.js is simpelweg gestript en heeft alleen de functionele code zonder uitleg. Hierdoor is het bestand iets kleiner van formaat en wellicht enkele microseconden sneller geladen.

Hoe zit dat met al die update releases van jQuery?

In 2006 begon jQuery met versienummer 1.0 waarna jaarlijks en soms meerdere keren per jaar een nieuwe release uitgebracht werd.
Op moment van schrijven zitten we in release 2.0

Opvallend is dat jQuery in april 2013 de ondersteuning heeft laten vallen voor Internet Explorer 6, 7 en 8.
En gelukkig vooruit gaat door een jaar later ondersteuning te bieden voor diverse nieuwe versies van opera en safari.

Mocht je de jQuery library (zoals ze dat in het Engels noemen) in je website gezet hebben met de include code waarbij hij de laatste jQuery release gebruikt, kun je spontaan uitvallende functies ervaren binnen die browsers.

Om dit te voorkomen downloaden de meeste programmeurs de jQuery database en gebruiken die als basis voor de dynamische functies van de website.

Welke dynamische functies heeft jQuery

Dit zijn er te veel om op te noemen of om even kort uit je hoofd te leren. Maar de meest gebruikte zijn de functies om css te manipuleren door middel van het dynamisch toevoegen en verwijderen van classes.
En het wisselen van grootte en posities van div’s.
Alleen met deze simpele functies kun je de website al zoveel laten doen!

Met jQuery als groots geaccepteerde standaard voor dynamische websites  kun je wel zeggen dat het programmeren van dynamische user-friendly websites stukken vooruit is gegaan.

Hopelijk weet je nu iets meer van de herkomst en de functie van jQuery.

Mocht je vragen hebben of suggesties, gebruik dan het reactie formulier wat altijd open staat voor nieuwe reacties!

Is jQuery veilig?

Het zal je wel opvallen dat jQuery in iedere plugin gebruikt wordt, en WordPress gebruikt het ook standaard.
Je hoort ook veel over Javascript hacks en over JS bestanden die gebruikt worden voor het vertonen van reclame, dit komt omdat het dynamisch kan worden gebruikt en geladen.

De JS files zijn over het algemeen redelijk veilig, maar door de mogelijkheden die een JS bestand biedt, is het wel een doelwit van hackers en hackscripts. Zorg daarom dat de bestanden niet aan te passen zijn door anderen.

Let wel op

Aangezien veel jQuery scripts extern geladen worden, moet je enorm uitkijken waar die data staat en en of dit betrouwbaar is, aangezien de bron het bestand op ieder willekeurig moment kan aanpassen!!

Wij raden aan waar mogelijk de JS files te downloaden en vanaf je website te laden in plaats van een andere website. Maar dit kan nogal tijdrovend zijn als je veel plugins hebt..

Hoe vind ik een hack in een JS file?

Net als bij php bestanden staat een bijgeschreven hack haast altijd aan het begin of het einde van de code. En de code is vaak gecodeerd, omgezet naar cijfers en tekens zonder opmaak.