Featured image for 10 manieren om WordPress veilig te houden in category BEVEILIGEN

10 manieren om WordPress veilig te houden

/2 Reacties/in , , , ,

WordPress is als basis een redelijk veilig cms. Er worden geregeld updates gelanceerd waarbij de programmeurs achter WordPress samen werken met de community om beveiligingslekken op te sporen en op te lossen.

Nu is het aan jou om WordPress veilig te houden, als webdesigner of als eigenaar van de website heb je de verantwoordelijkheid diverse stappen te ondernemen en te onderhouden om hackers geen kans te geven.

Wij hebben een lijst samengesteld van 10 manieren hoe je WordPress veilig kunt houden.

  1. Update geregeld

    Met geregeld doelen we minimaal op de updates van WordPress die te maken hebben met de beveiliging.
    Security releases noemen ze dat.
    In het changelog kun je zien welke aanpassingen gedaan zijn. Als het gaat om beveiligings issues kun je het beste updaten.
    Bekijk de changelog hier.

  2. De wachtwoorden

    WordPress vereist nu al een goed wachtwoord voordat je het kunt opslaan.
    Maar nog kun je namen gebruiken zoals de domeinnaam of cijfers zoals 12345.
    Doe dat niet!! Het is 1 van de eerste dingen die bij brute-force aanvallen worden geprobeerd.

  3. Maximaal 1 website per hosting pakket

    Je kunt meerdere WordPress installaties op 1 hosting pakket zetten. Dit kan middels een MultiSite maar ook door mappen met WordPress te vullen en daar websites op te bouwen.
    Maar vergeet niet dat 1 besmette WordPress website zo gemakkelijk over kan springen naar andere mappen met WordPress installaties.
    Heel vaak worden bij een lek direct alle sites voorzien van hack bestanden. Dat bezorgt je veel werk en problemen.

  4. Pas je CMS aan

    Elke standaard installatie van WordPress is hetzelfde. Dat weten hackers ook! Het admin is te vinden onder /wp-admin of op wp-login.php
    En ook de author/administrator is meestal gemakkelijk te vinden.
    Tevens zijn de beschrijfbare uploads mappen evenals de theme en plugin mappen algemeen bekend.
    Installeer niet zomaar elke plugin

  5. Kijk eerst na of er recenties van een plugins zijn, hoeveel stemmen een plugin positief of negatief heeft.
    Elke plugin is een nieuwe open deur voor hackers!
    LESS IS MORE in dit geval.

  6. Backups

    Als er wat gebeurt, ben je bijzonder blij als je een backup terug kunt zetten.
    De backup bevat vaak nog niet de besmette bestanden en dit scheelt je veel herstellen.
    Beveiligen na het terugzetten van een backup is nog altijd nodig!

  7. De schrijfrechten goed zetten

    Als alle mappen open staan en zelfs beschrijfbaar zijn door anderen heb je een groot risico.
    Zo moet de wp-config en de .htacces op CMOD 444 staan.
    Het lezen en uitvoeren maar NIET schrijven zorgt ervoor dat veel hacks buiten de deur blijven of zich niet kunnen verspreiden.

  8. Toegang tot de server ontzeggen

    Als je de server niet goed configureert, staat die toe dat alle mappen bekeken kunnen worden door iedereen. Door middel van de HACCESS (Linux), NGINX.conf of in het geval van een windows server de WEB.config te configureren kun je instellen dat diverse mappen niet door te lezen zijn door anderen. Zeer belangrijk aangezien hackers en bots anders je theme en plugin mappen door gaan bladeren naar mogelijke lekken.

  9. Koop premium plugins en themas

    Het illegaal downloaden van thema’s en plugins is erg makkelijk en lijkt goedkoper, maar uiteindelijk is het duurkoop aangezien de criminelen die deze aangekochte thema’s en plugins aanbieden met een backdoor of reclamescript waarmee ze je WordPress website op ieder willekeurig moment kunnen aanpassen of doorlinken naar hun eigen sites.

  10. Een beveiligingsplugin gebruiken

    Een beveiligingsplugin zorgt ervoor dat veel van de bovenstaande punten geregeld worden.
    Een goede beveiligingsplugin voor WordPress zorgt bijvoorbeeld voor de meest belangrijke punten
    * Dat je servermappen afgeschermd worden voor hackers
    * Dat er log bestanden bijgehouden worden van je website
    * Dat gebruikers die proberen in te breken op de blacklist komen
    * Dat bestanden gecontroleerd worden op hacks
    * Dat verdachte aanvragen en injecties worden geblokkeerd
    * Dat de database geregeld gecontroleerd
    * En nog 100+ functies

    Maar let wel op, een beveiligingsplugin werkt preventief, en is geen oplossing als je WordPress al gehackt is.

Slot

Preventief kun je veel doen om het een stuk moeilijker te maken voor hackers en hackbots. De eerste punten uit onze top 10 kun je zelf doen, de overigen kun je over laten aan een goed ingestelde beveiligingsplugin.

Een oud Nederlands gezegde wat hier zeker voor spreekt: voorkomen is beter dan genezen

Featured image for WordPress is gehackt! Wat nu? in category BEVEILIGEN

WordPress is gehackt! Wat nu?

/7 Reacties/in , , , ,

Als je WordPress website gehackt is, kom je in een wereld terecht waar je als gewone WordPress gebruiker geen zicht op hebt.

95% van de WordPress ontwikkelaars die jaren lang websites ontwerpen en programmeren, staan voor raadsels als het gaat om beveiliging en hacks in WordPress.

Hoe komt dat?

De hacks die ontwikkeld worden komen niet allemaal uit de handen van een tiener op een zolderkamertje.

In landen zoals Rusland, Azië, China, America waar briljante mensen wonen worden veel hacks geprogrammeerd.
Die hacks worden via het internet verspreid en gaan daarna van server naar server, van website naar website.

Welke personen hacks maken:
✓ Programmeurs die geen werk meer hebben
✓ Teams uit voormalige webbureau’s die zonder werk zitten
✓ Sociaal geïsoleerde personen die 14 uur per dag achter de computer zitten
✓ Huisvrouwen die hun kinderen te eten moeten geven

hackers

Personen die weten hoeveel geld er te verdienen valt als je WordPress sites “voor je laat werken” door reclame te versturen of te linken naar websites met producten.

WordPress is gehackt: Wat was de motivatie?

Zoals je hierboven al hebt kunnen lezen zijn er diverse landen waar wel een computer beschikbaar is en internet maar niet voldoende werk. De motivatie is dus geld.

Maar een heel klein deel van de hacks is geprogrammeerd uit eerzucht, de wens om een “beroemde” hacker te worden.

WordPress is gehackt: Hoe vaak komt dat voor?

Als je bedenkt dat een hack van de Revolution Slider binnen 1 week meer als 100.000 lekke websites opleverde en er jaarlijks het 100 voudige aantal websites lek gaan en gehackt worden.. kun je concluderen dat websites redelijk vaak gehackt worden.

In een release bericht voor de 4.4 van WordPress org deze maand stond het volgende:
WordPress versions 4.4 and earlier are affected by a cross-site scripting vulnerability that could allow a site to be compromised.

Kortom weer een lek gevonden in WordPress, snel updaten dus! En wachten tot de hackers weer een nieuw lek hebben gevonden in de nieuwe release?

De Securi Brute Force Monitor toont:

Het aantal gemelde Brute Force aanvallen (Alleen al op de securi beveiligde sites) piekte het laatste half jaar van 2015 op 35-50 miljoen aanvallen per dag.
securi brute force

WPscan database van plugin & WordPress lekken

De teller van lekke plugins en WordPress releases staat nu op 4054. Helaas ook een groeiend aantal.

wpscan teller

WordPress is gehackt: Zeker weten?

Als er onverwachtse wijzigingen in je WordPress website te zien zijn, denk je wellicht direct: Mijn WordPress is gehackt!

Maar soms komt het door een plugin update of door een botsing tussen 2 plugins, of een collega heeft een aanpassing aan de website gedaan zonder dat te zeggen.

Het is dus belangrijk vast te stellen of de website echt gehackt is.

Vaststellen of je WordPress website gehackt is

Een goede scanner voor WordPress hacks is de Securi Malware scanner.
De Securi Malware scanner controleert je WordPress website op veel punten en geeft het vaak aan wanneer je WordPress gehackt is.

Maar 100% garantie geven ze niet en code op de server wordt niet allemaal gescand, daarom is het altijd belangrijk om ook deze onderstaande 4 punten te controleren.

  1. Er staan links in je website die er niet horen, denk aan reclame voor producten of datingdiensten
  2. Je website verstuurt spam naar onbekende adressen
  3. Je website verwijst op de mobiel of tablet naar een andere website
  4. Er zijn gebruikers aangemaakt met administrator rechten die je niet kent

WordPress is gehackt: de schade in kaart brengen

voorbeeld hacken

Het is belangrijk dat je erachter komt waar de hack allemaal invloed op heeft gehad, kijk hiervoor op de:

  1. Pagina’s
  2. Nieuwsberichten
  3. Database
  4. Admin gebruikers
  5. Code van het thema
  6. Bestanden op de server

Toelichting: Soms heeft een hack een injectie gedaan in de database waardoor elke pagina reclame toont, soms wordt het in de theme gezet en daardoor op elke pagina geladen.

In enkele gevallen worden er nieuwe gebruikers of backdoors aangemaakt.

Kijk hiervoor naar de wijzigingsdatum van de bestanden op de server, en voor de overige punten in je administratie panel van WordPress.

WordPress is gehackt: de website herstellen

Maak voordat je aanpassingen aan je website gaat verrichten altijd eerst een backup van alle bestanden op je server en de gehele database!!

Voor het herstellen van de website is het belangrijk dat je weet waar de hack te vinden is.

Als je de stappen hebt doorlopen voor het in kaart brengen van de schade, kun je beginnen met het herstellen van je gehackte WordPress.

Het herstellen van je WordPress website kun je op de volgende manier doen

  1. Zet de core bestanden van WordPress opnieuw op je server. Zo ben je er zeker van dat de hacks eruit zijn en dat je website up-to-date is.
  2. Probeer zoveel mogelijk plugins te vernieuwen.
  3. Vernieuw je thema indien mogelijk, let hierbij op dat je thema misschien codering op maat bevat en dat een nieuwe release van hetzelfde thema ook wel eens aanpassingen bevat.

Even tussendoor, een stukje positiviteit!

Wij van WPbeveiligen willen dit momentje even pakken om een positief punt van WordPress te belichten, te midden van alle ellende die je meemaakt als je dit leest wanneer je website gehackt is.

Het is namelijk zo dat WordPress gratis te downloaden is, en tevens meer dan 42.509 gratis plugins biedt!

Met de gratis en premium plugins die ontwikkeld zijn voor WordPress kun je als bedrijf tot ongekende grootte groeien zonder ongekende bedragen te betalen!

wordpress plugins

En vergeet ook niet de artikelen niet die WPbeveiligen schrijft om je op de hoogte te houden, je te behoeden voor de problemen van WordPress en om je te helpen je WordPress website te beheren.

Maar nu weer even verder tot de orde van de dag:

WordPress is gehackt: de gevolgen terugdraaien

Als je WordPress website gehackt is, heeft dat niet alleen gevolgen voor de weergave van je website maar ook op de status in Google en bij Blacklists.

Google kan je website weergeven als schadelijk.
google gehacktWanneer je website helemaal vrij is van hacks kun je de “Google webmaster tools” gebruiken om je website weer als veilig te laten markeren. Het kan dan nog enkele uren duren voordat je website weer als veilig in Google verschijnt maar het is de snelste manier.

Op de blacklist staan, verhindert het verzenden van mail.
geen mailHet is belangrijk dat je bij een dienst zoals de “mxtoolbox blacklist check” controleert of je op een lijst staat.
Als je op een blacklist lijst staat, komt je mail namelijk vaak niet bij anderen aan, veel mail filters gebruiken de blacklists als referentie of een verzender en de mails veilig zijn.
Als je op de blacklist staat, kun je een de-listing aanvragen.

WordPress is gehackt: Herhaling voorkomen

 

Voorkomen dat je WordPress gehackt wordt is het aller belangrijkste. Je WordPress website laten herstellen kost veel meer tijd en geld.

Een goede anti-virus voor je WordPress website en je server is belangrijk. De anti-virus houdt aanvallers tegen, houdt bij welke bestanden aangepast worden en kan injecties en hackpogingen voorkomen.

Featured image for Een spam bestandje in mijn site, gelukkig geen probleem? in category BEVEILIGEN

Een spam bestandje in mijn site, gelukkig geen probleem?

/6 Reacties/in , , ,

Als je geen webprogrammeur bent, merk je het niet als er een spam bestandje in je website zit.

Het werkt op de achtergrond van je website waardoor je geen idee hebt dat het er zit maar ondertussen…

Wat doet een spam bestandje

Per dag zoveel mogelijk mails versturen naar e-mailadressen. Met als nadelig resultaat dat alle mails die verstuurd worden ervoor zorgen dat je website op een blacklist terecht komt.

Het bestandje doet niets meer of minder dan zoveel mogelijk spam (mails) versturen.

Een blacklist is een service die ervoor in het leven geroepen is om servers te stoppen die gehackt zijn en/of spam versturen.

De gevolgen als een spam bestandje een tijdje spam verstuurt

Wat dus betekent dat je geen mails meer kunt verzenden en ontvangen via je website. Want je bent op een blacklist terecht gekomen met je website of server.

Je contact formulieren komen niet meer aan, de mail van klanten naar jouw e-mailadres komen niet meer aan..

En als het spam bestandje maar lang genoeg de tijd heeft pakt zelfs Google het op en zal je website aangegeven worden als Malware in de zoekmachine.

google-bescherming-wordpress

Hoe komt dit spambestandje op mijn server?

Een spam bestandje is een stuk php code dat door middel van een lek in WordPress op de server gezet is. Of als code bijgeschreven is in een bestaand WordPress bestand.

Staat mijn server of website op de blacklist?

Dit kun je (op moment van schrijven) gratis controleren via de website van MX Toolbox. Die controleert of je website op de grootste blacklists staan.
mxtoolbox

 

Als je website op de blacklist staat, is het niet alleen een kwestie van een de-listing aanvragen om er vanaf te komen, het is vooral belangrijk dat je eerst het probleem verhelpt voordat je de de-listing aanvraagt aangezien ze je er anders weer net zo snel opzetten waarna een de-listing langer zal duren.

Mijn website beveiligen tegen hackers en spam bestanden

Je WordPress website beveiligen is zeer belangrijk. Het voorkomt dat scripts of hackers gebruik kunnen maken van de open deuren (exploits) in WordPress.

Bij een beveiliging is het vooral belangrijk dat de website niet alleen dicht gemaakt wordt maar dat er ook wordt gekeken op de server of er niet al bestanden staan die ervoor zorgen dat je een backdoor in je website hebt.

Wij kunnen kunnen je website beveiligen of ervoor zorgen dat je van de spamlist af komt! Aangezien wij tientallen websites beheren voor klanten en weten wat de hackers en scripts doen, kunnen wij je website beveiligen en controleren op backdoors.

Neem contact op!

Featured image for Wat als ik een plugin of thema wil gebruiken dat lek is? in category HACKERS

Wat als ik een plugin of thema wil gebruiken dat lek is?

/5 Reacties/in ,

Je hebt net een hele mooie website gemaakt met een mooi thema en diverse plugins, en dan is je website gehackt!

Dat is enorm vervelend! Het is ons ook tientallen keren overkomen.. zelfs met alle voorkennis die we hebben.

Wat nu als ook nog eens blijkt dat je plugin of thema lek is maar de ontwikkelaars er niets aan doen? Ook al heb je ze op de hoogte gesteld van het lek.

Je hebt betaald voor een plugin, voor een thema.. maar de ontwikkelaar geeft geen reactie 🙁

Dat komt veel voor, zelfs als het lek gemeld wordt op hun support forums of via de mail.

Waarom doen de ontwikkelaars niets?

De ontwikkelaars van thema’s zijn geen hackers, geen beveiligers en gaan er vooral voor om zoveel mogelijk geld te verdienen.

Dit klinkt hard maar het is helaas de realiteit..

Maar wat moet ik nu doen?

Je kunt 2 dingen doen:

  1. Je neemt een nieuw thema, of andere plugin
  2. Je zorgt ervoor dat de lekke plugin geen problemen kan veroorzaken

Stap 1 uitvoeren

Je verwijderd de plugin/thema van de server met een FTP programma om zeker te zijn dat het lek ook echt verwijderd is.

Je zoekt een nieuw thema/plugin, en hoopt dat 1 van de 4000+ bekende lekken niet in je nieuwe thema of plugin zit.

Dat klinkt niet goed, 4000+ lekken?!

Even in perspectief:

Er zijn 42.565 gratis plugins
En naar schatting zo’n 30.000 betaalde plugins

En er zijn sinds 2003 zo’n 150+ WordPress releases uitgebracht waarvan velen voor de beveiliging.

De beveiliging binnen WordPress is wel op orde in tegenstelling tot de partijen die even een plugin of thema maken

Het aantal gratis WordPress thema’s is ook ontelbaar, en de premium themes ook.

WordPress is nog altijd gratis!

En dit lokt zowel gebruikers als hackers over de hele wereld.

Stap 2 uitvoeren

Dit kun je helaas niet met 1 beveiligings plugin fixen, aangezien die beveiligingsplugin de rechten van een bestand op je server niet zal beperken om te functioneren.

Je moet in dit geval zorgen dat een lek geen aanpassingen op server niveau kan doen.

Je haalt dan de schrijfrechten weg van bepaalde mappen zodat het lek er niets in kan aanpassen.

Wat doet een lek in een plugin of thema eigenlijk?

Vaak niets totdat de persoon die het lek kent er opdrachten aan gaat geven. Door middel van een injectie in de browser of via een input veld (XSS)

Slot

Het is dus een eigen keuze of je de plugin of theme volledig vervangt in de hoop dat deze extra werkzaamheden en kosten veiligheid opleveren, of dat je de website tijdelijk “bevriest” zodat hij zal blijven werken zoals hij nu doet.

Featured image for Een Brute Force aanval voorkomen in category BEVEILIGEN

Een Brute Force aanval voorkomen

/3 Reacties/in , ,

Hoe blokkeer je een Brute Force aanval?

Een Brute Force aanval kun je blokkeren door een beveiligingsplugin te gebruiken die na 5-10 mislukte inlogpogingen een tijdelijke of permanente blokkade inzet voor de computer waar de aanval vandaan komt.

Dit gebeurd op basis van IP, eerst tijdelijk en wanneer een Brute Force aanval door blijft gaan, wordt dit een permanente ban.

De username verbergen

De beveiligingsplugin die wij gebruiken zorgt er meteen voor dat je username niet overal te zien is. Dit is een heel belangrijk punt aangezien dit de eerste sleutel is tot een Brute Force aanval.

De username is gemakkelijker te achterhalen dan je zou verwachten, denk standaard eens aan de Admin als username die nog velen gebruiken, of aan de username die eigenlijk gewoon dezelfde naam is als de website..

Hopelijk herken jij je niet in deze 2 veelgemaakte fouten.

Maar zelfs nog, als je een username hebt die zo lang is als het woordenboek.. de usernames zijn gemakkelijk uit de database te halen, of van de author page, of van de naam boven de blog berichten.

Tevens is er hackers software die de usernames tevoorschijn kan halen..

Het is zoals het naambordje op je huis, gemakkelijk te lezen maar zorg ervoor dat ze het wachtwoord (de sleutel) niet zomaar in handen krijgen!

De login pagina verbergen

Het is belangrijk dat een Brute Force script niet zomaar bij je login pagina kan komen.

Standaard is iedere WordPress login pagina te bereiken op:

  • www.jedomein.nl/wp-admin
  • www.jedomein.nl/wp-login.php

Dat is algemeen bekend.

De Ithemes Security PRO NL plugin geeft je de mogelijkheid om een nieuw adres te kiezen wat uniek is. Denk aan:

www.jedomein.nl/inloggen-graag

 

lek in wordpress

Wat doet WordPress tegen Brute Force aanvallen?

Aangezien het heel veel voorkomt, heeft WordPress in 2015 besloten dat je wachtwoord moet voldoen aan enkele vereisten:

  1. Het moet minimaal 8-10 tekens lang zijn
  2. Cijfers, hoofdletters en tekens gebruiken
  3. Mag geen gebruikersnaam of website naam zijn

Bij een Brute Force aanval is het namelijk zo dat elk teken of cijfer dat het wachtwoord langer maakt een exponentiële moeilijkheidsgraad aan het kraken van het wachtwoord toevoegt.

Wanneer maak je het meeste kans op een Brute Force aanval?

Het enige goede nieuws tot nu toe, hoe beter je scoort in de zoekmachines zoals Google, hoe meer Bots je website zullen vinden.

Het betekent dus ook dat je website blijkbaar goed zichtbaar is in de zoekmachines en bezocht wordt!

Voorkomen is beter dan afwachten..

Brute Force aanvallen zullen er altijd zijn, voorkomen is beter dan genezen. Als je te laat bent, zit je website vol met backdoors en loopt je website meestal schade op.. aangezien Google een spammende website niet waardeert en bezoekers zelfs kan informeren met een rood scherm en de melding dat je website onveilig is!

Featured image for 10 manieren om WordPress open te zetten voor hackers in category BEVEILIGEN

10 manieren om WordPress open te zetten voor hackers

/4 Reacties/in , , ,

Er zijn 10 dingen die je absoluut niet moet doen als je WordPress veilig wilt houden.

  1. Je gebruikersnaam “admin” laten staan. Hier worden de meeste scripts voor opgezet, om in combinatie met de username admin een brute force attack te doen wat inhoud dat er duizenden wachtwoorden op je admin page worden afgevuurd.
  2. Brengt ons direct bij puntje 2, je admin op de wp-admin link laten staan zonder een maximaal aantal login pogingen in te stellen. Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.
  3. Je gebruikersnaam boven elk bericht zetten. Kies voor het publiceren van berichten een andere naam!
  4. Je comment area open laten staan zonder anti-spam plugin. Als je de comments niet gebruikt of er reageert haast niemand, sluit die dan af!
  5. Je inlog gebruikersnaam of wachtwoord hetzelfde noemen als de website naam. Wordt door scripts als eerste geprobeerd!
  6. Tientallen plugins inzetten. Hoe meer plugins hoe groter de kans dat er 1 tussen zit die een lek heeft. Via een lek in 1 van je plugins is het gemakkelijk om een MySql injectie te doen of bestanden op de server aan te maken.
  7. Je versie nummer van WordPress in de broncode laten staan. Dit zorgt ervoor dat een hack script direct de exploits (lekken) van die versie op kan zoeken.
  8. WordPress 3 jaar niet updaten. Dit kon nog toen WordPress net enkele jaren uit was, maar door de populariteit van WordPress gaat het niet meer. Er zijn tegenwoordig veel meer scripts voor geschreven die het internet afzoeken op WordPress sites.
  9. Illegaal plugins en premium themes downloaden en gebruiken.
    Sites die illegaal thema’s aanbieden hebben vaak hun reclame of backdoor in de website gezet. Een simpele lijn code die informatie weergeeft of zelfs doorgeeft aan de hacker.
  10. De goedkoopste hosting gebruiken. De server is ook doelwit van hackers. Via lekke WordPress websites proberen ze de server te bereiken om die aanvallen op andere sites te laten doen. Goedkope webhosts die niet bekend zijn met WordPress en niet veel tijd besteden aan beveiliging hebben vaak vertraagde servers waardoor je website traag laadt.

Dit waren ze alweer, de 10 punten die je kunt veranderen zodat de hackers het wat moeilijker hebben om je WordPress website te hacken.

Of.. je laat WPbeveiligen je WordPress preventief beveiligen waarbij deze 10 en nog 30+ andere punten worden aangepakt!

Featured image for Mijn WordPress website toont een error? in category BEVEILIGEN

Mijn WordPress website toont een error?

/3 Reacties/in , , ,

Als er iets mis is met de  code, met de database of met de hosting zie je een error.

Voor velen is die error niet te begrijpen maar wij als beveiligers van WordPress zien ze natuurlijk vaak bij gehackte websites.

Niet elke error komt door een hack, en om dus de juiste oplossing te vinden voor de error is het belangrijk te weten wat de error betekent.

De 404 error

De 404 is de meest bekende en zie je wanneer een pagina niet gevonden kan worden.

Je website doet het dan nog wel, aangezien een 404 pagina meestal getoond wordt in de layout van je website, maar de pagina bestaat niet (meer) of de url is niet goed ingetypt.

De 500 error

De 500 error zie je meestal wanneer er iets aan de hand is bij de server. Dat kan betekenen dat de server even offline is, of opnieuw opgestart moet worden, dan zie je niets meer van je website totdat de hoster dit heeft opgelost.

Error establishing a database connection

Deze zie je wanneer de database onbereikbaar is. Dit kan komen doordat je de verkeerde gegevens hebt opgegeven maar het komt ook wel eens voor dat de hosting een probleem heeft en de database daardoor niet geladen kan worden.

Een wit scherm zonder error

Het komt ook voor dat je gewoon een wit scherm ziet, WordPress houdt voor veiligheid wel eens error’s achter aangezien het voor hackers een bron van informatie kan zijn.

In dat geval moet je de debug_mode op “true” zetten in de wp-config file van je WordPress website.

WPbeveiligen kan je probleem oplossen

Wij hebben de kennis en ervaring om de meeste error’s op te lossen. Op no-cure-no-pay basis kun je contact met ons opnemen.

De kosten voor het oplossen van een error ligt meestal tussen de 40-60 excl btw aangezien het gemiddeld niet langer dan een uurtje duurt om het probleem op te lossen.

Featured image for Een handige functie van Sucuri in category BEVEILIGEN

Een handige functie van Sucuri

/4 Reacties/in , , , ,

Sucuri heeft een WordPress plugin die je in de bibliotheek van de WordPress plugins kunt vinden onder de naam: Sucuri Security

Het is geen all-in-one oplossing tegen hacks want hij heeft wat gebreken.

Maar, er is 1 hele gave functie die je veel tijd kan besparen als je veel plugins hebt.

De plugin her-installer

Het komt voor dat je website 20-30 plugins gebruikt,
(wat natuurlijk veel te veel is en een enorm veiligheids risico oplevert.)

Maar dat even terzijde, als daar eenmaal hackers bestanden tussen zitten is het een hele klus om elke plugin te verwijderen en een schone installatie te downloaden en dan weer naar de plugins map te uploaden.

Securi heeft hier een functie voor waarbij je in 1x alle plugins kunt aanklikken en kunt laten verwijderen en her-installeren!

Dat scheelt je veel tijd en moeite!

Je vind de functie bij “Post hack > Reset plugins”

securi plugins installeren

Je vraagt je misschien af, kan ik een plugin niet gewoon updaten? Het komt vaak voor dat plugins die gehackt zijn ook verouderd zijn dus dan hoef je alleen op bijwerken te klikken.

Antwoord: Nee, het updaten past alleen enkele bestanden aan maar daardoor blijven de hack files staan.

Kortom, even de Securi plugin downloaden en de reset plugins functie uitvoeren!

En daarna?

Een goede beveiligingsplugin installeren zoals Ithemes Security PRO

 

Featured image for Waar hackers hun code verstoppen in category BEVEILIGEN

Waar hackers hun code verstoppen

/3 Reacties/in , , ,

Dat hackers hun code versleutelen met Base64 weten de meeste ondertussen wel. Dan krijg je een reeks aan cijfers en letters waar geen enkele logica in lijkt te zitten.

Maar hackers hebben ook enkele favoriete plekken om hun hackers code neer te zetten.

Een hack in de header.php

De header.php in je thema is het eerste wat geladen wordt. Het wordt op iedere pagina geladen en bevat de <head> waar javascript in geladen kan worden zonder dat het al te veel opvalt.

Hoe herken je een hack in de header.php?

Dan moet je eigenlijk weten welke js files er ingeladen moeten worden, welke je thema oproept en welke via plugins ingeladen worden.

De overige eruit knippen is te risicovol dus zul je ze even door moeten lezen.

En als het base64 code is, ja dan is de kans 99.9% dat het er niet hoort! Even een backup maken en die eruit knippen is dan de eerste stap.

Een hack in de uploads mappen

Met de nadruk op uploads “mappen” aangezien deze mappen vrij beschrijfbaar zijn en ze dan ook direct lekker strooien met de files. Jaartallen zoals 2011, 2012, 2013, 2014 worden alsnog volgezet.

Hoe vind je die hack files in de uploads mappen?

Tja redelijk simpel, er horen GEEN php bestanden in de uploads mappen te zitten, NERGENS. En dus kun je met een zoekopdracht op de server naar php direct alle files eruit halen.

hack in de uploads

Een hack in de core van WordPress

Als je bemerkt dat je wp-admin, de wp-includes mappen en overige core files hack files bevatten kun je die eruit knippen maar gemakkelijker is het totaal opnieuw uploaden van WordPress.

De “root” ook wel bekend als de “www” en “httpdocs”, zijn met zekerheid mappen die gevonden kunnen worden, aangezien het de basismap van al je bestanden is. Hier zetten hackers graag wat bestanden in.

1 voordeel, je kunt een schone WordPress installatie vergelijken met die bestanden en zo snel uitvinden welke bestanden niet thuishoren in je site.

Upload gewoon de nieuwste WordPress zonder de wp-config & de wp-content map te overschrijven (Altijd eerst een backup maken!!)

Een lek in de plugins

Dit noem ik bewust een “lek”, aangezien de plugin die lek is vaak bestanden wegschrijft naar de mappen die ik hierboven heb beschreven.

Plugins gaan met regelmaat lek en zijn eigenlijk de strop voor WordPress.

WordPress is een solide betrouwbaar systeem maar de mensen achter de plugins.. zitten ze op een zolderkamertje? Zijn het professionele programmeurs? Of stiekem hackers die eerst een schone release lanceren om er daarna een lek in te bouwen bij de update..

Hoe dan ook, als je voor een plugin hebt gekozen, zorg dan dat die uit de bibliotheek van WordPress komt of officieel gekocht is.

Gebruik geen illegaal gedownloade plugins die eigenlijk aangekocht moesten worden. De uploaders van die plugins stoppen er vaak backdoors in!

Voorkom een grote zoektocht!

Als een hack(er) zijn weg heeft gevonden in je WordPress website zijn wij als ervaren WordPress experts zelfs 1-2 uur aan het zoeken, spitten, lezen om de hacks en backdoors eruit te halen.

Maar als je preventief de Ithemes Security PRO gebruikt weet je wanneer & waar bestanden zijn aangepast of zijn ge-upload.
Je ziet de naam van het bestand, de datum en tijd!

En Ithemes Security PRO stuurt je een e-mail wanneer bestanden worden aangepast!

Featured image for WordPress is gehackt! Hoe herstelt WPbeveiligen dit?! in category BEVEILIGEN

WordPress is gehackt! Hoe herstelt WPbeveiligen dit?!

/3 Reacties/in ,

Iedere WordPress website is anders, ook al hebben we er al honderden gezien.

Dat is ook het mooie aan ons vak! Het is elke site weer een uitdaging om de website goed te herstellen en te beveiligen.

Goh, maar WordPress is toch WordPress?

De hoofdbestanden van WordPress zijn vaak hetzelfde maar iedereen heeft een ander thema, andere plugins, een wisselend aantal pagina’s en nieuwsberichten.

We komen website tegen met 3 plugins, maar ook met 30 plugins.

5 tot 8 plugins zou wel het maximum moeten zijn als je een goede en veilige website wilt hebben.

Er zijn premium thema’s, gratis thema’s en zelf geprogrammeerde thema’s. Die vragen allemaal een eigen aanpak!

Hoe weet WPbeveiligen wat er moet gebeuren met de thema’s en plugins?

Wij ontwikkelen WordPress websites sinds 2007, 6 dagen per week. Dan kun je wel begrijpen hoeveel plugins en thema’s we ondertussen hebben gebruikt!

En we ontwikkelen nog steeds websites, testen nog steeds nieuwe plugins en thema’s.

En soms, heel soms komen we een nieuwe plugin of thema tegen die we niet kennen en dan lezen we ons in zodat we de plugin of het thema kunnen cleanen zonder dat er code verloren gaat.

WPbeveiligen heeft zeker zijn truukjes, een scanner?

Wij gebruiken veel methodes om een website te cleanen, maar heel veel is ook gewoon code lezen, mappen openen en doorspitten en kijken naar bewerkingsdatums etc.

Hoewel wij natuurlijk tools kunnen gebruiken om bepaalde lekken en bestanden sneller te vinden, zijn wij altijd nog enkele uren handmatig bezig om een site na te lopen en te herstellen. Een stuk software weet namelijk niet wat het verschil is tussen spam-links, html van hackers en tekst die echt in de website hoort.

Een 1-klik oplossing is er niet.

Het is een combinatie van kennis, ervaring en veel lezen, hercoderen en vernieuwen.

1 ding waar je zeker van kunt zijn, is dat wij onze kennis en passie voor WordPress gebruiken om websites te herstellen en te beveiligen.

Wij geven hier standaard 1 maand garantie bij, en zorgen er met een premium beveiligings plugin voor dat je website niet zo gemakkelijk meer gehackt kan worden.