Featured image for 10 misvattingen over de veiligheid van WordPress in category BEVEILIGEN

10 misvattingen over de veiligheid van WordPress

/2 Reacties/in , , , , ,

Hackers weten hoe ze via plugins, thema’s en via de server in je WordPress website kunnen komen. Maar ze maken vooral gebruik van de gewoontes die wij zelf hebben om je WordPress website te hacken.

Er zijn diverse misverstanden over de beveiliging van WordPress waarvan ik er enkele wil bespreken. Zo blijven wij de hackers een stapje voor!

De 10 meest opvallende misvattingen op een rij:

1. Niemand raadt mijn wachtwoord, dit is namelijk “Stroopwafel” en wie denkt daar nu aan..

Helaas, de scripts die geschreven zijn om websites te hacken via de login page gebruiken onder andere de woorden uit het woordenboek om wachtwoorden te raden. En ja, ook w00rden m3t c1jfer5 ertu55en.

2. Als ik mijn WordPress direct bij elke nieuwe release update, blijft het beschermd tegen hackers..

Helaas, je plugins en theme en serverinstellingen zijn ook verantwoordelijk voor veiligheidslekken. En als je alles direct na iedere release update, loop je het risico dat de plugins botsen met de nieuwe code van WordPress.

Op deze manier kan je website ook errors opwerpen met als resultaat dat de site niet meer zichtbaar wordt.

Uiteindelijk zijn errors tussen releases van WordPress en plugins er net zo vaak de oorzaak van dat je website niet meer zichtbaar is, als dat het door hacks komt.

En hoewel het updaten zorgt voor de nieuwste veiligheidsupdates zijn de hackers toch weer de eerste die een lek vinden. Die wordt pas dicht gemaakt nadat er websites gehackt zijn en bekend wordt dat er een lek in de plugin zit.

3. De concurrent heeft mijn website laten hacken..

Die kans is heel klein.

Een standaard hack script is in 90% van de gevallen de hacker.

Er gaan op dit moment meer als 1000+ scripts rond die WordPress websites testen op lekken, zichzelf bij succes verspreiden op de server en zo weer op zoek gaan naar nieuwe sites.

4. Ik heb een plugin die mijn admin verbergt en het maximaal aantal login pogingen beperkt en dus is mijn website beveiligd..

Hackers en hackscripts kunnen helaas gemakkelijk zonder het login panel in de site komen.

Via lekken in bestanden op de server zorgen scripts ervoor dat de database aanspreekbaar is en heeft een hacker (of script) het admin panel van WordPress niet nodig om pagina’s aan te passen.

5. Ik verneem het wel van de hosting als er problemen zijn met de website. Dan kan ik de website altijd nog even laten beveiligen..

Helaas wordt je website vaak genoeg direct offline gehaald, en wordt je daarna op de hoogte gesteld. Maar dan is de website tot die hersteld is niet meer bereikbaar.

Dit om de volgende redenen:

  • Een gehackte website belast de server behoorlijk
  • Een hosting partij kan je gehackte website geen spam laten versturen
  • Een gehackte website beperkt de snelheid van andere klanten in een shared pakketstructuur

Interessant om te weten: een server is in feite een hele snelle computer die de bestanden laadt en toont aan de bezoeker op internet. Hoe snel de server dan ook mag zijn, als de ene server besmet is en virussen verstuurt of pogingen daartoe doet.. houdt die de andere server daarmee bezig en werken ze tegen elkaar in.

Ongeacht of er een server en data verbinding van 100 euro is of een server en verbinding van 10.000 euro.

Kortom, ga verstandig met je website om. Update je website met gepaste regelmaat, maak backups die teruggezet kunnen worden als de site besmet raakt en om te voorkomen dat je website offline gaat.. laat de website beveiligen of ga aan de hand van de info op deze website aan de slag!

Een website vereist onderhoud.

6. Andere CMS systemen zijn beter

Andere zijn minder populair en daardoor minder in de picture. Maar deze hebben net zo vaak of vaker last van lekken.

7. Ik ga naar een duurdere hostingpartij dan is mijn website beter beveiligd

Ook al betaal je 300 euro per jaar aan je hosting, het ligt er maar net aan of ze naast de server ook kennis hebben van programmering binnen bepaalde systemen zoals WordPress.

8. Ik lees me even in, dat beveiligen kan zo moeilijk niet zijn

WordPress heeft diverse forum’s en tientallen artikelen waar mensen uitleggen hoe je de WordPress website kan beveiligen. Maar er gaan maanden overheen voordat je echt alle trucs van hackers a-tot-z kent. En dan moet je alle kennis nog up-to-date houden aangezien er continu nieuwe hacks gemaakt worden.

9. Eens beveiligd, altijd veilig

Als je WordPress op dit moment volledig beveiligd is, maar er over 1-2-3 maanden nieuwe lekken gevonden worden bij plugins, thema’s of de core van WordPress loopt je website weer risico om gehackt te worden. De beveiliging kan ervoor zorgen dat 9-10 hacks niet effectief zijn, maar waterdicht blijft het niet.
Om die reden geven wij standaard een basis garantie en kun je voordelig 3, 6 of 12 maanden garantie bijkopen zodat je over een half jaar ook nog zonder extra kosten kunt genieten van je beveiligde WordPress website.

10. Ik kan zelf zien of de website gehackt is

De meeste scripts draaien op de achtergrond van je server. Het de-facen zoals ze dat noemen waarmee ze laten weten dat je website gehackt is kom slechts 1-op-de-999 keer voor.
Daarnaast zijn er trucs waarmee een scripts zichzelf de-activeert als je ingelogd bent in WordPress. Of wanneer je de website met de pc bezoekt..

Waar je vaak wel effectief mee kunt zien of je website gehackt is: de Malware scanner van Sucuri

 

 

 

Featured image for Mijn WordPress website verstuurt spam, wat nu? in category BEVEILIGEN

Mijn WordPress website verstuurt spam, wat nu?

/4 Reacties/in , , ,

Je krijgt een melding van je hosting provider dat je website spam verstuurt. Of je krijgt een bericht van Google dat je website als onveilig wordt opgemerkt.

Nadat je deze melding ontvangt, komen er vaak diverse vragen bij je op die ik hieronder voor je beantwoord:

Wat betekent het als de website spam verstuurt?

Je website is geïnfecteerd met een bestand dat e-mails verstuurt naar een adressenlijst.

Wat is spam?

wordpress mailSpam is ongewenste reclame. In die e-mails worden vaak producten verkocht waar je liever niets mee te maken wilt hebben. Denk aan viagra, zogenaamde wondermiddeltjes en andere aan geprijsde producten.
Vaak zijn de e-mails en producten nog in het engels ook. De e-mails zijn bedoeld om de massa te bereiken.

Het grootste nadeel wanneer je website spam verstuurt

Met de uitgaande e-mails naar vreemden die je niet kent valt nog te leven. Het opgegeven antwoord-adres dat gebruikt wordt, is van een ander dus je zult zelf geen reacties terug krijgen.
Wat echter vervelender is, dat is de stap die instanties nemen wanneer je website spam verstuurt.
De instanties blokkeren namelijk het ip adres waar de spam berichten vandaan komen. Wat betekent dat alle e-mail van jouw ip adres niet meer aankomt bij andere personen of bedrijven.
In technische termen zetten ze je ip adres van de website op de blacklist.
Als je jouw e-mail zakelijk gebruikt, is dit dus een ramp!

Hoe kun je contoleren of je op de blacklist staat?

Er zijn diverse websites waarmee je kunt controleren of je op een blacklist staat. 1 van de beste is www.mxtoolbox.com
Je vult je website adres in en selecteert: “blacklist”, waarna mxtoolbox een lijst met bedrijven controleert die de controle hebben over het wel-of-niet doorlaten van e-mailverkeer.

Hoe kom je van de blacklist af?

De blacklist verwacht dan dat je het probleem oplost. Kortom je moet het bestand dat verantwoordelijk is voor het spammen van je server verwijderen.
Pas nadat je 100% zeker bent dat je het spamscript of meerdere bestanden hebt verwijderd, kun je een de-listing aanvragen.
Bij een de-listing halen ze je website van de blacklist af wat enkele uren kan duren.

Maar let op: als je een de-listing aanvraagt terwijl je website nog spamt kom je snel weer op de blacklist en de 2e keer duurt het een stuk langer voordat je daadwerkelijk van de blacklist afgehaald wordt.

Hoe vind ik een spam bestand?

Om een spam bestand te kunnen vinden heb je een stukje achtergrondkennis nodig, je kunt een spam/virus bestand aan diverse kenmerken herkennen.

  1. Je herkent een spam bestand aan de extensie. Een spam bestand is een uitvoerend script en dus .php
  2. Een spam bestand is vaak geschreven en gecodeerd door middel van eval/base 64 wat betekent dat je geen reguliere php ziet als je het bestand opent met een code editor. Je zult een lange reeks van cijfers en letters zien staan.
  3. Logischerwijs kun je een nieuwe WordPress installatie vergelijken met wat er op je server staat. Zo vind je bestanden die toegevoegd zijn en wellicht niet thuis horen in de website.
  4. Qua benaming kun je helaas weinig beginnen aangezien ze vaak namen verzinnen zoals object.php of wp-configure.php die enorm veel lijken op de huidige bestanden. Maar als je een doorgewinterde WordPress programmeur bent zoals Wpbeveiligen, pik je de bestanden die niet thuishoren op de site er sneller tussenuit.
  5. Als je kijkt naar de plaatsingsdatum van het bestand op de server, kun je vaak zien dat deze datum afwijkt van de rest van de bestanden die tijdens de installatie op 1 datum staan.

Is het probleem opgelost als het spamscript verwijderd is?

Nee, dan is het probleem niet opgelost aangezien een spamscript op een bepaalde manier op de server terecht gekomen is en die methode niet verdwijnt na het verwijderen van het spamscript.

Enkele manieren hoe een spamscript op de server terecht kan komen

Een spamscript wordt via een lekke plugin op de server geplaatst, via een injectie of via de ftp.
WordPress biedt diverse mogelijkheden waarmee bestanden naar de website geschreven kunnen worden:

  • De media uploader
  • De plugin updater
  • Diverse plugins die rechten hebben om bestanden aan te passen

Die manieren worden ge-automatiseerd door scripts benut.

Wanneer je dus alleen het geschreven bestand verwijdert wat de spam verstuurt, komt het ge-automatiseerde script vanzelf weer langs om het weer op de server te zetten.

Voorkomen dat je een spamscript op de server krijgt

Er zijn diverse manieren om te voorkomen dat je op speurtocht moet naar spamscripts en bestanden die hackers toegang verschaffen tot je server, enkele daarvan kun je lezen in het artikel over de WordPress beveiliging verbeteren en in het artikel wat bespreekt wat je vooral niet moet doen als je WordPress veilig wilt houden.

 

Featured image for WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin in category BEVEILIGEN

WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin

/2 Reacties/in , ,

De WordPress seo plugin van Yoast is 1 van de meest bekende en meest gebruikte plugins bij WordPress websites.

Leuk weetje: Joost van der Valk, de eigenaar van deze populaire plugin die wereldwijd gebruikt wordt, is een Nederlander.

Echter, de kans dat hackers manieren zoeken om websites te hacken via deze veelgebruikte plugin is logischerwijs zeer groot. En zolang ze die niet gevonden hebben is er niets aan de hand.

Helaas heeft 1 van de ontwikkelaars van Wpscan een zwakke plek ontdekt in de optimalisatie plugin van Yoast.

Gelukkig heeft de ontwikkelaar van Wpscan dit lek netjes gemeld voordat een ander brein het lek zonder te melden gaat gebruiken voor minder prettige doeleinden.

In feite kan deze hack niet zomaar gebruikt worden aangezien je het mysqli command alleen met de juiste rechten kan doorvoeren.

Dit betekent dat de uitvoerder van het mysql command een aangemelde author, editor of beheerder moet zijn.

Maar hoe een hacker wel te werk kan gaan is als volgt, hij zet een url op je blog in een comment  (of e-mail) met een injectie code en zorgt ervoor dat je daarop kan klikken als aangemelde gebruiker met die rechten. Waardoor alsnog de data uit de database komt en via via in de handen van de hacker beland.

Dit wetende kun je het volgende doen:

1. Klik nooit op links die in 1 van  de comments op je website gezet zijn.

2. Update SEO by Yoast nu. De nieuwste versie zou een patch bevatten volgens de logs.

3. Beperk wie een author of editor is en informeer ze over punt 1.

4. Zorg ervoor dat je database niet te gemakkelijk bereikbaar is, evenals je admin.

5. Maak backups van je database waardoor je altijd je data terug kan halen als er iets met de database gebeurt.

Je kunt je WordPress website door Wpbeveiligen laten beveiligen. Naast de controle op backdoors, updaten, beveiliging en het opschonen van gehackte websites zorgt Wpbeveiligen voor de start van deze werkzaamheden voor een backup.

Zo ben je zeker dat de website bij updates die problemen veroorzaken niet zijn data verliest.

Featured image for WordPress en hackers: hoe verbeter ik mijn WordPress beveiliging? in category BEVEILIGEN

WordPress en hackers: hoe verbeter ik mijn WordPress beveiliging?

/3 Reacties/in , ,

WordPress en hackers: hoe verbeter ik mijn WordPress beveiliging?

Enkele jaren geleden had WordPress een slecht imago. Zo stond het populaire CMS erom bekend dat het een onveilig CMS was, waar hackers zonder enige moeite binnen konden komen om schade aan te richten aan WordPress websites. Op dit moment is de WordPress beveiliging en dus het imago van WordPress wel beter, maar helaas krijgen hackers altijd nog de kans om jouw WordPress website binnen te dringen. Hoe je ervoor kunt zorgen dat je hackers buiten de deur houdt door de WordPress beveiliging van jouw website te verbeteren, lees je in dit artikel. Zo worden er in dit artikel drie belangrijke tips gegeven die je kunt gebruiken om de beveiliging van jouw WordPress website te verbeteren, zodat hackers minder gemakkelijk jouw website binnen kunnen dringen.

Tip 1: kies de juiste hosting

Een goede WordPress beveiliging begint al voor je de website gebouwd hebt en zelfs voor je een account hebt aangemaakt bij WordPress. Zo start het creëren van een veilige omgeving voor jouw website bij het kiezen van een veilig hostingbedrijf, dat jouw WordPress website een veilige internetomgeving kan bieden. Is de internetomgeving al onveilig voor je een WordPress website start door in zee te gaan met een onbetrouwbaar hostingbedrijf, dan heb je als WordPress gebruiker al meteen een achterstand. Ga daarom niet in op goede deals op het gebied van hosting, maar kies een betrouwbaar en gerenommeerd hostingbedrijf.

Tip 2: ga op de juiste manier van start

Als je eenmaal een veilig en betrouwbaar hostingbedrijf hebt gevonden voor jouw website, is het belangrijk om ook met het gebruik van WordPress goed van start te gaan voor een goede WordPress beveiliging. Dit betekent dat je de WordPress beveiliging van jouw website al direct in het achterhoofd moet houden bij het aanmaken van een gebruikersaccount bij WordPress, waarbij je:

  1. De zogeheten Table Prefix aanpast van _wp naar bijvoorbeeld 8fjO18fkcJ_. Hackers weten namelijk dat de Table Prefix automatisch _wp is, waardoor jouw website gemakkelijker te hacken is als je dit niet verandert.
  2. Een goede gebruikersnaam kiest. Gebruik nooit ‘Admin’, maar kies bijvoorbeeld voor je voor- en achternaam of gebruik een bijnaam als gebruikersnaam voor WordPress.
  3. Een goed wachtwoord. Een goed wachtwoord heeft acht tekens, waaronder hoofdletters, kleine letters, cijfers en speciale tekens zoals ! en %.

Door de Table Prefix aan te passen, een andere gebruikersnaam te kiezen dan de automatisch ingestelde ‘Admin’ en een goed wachtwoord in te stellen, verklein je het risico dat hackers gemakkelijk in jouw WordPress website kunnen komen en verbeter je dus de WordPress beveiliging.

Tip 3: kies alleen betrouwbare plugins en thema’s

Er zijn duizenden verschillende plugins en thema’s voor WordPress beschikbaar. Dit is natuurlijk erg prettig omdat je op deze manier als gebruiker de keuze hebt uit vele diverse plugins en thema’s, maar helaas zij niet alle plugins en thema’s van WordPress veilig. Om te voorkomen dat jouw website gemakkelijker toegankelijk is voor hackers, wordt aangeraden om voor het installeren van plugins en thema’s eerst te controleren of deze plugins en thema’s wel betrouwbaar en veilig zijn. Dit kun je doen door te kijken naar de waardering (is deze positief?), de versie (is de plugin of het thema vaak vernieuwd?), de beschrijving (is de beschrijving uitgebreid en goed?) en de installatietekst (is de installatietekst uitgebreid en goed?). Twijfel je of een plugin of thema betrouwbaar is, dan kun je deze plugin of dit thema beter niet downloaden om de WordPress beveiliging van je website niet in gevaar te brengen.

Conclusie

Om ervoor te zorgen dat hackers geen toegang krijgen tot jouw WordPress website door een verbeterde WordPress beveiliging, kun je de volgende stappen ondernemen:

  1. Host alleen bij betrouwbare, gerenommeerde hostingsbedrijven die jaren ervaring hebben.
  2. Gebruik een alternatieve Table Prefix, wijzig je gebruikersnaam van ‘Admin’ naar een gebruikersnaam die je zelf kiest en wijzig je wachtwoord.
  3. Installeer alleen betrouwbare plugins en thema’s.

Alleen als je deze acties onderneemt, kun je de WordPress beveiliging van jouw website zodanig verbeteren dat hackers niet zomaar toegang krijgen tot jouw website. Doe je dit niet, dan is de kans groot dat hackers zonder enige moeite toegang kunnen verkrijgen tot jouw website en je het slachtoffer wordt van de wandaden van deze hackers.

Voor een goede hosting inclusief beveiliging ben je bij WPbeveiligen aan het goede adres. Ervaring sinds 2007 en niet alleen beveiliger maar ook ontwikkelaar van WordPress websites.

Featured image for WordPress plugins in category HACKERS

WordPress plugins

/2 Reacties/in , ,

Velen zien de duizenden plugins van WordPress als een groot voordeel van dit populaire CMS. Echter, op het gebied van de veiligheid van het CMS kunnen de WordPress plugins een probleem vormen. Meer over de veiligheid van WordPress op het gebied van WordPress plugins, lees je in dit artikel. Zo lees je in dit aritkel hoe plugins van WordPress voor problemen kunnen zorgen, hoe je kunt voorkomen dat je in de problemen komt door WordPress plugins en hoe je de WordPress beveiliging van jouw website kunt verbeteren met specifieke beveiligingsplugins van WordPress.

Waarom zijn sommige plugins slecht voor de WordPress beveiliging?

WordPress bevat ongeveer 35.000+ verschillende plugins. In tegenstelling tot de techniek en het systeem achter WordPress, worden deze duizenden plugins niet volledig door WordPress doorgelicht en gecontroleerd op veiligheid. Zo kan het voorkomen dat je een WordPress plugin installeert die jouw website niet beter of mooier maakt, maar juist voor problemen zorgt op het gebied van WordPress beveiliging. Zo kan een WordPress plugin een virus (hack bestand/backdoor) bevatten, en kun je ook te maken krijgen met aanvallen van hackers door een specifieke plugin van WordPress. Hoe je dit kunt voorkomen en hoe je de veiligheid van jouw WordPress website juist kunt verbeteren met bepaalde plugins, lees je in onderstaande alinea’s.

Hoe voorkom ik problemen met WordPress plugins?

Omdat WordPress de duizenden plugins van het CMS niet controleert op het gebied van veiligheid en betrouwbaarheid, heb je als gebruiker van WordPress de verantwoordelijkheid om dit zelf te doen of te laten doen door Wpbeveiligen. Voor je een plugin installeert voor jouw WordPress website, kun je dan ook enkele zaken te controleren om de WordPress beveiliging van jouw website niet in gevaar te brengen. Dit betreft de volgende zaken:

  1. De waardering van een plugin: als een plugin goed is beoordeeld met vier of vijf sterren, weet je dat andere gebruikers van de plugin tevreden zijn en de plugin dus hoogstwaarschijnlijk niet schadelijk is.
  2. Het versienummer van een plugin: als een plugin een uitgebreid versienummer heeft, zoals 3.8.7.6.2, weet je dat deze plugin meerdere keren vernieuwd en verbeterd is.
  3. De datum van ‘laatst bijgewerkt’: heeft een plugin recentelijk een update gehad, dan betekent dit dat de plugin verbeterd is ten opzichte van enkele maanden geleden.
  4. De beschrijving van een plugin: als een plugin uitgebreid, duidelijk en goed omschreven wordt, is deze betrouwbaarder dan wanneer er geen beschrijving staat of slechts een korte beschrijving wordt gegeven.
  5. De installatie-beschrijving van een plugin: heeft een plugin een duidelijke, verzorgde installatie-beschrijving, dan hebben de makers van de plugin aandacht besteed aan deze tekst en is de kans groter dat deze plugin betrouwbaar is.

Door plugins te controleren voor je deze installeert op basis van bovenstaande punten, heb je als gebruiker van WordPress meer grip op de WordPress beveiliging van jouw website. Er zijn helaas veel gevallen bekend van gebruikers die een bepaalde plugin installeerden en hun website hierna helemaal opnieuw op moesten bouwen, dus zorg ervoor dat jij hier niet mee te maken krijgt en controleer altijd bovenstaande zaken voor een betere WordPress beveiliging.

Welke plugins kan ik installeren voor een betere WordPress beveiliging?

Hoewel plugins een gevaar kunnen vormen voor jouw WordPress website, zijn er ook plugins beschikbaar die de WordPress beveiliging van jouw website juist kunnen verbeteren. Dit betreft de plugins iThemes Security, Wordfence Security en BulletProof Security. Deze beveiligingsplugins zorgen er niet alleen voor dat je de middelen hebt om de WordPress beveiliging van jouw website te verbeteren, maar leggen je ook uit hoe je dit het beste kunt doen en maken in sommige gevallen zelfs backups van je website. Het wordt dan ook ten zeerste aangeraden om één van deze plugins te installeren om de veiligheid van jouw WordPress website te verbeteren. In combinatie met bovenstaande tips om alleen de juiste plugins te downloaden, is dit namelijk de beste manier om de WordPress beveiliging van jouw website te bevorderen door op een slimme manier om te gaan met WordPress plugins.

WPbeveiligen houdt zich wekelijks bezig met het beveiligen van websites en kent daardoor de werking en veiligheid van vele plugins. Ook weet WPbeveiligen welke beveiligingsplugin momenteel het beste werkt.

Voor een stukje zekerheid en garantie kun je de beveiliging van je WordPress website het beste overlaten aan Mathieu van WPbeveiligen.

Featured image for WordPress voor bedrijven: de voordelen en nadelen in category HACKERS

WordPress voor bedrijven: de voordelen en nadelen

/1 Reactie/in

WordPress voor bedrijven: de voordelen en nadelen

Als je een zakelijke website op wil zetten voor je bedrijf, heb je diverse mogelijkheden. Zo kun je ervoor kiezen om een programmeur-designer aan het werk te zetten en een website met beheermogelijkheid te laten ontwikkelen, maar kun je ook kiezen voor een WordPress website.
WordPress is het populairste Content Management Systeem van dit moment en steeds meer ondernemers kiezen bij het opzetten van een zakelijke website voor een website van WordPress. Maar wat zijn nu precies de voor- en nadelen bij het opzetten van een zakelijke website in WordPress voor bedrijven?
Meer over dit onderwerp, lees je in dit artikel.

De voordelen van WordPress voor bedrijven

Er zijn enkele voordelen verbonden aan een WordPress website voor bedrijven. Zo profiteer je als ondernemer van de volgende voordelen van WordPress voor bedrijven:

  1. WordPress is gemakkelijk in gebruik. Zowel beginnende gebruikers als ervaren gebruikers kunnen aan de slag met WordPress en met dit CMS de mooiste websites ontwikkelen.
  2. WordPress is continu in ontwikkeling. Gemiddeld zijn er acht updates per jaar voor WordPress, waardoor het CMS continu vernieuwd en verbeterd wordt.
  3. WordPress heeft veel functionaliteiten. Er zijn meer als 40.000 plugins voor WordPress, dus als gebruiker van WordPress voor bedrijven heb je oneindig veel mogelijkheden om jouw website te stylen en te laten functioneren zoals jij dat wilt.
  4. WordPress denkt goed aan zoekmachineoptimalisatie. De techniek achter WordPress voor bedrijven is zo ontwikkeld, dat het systeem veel mogelijkheden biedt tot zoekmachineoptimalisatie waardoor je website goed gevonden kan worden in Google.
  5. WordPress is goedkoop, omdat al het ontwikkelwerk al gedaan is. Het is open source. Je hoeft dus niets meer te betalen om het systeem achter jouw website te laten ontwikkelen, maar betaalt alleen voor het ontwerpen van jouw WordPress website of betaalt zelfs helemaal niets als je dit besluit zelf te doen.

 

Zoals je ziet, heeft WordPress voor bedrijven diverse voordelen. Het is dan ook niet voor niets dat WordPress het populairste CMS van dit moment is en het aantal gebruikers van WordPress nog altijd stijgende is, want WordPress is simpelweg een prettig en goedkoop systeem om mee te werken, dat continu in ontwikkeling is en vele functionaliteiten heeft waarbij het blijft denken aan zoekmachineoptimalisatie.

De nadelen van WordPress voor bedrijven

Helaas zijn er ook enkele nadelen verbonden aan het gebruik van WordPress voor bedrijven. Het grootste nadeel van WordPress is het feit dat dit CMS niet altijd veilig is. Dit heeft te maken met drie factoren:

  1. WordPress heeft een open source code. Dit betekent dat iedereen de code achter WordPress in kan zien en omdat er helaas mensen zijn die deze informatie voor verkeerde doeleinden gebruiken, is de beveiliging van WordPress niet altijd goed.
  2. WordPress heeft veel functionaliteiten in de vorm van plugins, maar deze plugins zijn ook niet altijd veilig. Zo zijn veel plugins besmet met virussen of geven bepaalde plugins hackers gemakkelijker toegang tot jouw WordPress website.
  3. WordPress geeft je de functies die je nodig hebt om jouw website beter te beveiligen, maar veel mensen weten niet hoe dit moet. Omdat WordPress je niet helpt bij het beveiligen van je website en je dus aan je lot of professionals als WPbeveiligen overlaat op het gebied van de beveiliging van jouw website, zijn veel WordPress websites gemakkelijk toegankelijk voor bijvoorbeeld hackers.

 

Alleen als je zelf actief aan de slag gaat om de beveiliging van jouw WordPress website te verbeteren, ben je als gebruiker van WordPress minder vatbaar voor vervelende virussen of aanvallen van hackers. En omdat veel mensen, zoals al eerder vermeld, niet weten hoe de beveiliging van een WordPress website verbeterd kan worden, krijgen helaas veel gebruikers van WordPress te maken met virussen en hackers. Dit is dan ook het grootste nadeel van WordPress voor bedrijven.

Conclusie

Het gebruik van WordPress brengt verschillende voordelen met zich mee. Zo is WordPress gemakkelijk in gebruik, wordt WordPress regelmatig vernieuwd en verbeterd, heeft WordPress duizenden functionaliteiten in de vorm van plugins, denkt het CMS goed mee bij het verbeteren van de zoekmachineoptimalisatie van websites en is WordPress erg goedkoop. Het enige grote nadeel van WordPress is het feit dat WordPress niet altijd veilig is. Om te voorkomen dat je als gebruiker van WordPress in aanraking komt met virussen en hackers, moet je dan ook zelf bepaalde acties ondernemen of je WordPress website goed laten beveiligen. Omdat velen niet weten welke acties dit zijn, krijgen gebruikers van WordPress helaas regelmatig te maken met virussen en/of hackers.

Twijfel je nog over WordPress? Klik hier om te vergelijken!

Featured image for Wat doet WordPress zelf voor een betere WordPress beveiliging? in category HACKERS

Wat doet WordPress zelf voor een betere WordPress beveiliging?

/2 Reacties/in

Wat WordPress doet voor een betere WordPress beveiliging kun je snel over het hoofd zien. Tenzij je de release notes leest van de WordPress releases.

Ondanks dat Automattic natuurlijk het liefst werkt aan updates om WordPress een mooier en krachtiger CMS te maken zijn de laatste releases (nieuwe updates) voornamelijk gelanceerd met nieuwe oplossingen voor exploits die de community hebben aangedragen.

De krachtige functies en veiligheidsupdates maken WordPress op dit moment nog steeds het populairste Content Management Systeem over de gehele wereld. En dit is niet voor niets, want WordPress biedt gebruikers maandelijks vele nieuwe opties, nieuwe plugins en nieuwe thema’s voor een aantrekkelijke prijs. En omdat WordPress vrij gemakkelijk in gebruik is, kan eigenlijk iedereen wel aan de slag met dit CMS.

Helaas brengt het gebruik van WordPress ook een groot nadeel met zich mee. De beveiliging van WordPress is namelijk niet altijd even goed, waardoor je als gebruiker van WordPress het risico loopt in om aanraking te komen met virussen en hackers. Wat de huidige status van de beveiliging van WordPress is, hoe het komt dat de beveiliging van WordPress niet altijd goed is en wat WordPress op dit moment doet om de WordPress beveiliging te verbeteren, lees je in dit artikel.

Wat is de huidige status van de WordPress beveiliging?

Enkele jaren geleden stond WordPress bekend als extreem onveilig CMS. Dit kwam onder andere vanwege de open source code van het Content Management Systeem, waardoor niet alleen gebruikers maar ook kwaadwillenden volledig inzicht hebben in de code van het CMS. Echter, om het imago van WordPress te verbeteren en de WordPress beveiliging te verbeteren, heeft WordPress enkele acties uitgevoerd. De code van WordPress is nog steeds open source, maar er zijn op dit moment wel meer mogelijkheden om de beveiliging van jouw WordPress website te verbeteren en jezelf te beschermen tegen hackers en virussen op jouw website.

Denk aan de bescherming van bestanden die op de server staan. In diverse nieuwe WordPress releases zijn de bestanden zo aangepast dat je de hoofdgebruiker of serverbeheerder moet zijn om bepaalde risicovolle bestanden te kunnen lezen, uitvoeren of beschrijven.

Waarom is de WordPress beveiliging nog niet altijd goed?

Hoewel WordPress diverse acties heeft ondernomen om de beveiliging van het CMS te verbeteren, zijn WordPress websites nog steeds regelmatig het slachtoffer van hackers en virussen. Dit komt echter niet omdat WordPress zelf tekort schiet in het bieden van een veilige omgeving. Zo kan de oorzaak van de soms slechte beveiliging van WordPress websites en het feit dat deze websites nog vaak de dupe zijn van hackers en virussen gewijt worden aan de duizenden plugins en thema’s waar WordPress zelf geen zicht op heeft. WordPress zelf is namelijk wel veilig, maar de vele plugins en thema’s die je voor jouw WordPress website kunt gebruiken, zijn helaas niet allemaal even veilig.

Daar komt nog bij dat veel gebruikers van WordPress zelf niet voldoende ondernemen om hun WordPress website beter te beveiligen. Zo kiezen veel WordPress gebruikers een slecht wachtwoord, een slechte gebruikersnaam of een combinatie van een slecht wachtwoord en een slechte gebruikersnaam, waardoor hackers gemakkelijk in de adminomgeving van de WordPress website kunnen komen. De slechte beveiliging van WordPress is dan ook voornamelijk te wijten aan het feit dat er duizenden onveilige plugins en thema’s zijn, maar ook omdat gebruikers zelf soms naïef zijn bij het gebruiken van WordPress.

Wat doet WordPress nog meer om de WordPress beveiliging te verbeteren?

Wat WordPress doet om de beveiliging van jouw WordPress website te verbeteren, is simpelweg het bieden van de juiste opties en mogelijkheden om jouw website te beveiligen. Zo creëert WordPress een adminomgeving waarbij je als gebruiker zelf bepaalde instellingen kunt veranderen om de WordPress beveiliging van jouw website te verbeteren, maar kauwt WordPress gebruikers niet voor hoe dit het beste gedaan kan worden. Je bent als gebruiker van WordPress dan ook zelf verantwoordelijk om de WordPress beveiliging van jouw website te verbeteren, bijvoorbeeld door een veilige gebruikersnaam en een veilig wachtwoord te kiezen.

Daarnaast geeft WordPress je als gebruiker zelf de verantwoordelijkheid om alleen betrouwbare plugins en thema’s te downloaden voor je WordPress website. WordPress verwijdert dus geen onbetrouwbare plugins en thema’s (dit zou onbegonnen werk zijn), maar laat je als gebruiker met je eigen gezonde verstand bekijken welke plugins en thema’s betrouwbaar zijn

WordPress helpt je wel met een plugin database die door de community gebruikt wordt en waar ook reacties geplaatst kunnen worden wanneer blijkt dat plugins problemen veroorzaken. Ook zie je een duidelijke notificatie bij iedere plugin als die 2 jaar of langer geen updates heeft ontvangen.

Conclusie

WordPress stond voorheen bekend als een onveilig CMS, maar recent is de WordPress beveiliging zeker verbeterd. Dit komt voornamelijk omdat WordPress een veilige adminomgeving en basis probeert te creëren. Helaas is WordPress nog niet honderd procent veilig en dit zal het CMS ook nooit worden door de invloeden van buitenaf. De reden dat de WordPress beveiliging soms nog te wensen overlaat, komt vanwege het feit dat er nog tientallen onveilige plugins en thema’s in omloop zijn en gebruikers vaak niet de juiste stappen ondernemen om WordPress te beveiligen. Het is dan ook niet de taak van WordPress om gebruikers te beschermen, maar de verantwoordelijkheid van gebruikers zelf om gebruik te maken van de beveiligingsopties die WordPress te bieden heeft en onbetrouwbare plugins en thema’s uit de weg te gaan.

Featured image for WordPress beveiliging verbeteren in category HACKERS

WordPress beveiliging verbeteren

/1 Reactie/in ,

WordPress is op dit moment het populairste CMS, ofwel Content Management Systeem, dat tevens een ‘open source’ code heeft. Een open source code is voor iedereen inzichtelijk en dit is niet alleen erg handig voor gebruikers van het CMS, maar helaas ook voor kwaadwillenden. Zo kunnen kwaadwillenden de code van WordPress geheel analyseren, om deze vervolgens te gebruiken om WordPress websites te hacken. Voornamelijk WordPress websites die niet goed up-to-date zijn en WordPress websites die veel veiligheidslekken bevatten, zijn een gemakkelijk slachtoffer voor kwaadwillenden en worden dan ook vaak het slachtoffer van hacking of een besmetting met virussen.

Om te voorkomen dat jouw WordPress website ook gehackt wordt of besmet wordt met een virus, lees je in dit artikel meer over het verbeteren van jouw WordPress beveiliging. Zo lees je in dit artikel vijf belangrijke tips die je kunt raadplegen om de WordPress beveiliging van jouw website te verbeteren.

Tip 1: wijzig de database table bij de installatie

Als je jouw WordPress website installeert, dien je enkele gegevens in te vullen. WordPress heeft bij één van deze gegevens, de zogeheten database table, automatisch _wp ingevuld. Dit gegeven is dan ook algemeen bekend, ook bij hackers. Om hackers geen voorsprong te geven, wordt dan ook aangeraden om het voorvoegsel van de database table te wijzigen. Kies dus niet voor _wp, maar bijvoorbeeld voor 1u28#Uik8dpZ_ voor een betere WordPress beveiliging. De underscore hoeft overigens niet aan het begin van het voorvoegsel te zitten, maar mag ook aan het einde van het voorvoegsel komen.

Tip 2: wijzig je gebruikersnaam

Als je een website maakt in WordPress, is jouw gebruikersnaam altijd ‘Admin’. Net zoals bij de database table (zie tip 1) geldt ook bij de gebruikersnaam dat hackers weten dat mensen deze gebruikersnaam automatisch krijgen van WordPress. Om jouw WordPress beveiliging te verbeteren en hackers geen voorsprong te geven, wordt dan ook aangeraden om de gebruikersnaam te wijzigen. Kies niet voor ‘Admin’, maar bijvoorbeeld voor je eigen voor- en achternaam.

Tip 3: stel bestandsrechten in op de server van WordPress

Als je WordPress gebruikt, heb je misschien al eens gezien dat WordPress in feite bestaat uit een verzameling van verschillende mappen met bestanden. Deze mappen kunnen een lees-toegang, schrijf-toegang of uitvoer-toegang hebben en per map en bestand kun je zelf instellen welke toegang deze map of dit bestand moet hebben via de (S)FTP. Controleer daarom altijd wat de rechten van jouw mappen en bestanden zijn en pas deze waar nodig aan voor een betere WordPress beveiliging. Je wil natuurlijk niet dat bezoekers op jouw website uitvoer-toegang krijgen tot bepaalde mappen en/of bestanden waar jij alleen toegang voor zou moeten hebben. Om ervoor te zorgen dat er geen lek in jouw website zit en alles goed beveiligd wordt met WordPress beveiliging, wordt dan ook aangeraden om de rechten per map en bestand te bekijken en deze waar nodig aan te passen.

Tip 4: gebruik alleen betrouwbare plugins

Je kunt jouw WordPress website helemaal vormgeven zoals jij dit wil door WordPress plugins te gebruiken. Helaas zijn de plugins van WordPress niet altijd even veilig, omdat hier regelmatig virussen en andere malware in verwerkt worden. Download je een onveilige plugin, dan kan jouw WordPress website zelfs crashen. Om dit te voorkomen, wordt aangeraden om alleen betrouwbare plugins te gebruiken. Bij het selecteren van betrouwbare plugins, kijk je onder andere naar de waardering, het versienummer (een hoog en uitgebreid versienummer is beter voor de WordPress beveiliging, omdat dit aangeeft dat er veel updates zijn geweest), de datum van laatst bijgewerkt, de beschrijving (uitgebreid is altijd beter) en de installatiebeschrijving.

Tip 5: gebruik een schone en veilige computer

Tot slot wordt aangeraden om alleen gebruik te maken van WordPress op een schone en veilige computer. Heb je een virus op je computer en ga je vervolgens inloggen op WordPress, dan is dit logischerwijs niet goed voor de WordPress beveiliging van jouw website. Het gebruik van WordPress met een goede WordPress beveiliging start dan ook met het gebruik van een schone en veilige computer zonder spyware, malware en virussen. Heb je wel te maken met virussen op je computer, dan wordt aangeraden om deze virussen direct effectief te bestrijden en niet in te loggen op WordPress tot jouw computer helemaal schoon en veilig is.

Featured image for Goedkoop is duurkoop, hacken is gratis in category HACKERS

Goedkoop is duurkoop, hacken is gratis

/2 Reacties/in , ,

Wat een oud gezegde! Goedkoop is duurkoop, gaat dat nog op tegenwoordig?

Is niet alles gratis te downloaden op internet?

Jawel, alles is gratis te downloaden op internet. Denk aan WordPress en alle informatie om WordPress heen. Dit zorgt ervoor dat het opzetten van WordPress alleen een kwestie is van tijd en energie investeren.

En ja, ook illegale plugins zijn “gratis” te downloaden. Maar in dit geval spreekt toch het gezegde: Goedkoop is duurkoop.

Deze zogenaamde “gratis” plugins zijn namelijk online gezet door mensen die eraan willen verdienen.
Ze hebben code in de plugin gezet waardoor ze je login informatie ontvangen of een mogelijkheid hebben waarmee ze je website kunnen beheren.

Wat er dan gebeurt? Dan heb je op een dag reclame in je website van een product of je website linkt naar een vreemde website.

En dan heb je het nog getroffen, wekelijks kom ik als beveiliger websites tegen die in Google staan met beschrijvingen als:

Koop hier uw v i a g r a.

En dat is nu net wat je niet wilt! Reclame maken voor een product waar je niets mee hebt, is vervelend. Vooral als je een reputatie hebt opgebouwd als bedrijf, wil je natuurlijk niet met deze rommel geïdentificeerd worden.

De meeste “gratis” plugins gaan zo stiekem mogelijk te werk zodat ze niet snel opgemerkt worden.

Dit betekent dat ze stoppen met hun werking wanneer je ingelogd bent, of de informatie slechts 2x tonen aan bezoekers waardoor je als administrator na 3 keer geen ,,vuiltje aan de lucht” ziet.

Maar voor elke nieuwe bezoeker is het helaas een slecht zicht, met deze reclame zorg je ervoor dat bezoekers geen interesse krijgen in het bezoeken van je website.

Uiteindelijk kost het “gratis” downloaden van betaalde plugins en het opzetten van een WordPress bedrijfswebsite dan toch een hoop geld en je raad het al, is het een duurkoop geworden.

Wat te doen als je website gehackt is

Als je website al teksten vertoont die niets te maken hebben met je eigen dienstverlening en de informatie die jij in je website hebt getypt, kun je de website grondig nakijken.

Als je een SEO plugin hebt, kijk dan de meta description na.

Maar waarschijnlijker nog is het een injectie in de code, ga in je WordPress  admin naar weergave > editor en kijk de bestanden van je thema na.

Zo zijn er enkele populaire thema locaties waar scripts en hackers graag hun reclame plaatsen:

  • Header.php
  • Index.php
  • Page.php
  • Single.php
  • Homepage, Frontpages

Echter kan het ook in de database geïnjecteerd zijn. WordPress bewaart alle content in de database en dit is een mooie plek voor hackers om hun code te plaatsen.

Voorkomen is beter als genezen

Ja hoor daar ben ik weer met een oude spreuk. Maar zeker als je een bedrijfswebsite hebt, is deze van toepassing. Als een website eenmaal is gehackt, heb je niet alleen de negatieve gevolgen van de hack maar moet ook alle code en de backdoors eruit gehaald worden wat veel tijd kost.

Daarna moet de website beveiligd worden. Wat ook weer tijd en geld kost.

Het online zetten van een WordPress zonder beveiliging

Het online zetten van een WordPress zonder beveiliging is als het kopen van een auto zonder sloten. Het kan wel en gaat een lange tijd goed, totdat de verkeerde persoon je auto weet te vinden.

Bij het begin wanneer je website net online staat wordt deze door weinig mensen, hackers, scripts gevonden en zal het geen probleem zijn maar na een tijdje is het alleen een kwestie van tijd voordat je website een script op bezoek krijgt die de website test op exploits (lekken).

Goh, maar wat raad jij dan aan?

Uit ervaring raad ik aan om elke belangrijke website te laten beveiligen. Elke website die geld opbrengt, en waar je van afhankelijk bent moet beveiligd worden om onnodige kosten te voorkomen.

Zodat jij lekker kunt verdienen zeker!

Nou, dit raad ik aan maar tegelijk geef ik ook alle informatie gratis weg op deze website!
Als programmeur, hoster en vormgever van websites heb ik het al druk zat.
Maar wekelijks krijg ik aanvragen voor het repareren van websites die gehackt zijn, en ik bemerk dat dit erg vervelend is voor de eigenaren van de website.

Kijk, voor mij is het een kwestie van in de code duiken en het corrigeren. Ik doe dit sinds 2007 en zie binnen 10-15 minuten waar ik moet zijn om de code weer netjes te krijgen.
Of ik zet een backup terug.

Maar ik bemerk dat het voor velen die mij nog niet op internet hebben gevonden het erg frustrerend is wanneer de website vreemde reclame toont. Dat het nog een zoektocht kan zijn voordat ze iemand vinden die dit sinds 2007 doet en het een sport vindt om websites te herstellen en te beveiligen.

Vandaar hoop ik eerder dat iemand zijn website laat beveiligen voordat zijn website geïnfecteerd is.

Wil je overigens weten of je de website na research zelf hebt kunnen beveiligen? Bezoek dan mijn gratis checklist!

Geef je dan ook garantie?

Ja! Als ik de website voor je beveilig ben ik zo overtuigd van de kwaliteit van het werk wat ik lever dat ik 6 tot 12 maanden garantie geef. En wanneer er dan toch een script of hacker doorheen komt zorg ik ervoor dat je website weer zo goed als nieuw is. Ik zet een backup terug, beveilig de website en zorg ervoor dat je website weer op-en-top draait. Gratis uiteraard, dat is de garantie!

Ik werk al sinds 2007 in WordPress en weet uit ervaring hoe websites draaien en welke hackscripts er online draaien en welke grappen die hackers uithalen.

Ik zal je website zo goed mogelijk beveiligen en als je website gehackt is zoek ik alle backdoors op en zorg ik ervoor dat de hackers en scripts niet meer in je website kunnen komen.

Featured image for Het lek in WordPress zie je in de spiegel in category HACKERS

Het lek in WordPress zie je in de spiegel

/0 Reacties/in

Het 100% beveiligen van WordPress is belangrijk voor uw bedrijfswebsite. Je wilt tenslotte zeker zijn dat je website online blijft voor je klanten.

Het 100% beveiligen van WordPress is niet te bereiken met enkel de juiste plugin of de juiste server. Dit is een kwestie van kennis en ervaring. Weten wat de hacker doet en weten wat de zwakke plekken van WordPress zijn is hierbij zeer belangrijk.

Ik programmeer sinds 2007 in WordPress en heb alle zwakke plekken zo leren kennen.

Enkele zwakke plekken bij WordPress zijn overigens niet het cms zelf. Wij zijn de zwakke plekken.

De gewoontes van ons als mensen zorgen ervoor dat hackers weten hoe ze binnen kunnen komen.

Enkele gewoontes zijn:

1. De username op admin zetten of de naam van jezelf of de website gebruiken.

2. Voor alles een plugin gebruiken in plaats van een stukje code. Voor google analytics, het contactformulier, de slider, maps, etc

3. De website niet up-to-date houden en denken dat WordPress dan veilig blijft. Eens veilig altijd veilig is de gedachtegang.

4. Simpele wachtwoorden gebruiken die in het woordenboek staan zoals pannenkoek of login15

5. Diverse themas uitproberen en alles op de server laten staan in de themes map.

En zo zijn er nog veel gewoontes waar scripts van hackers op gebaseerd zijn.

WordPress 100% beveiligen is een combinatie van weten wat de zwakheden van mensen zijn en die gewoontes doorbreken.

Maar dit kun je ook zelf! Nu je weet welke dingen je niet moet doen kun je er rekening mee houden en maak je het de hacker weer een stukje moeilijker.

Lees in andere artikelen op wpbeveiligen hoe je tot de 100% kunt komen.

Of is 100% veilig niet mogelijk?