Featured image for 9 beveiligingsproblemen verholpen in WordPress 4.8.2 in category BEVEILIGEN

9 beveiligingsproblemen verholpen in WordPress 4.8.2

/0 Reacties/in , ,

WordPress 4.8.2 lost 9 beveiligingslekken op.

Enkele nieuwe features in WordPress hebben ook weer wat mogelijkheden voor hackers gebracht. Daar kwamen verschillende “white hat hackers” achter die het netjes aan WordPress gemeld hebben.

WordPress heeft die problemen direct opgelost in deze nieuwe 4.8.2 update. Het team achter WordPress heeft ook potentiële toekomstige problemen die door plugins konden ontstaan aangepakt.

Veiligheid voor alles!

Updaten dus 😉

Onderstaand zie je de 9 lekken die opgelost zijn. Het gaat hier om potentiële mogelijkheden voor hackers om injecties te doen op de database, om de paden van de server te benaderen en er zitten updates bij om WordPress te beschermen tegen plugins met onveilige codering.

5 van de 9 problemen zijn XSS lekken. Weet je niet wat een XSS is? Lees dan meer over XSS.

  1. $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability. Reported by Slavco.
  2. A cross-site scripting (XSS) vulnerability was discovered in the oEmbed discovery. Reported by xknown of the WordPress Security Team.
  3. A cross-site scripting (XSS) vulnerability was discovered in the visual editor. Reported by Rodolfo Assis (@brutelogic) of Sucuri Security.
  4. A path traversal vulnerability was discovered in the file unzipping code. Reported by Alex Chapman (noxrnet).
  5. A cross-site scripting (XSS) vulnerability was discovered in the plugin editor. Reported by (Chen Ruiqi).
  6. An open redirect was discovered on the user and term edit screens. Reported by Yasin Soliman (ysx).
  7. A path traversal vulnerability was discovered in the customizer. Reported by Weston Ruter of the WordPress Security Team.
  8. A cross-site scripting (XSS) vulnerability was discovered in template names. Reported by Luka (sikic).
  9. A cross-site scripting (XSS) vulnerability was discovered in the link modal. Reported by Anas Roubi (qasuar).

En voor de klanten met een beveiligings abonnement bij ons, wij maken zoals altijd een backup en updaten je website naar de nieuwste en weer veilige WordPress 4.8.2

Featured image for Hoe stop je hackers? in category ANTIVIRUS

Hoe stop je hackers?

/6 Reacties/in , ,

Om hackers te stoppen moet je weten wat ze doen. Waar ze inloggen, wanneer ze inloggen en welke bestanden ze aanpassen.

Als je weet wat hackers doen, kun je de aanpassingen van de hackers terugdraaien, de backdoors en hun accounts verwijderen.

Weet wat hackers doen

Een helder overzicht van alle gebeurtenissen zie je met de WPB Antivirus plugin.
Dit is een complete antivirus plugin voor WordPress die alles registreert wat er met je website gebeurd!

Een uitleg van het logboek

Hier zal ik van links-naar-recht uitleggen wat je ziet, en wat je met die informatie kunt doen om hackers te stoppen.

  1. Als eerste zie je wat er gebeurd is. Denk aan inloggen, aanpassen van tekst, aanpassen van bestanden.
    Als er op tijd bij bent wat er met je website gebeurt, kun je hackers nog in een vroeg stadium tegenhouden.
  2. Dan zie je het tijdstip. Je kunt zo nagaan of de aanpassingen op tijdstippen plaatsvinden dat je zelf niet ingelogd was.
  3. De datum spreekt voor zich.
  4. Het IP adres. Die kun je aanklikken waardoor je direct naar een GEO website gaat die je laat zien waar die persoon zich bevind. Rusland, China, Amerika.. dan weet je al snel dat het om hackers gaat. Hackers gebruiken vaak een Proxy. (een nep locatie).
    Het IP adres kun je blokkeren zodat ze je website niet meer kunnen benaderen. (Beveiliging » Gebruikers verbannen in de plugin).
  5. Als het om een gebruiker gaat met een geregistreerd account zie je de naam, zo weet je wie-wat doet. (Of welk account gehackt is)
    Verander dan het wachtwoord.
  6. In het voorbeeld is deze leeg, maar daar staat de url die aangevraagd is. Soms zie je bestanden en pagina’s waarvan je zelf het bestaan nog niet wist!! (Backdoors en ongewenste bestanden kun je dan verwijderen met een FTP programma)
  7. Deze is ook leeg in het voorbeeld, maar hier zie je de doellocatie. Waar een hacker terecht komt via zijn backdoor of pagina.
  8. De details verschaffen nog  meer informatie indien beschikbaar.
  9. Als laatste zie je op een schaal van 1-tot-10 welke impact een actie met zich meeneemt.

Een hacker stoppen

Hackers en de scripts die ze schrijven, zijn soms enorm snel en doordacht.
Wij zijn hele dagen actief met het herstellen en beveiligen van gehackte WordPress websites.

Wij bieden daarom abonnementen waarbij we je website herstellen en beveiligen. Met updates & garantie!!

Zo betaal je een vast maandelijks bedrag en sta je nooit voor verassingen.

Je WordPress website preventief laten beveiligen met garantie? Klik hier

Is je WordPress website al gehackt? Geen paniek wij herstellen je website en stoppen de hacker(s). Klik hier

Featured image for 5 soorten hackers en hun streken in category BEVEILIGEN

5 soorten hackers en hun streken

/2 Reacties/in , ,

Wij zien jaarlijks honderden hacks, de één wat slimmer bedacht dan de ander. Denk hier bijvoorbeeld aan het aanpassen van de homepage, maar even later zien wij weer een hack(er) die de website volledig overneemt, blokkeert en voorziet van eigen reclame.

Voor ons zijn het interessante puzzels die we op moeten lossen, voor jou als website eigenaar is het een vervelende ervaring, en voor de hackers hun beroep waar goed geld mee te verdienen is.

De internetcriminaliteit neemt in rap tempo toe en het gaat hier, zoals de naam al zegt om crimineel gedrag wat strafbaar is.

De anonimiteit zorgt er helaas voor dat het zoveel gebeurt.

Hoe-dan-ook, zie de onderstaande streken als leermoment om te voorkomen en onthoudt als hacker: je bent een crimineel als je ze toepast.

  1. De uitslover, Op een dag open je de homepage van je website en zie je niets dan een lege pagina met de tekst: gehackt door ….. Dit heet “defacement” en houdt simpelweg in dat je pagina een andere vormgeving en inhoudt krijgt. Met een beetje geluk is alleen de homepage veranderd en zijn al je overige pagina’s nog gewoon beschikbaar.
  2. De linkbuilder, je website is nog hetzelfde op enkele details na. Er staan stukken tekst met links naar een ongure website. Het enige doel van deze hack is het opbouwen van links zodat Google de site van de hacker hoger in de zoekresultaten toont. Jouw website zakt overigens enorm in de weergave bij Google door het maken van reclame voor die ongure producten.
  3. De winkeldief, de winkeldief heeft het gemunt op je webshop. Hij hackt zich een weg naar binnen en verandert de betaalmogelijkheden totdat er 1 overblijft. En je raadt het al.. die betaalmogelijkheid verwijst naar zijn paypall of bankrekening waardoor die het geld van je klanten ontvangt. Meestal gaat het geld naar de rekening van een zogenoemde katvanger.
  4. De puber, een jongen of meisje dat simpelweg wat scriptjes van internet heeft geplukt en zo wat teksten of de layout van je website aanpast. Scriptkiddy’s noemen ze deze jongeren. Toch is het belangrijk te vermelden dat de daden niet minder crimineel zijn en niet als grapje gezien mogen worden. De eigenaar van de website ondervindt schade door het mislopen van klanten en door de kosten die gemaakt worden als een webmaster of beveiligingsbureau de website weer moeten repareren en beveiligen.
  5. Het corrupte webbureau, dit zijn bedrijven in landen als Rusland, Pakistan etc. die niet genoeg geld verdienen om het gezin te onderhouden. Uit wanhoop om toch brood op de plank te krijgen gaan ze hun kennis verkeerd gebruiken. Het team van programmeurs en serverspecialisten coderen geavanceerde virussen die zichzelf in de servers en websites nestelen. De hacks zijn van een hoog niveau en het kost meer moeite om van ze af te komen. Vaak zijn ze uit op de centen van je webshop of op het plaatsen van reclame naar hun eigen webshop. Ze sturen ook geregeld bezoekers door naar hun eigen website of webshop. Heel direct en opvallend maar met slimme trucs en backdoors houden ze je website lang onder controle.
Featured image for WordPress plugins, het thema en de beveiliging onderhouden in category BEVEILIGEN

WordPress plugins, het thema en de beveiliging onderhouden

/2 Reacties/in , , , , , ,

WordPress is een gratis Open Source software wat je moet onderhouden om te zorgen dat hackers geen kans krijgen. Denk hier niet aan hackers die zich persoonlijk op je website richten maar aan de geautomatiseerde scripts die met Google speuren naar verouderde plugins en thema’s met lekken.

In dit artikel leggen we uit welke onderdelen van WordPress onderhouden moeten worden en hoe je dat onderhouden geregeld kunt doen zonder het risico te lopen dat je meer problemen veroorzaakt dan dat je voorkomt.

WordPress plugins onderhouden

Zorg ervoor dat je zo min mogelijk plugins gebruikt en verwijder plugins die je niet gebruikt, ook al staan ze ge-deactiveerd!

inactieve-plugin

Niet alle plugin updates zijn direct nodig

Er komen maandelijks, wekelijks en soms zelfs dagelijks nieuwe updates uit voor plugins.
Maar het betekent niet dat alle updates even belangrijk zijn. Veel plugin updates brengen alleen nieuwe mogelijkheden of bufixes en zijn dus niet van direct belang voor het veilig houden van je WordPress website.

Update de plugins geregeld, denk aan elke 3 maanden. Tenzij je leest dat er een lek gevonden is is bij een specifieke plugin die je gebruikt.

WordPress thema’s onderhouden

wordpress thema

Als eerste moet gezegd worden je alleen het actieve thema op je server moet laten staan. Niet alle thema’s die je ooit een keer geprobeerd hebt 😉 Hackbots checken de server namelijk op thema’s met lekken en gebruiken die als ingang om je website te vullen met Malware.

Zeker de thema’s die standaard bij WordPress meekomen, kun je verwijderen (mits niet in gebruik).
Denk hierbij aan het twentyten, twentyeleven, twentytwelve.. etc

Je kunt de thema’s via de FTP verwijderen maar ook door op de themadetails van het thema te klikken De Themadetails knop verschijnt als je met de muis op de thumbnail gaat staan, daarna zie je rechtsonder een link “verwijderen”.

WordPress “core” onderhouden

Er komen maandelijks, soms zelfs wekelijks updates uit. Niet elke update is relevant voor de veiligheid. Wacht even een dag met updaten aangezien er soms bugs/fouten in de nieuwe releases voorkomen.

Lees hier op WordPress.org wat voor update het is, een beveiligings-update of een upgrade van nieuwe mogelijkheden.

De server onderhouden

Als je een Shared pakket hebt
Dit is het instap-model voor enkele euro’s per maand. Je staat met diverse anderen op 1 server en wanneer die gehackt worden, zal de snelheid van jouw website er ook onder lijden. Tevens kan het gedeelde IP adres op de Blacklist komen wat ervoor zorgt dat je mails niet meer aankomen.

Voordeel is wel dat de hoster de software up-to-date houdt. Je hoeft zelf dus niets te onderhouden.

Als je een Managed VPS hebt
Met een Managed VPS zit je doorgaans goed. De server wordt dan door de hoster ge-update en voorzien van belangrijke veiligheids-patches.

Een un-Managed VPS
Als je een “unmanaged” VPS hebt, betekent dit dat er geen onderhoud aan zal worden gedaan door de webhoster. Je bent zelf verantwoordelijk voor het onderhouden en updaten van php, centos etc.
Kies dit pakket alleen als je verstand van Linux of ISS hebt inclusief shell.

Een goedkope webhoster
Sommige budget-hostingpartijen zijn traag met updaten, en zo kunnen bekendgemaakte lekken op de server gebruikt worden om virussen in je website te zetten. Dat wil je voorkomen aangezien die lastig te vinden zijn en het verwijderen veel werk kan zijn.

De beveiliging onderhouden

De beveiliging van je WordPress website is enorm belangrijk. Cybercrime is 1 van de grootste veroorzakers van problemen met WordPress – het is een wereldwijd probleem dat zelfs grote banken zoals de ING en de Rabobank treft, maar dat terzijde.

De beveiliging van je website start met 1 goede plugin. We leggen de nadruk op 1 plugin aangezien we geregeld zien dat er meerdere plugins tegelijk ingezet worden wat alleen maar zorgt voor problemen.

Als de beveiliging goed ingesteld is kun je de updates van die plugin het beste zo snel mogelijk doorvoeren.

Tevens is het belangrijk de logboeken geregeld na te kijken om te zien of alles nog goed gaat.
Schrik hier niet van alle aanvallen, dat is standaard bij elke WordPress website die op Google te vinden is.

Een goed onderhouden beveiligingsplugin hoort 99% van alle aanvallen tegen te houden.

Tot slot

backupAls je alles goed onderhouden hebt kan er altijd nog iets gebeuren, maak daarom backups!

Featured image for WordPress hackers vinden via de serverlog's in category ANTIVIRUS

WordPress hackers vinden via de serverlog’s

/4 Reacties/in , ,

Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld.

Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..

De serverlog’s vinden in Directadmin

De serverlog’s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak.
De serverlogs in DirectAdmin vind je na het inloggen onder Your Account » Site Summary / Statistics / Logs » Full usage log
weblog

weblog

De serverlog’s begrijpen

Er komt nu veel informatie op je af.
Er zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog’s kunt begrijpen.

server logs

  1. Als eerste zie je het IP adres.
    Die wijst naar de computer/router van de mogelijke hacker.
  2. Daarna zie je de datum
    Houdt er rekening mee dat de tijd op de server kan afwijken van de lokale tijd
  3. Daarna zie je een GET of POST commando
    Die is belangrijk, een hacker zal namelijk POST commando’s aan je server/website geven.
  4. Daarna zie je de url die gevraagd is.
    Hier hoor je gewone pagina’s en info te zien die een bezoeker op kan vragen.
    Als je url’s ziet zoals XML-RPC.php en andere bestanden op de server kun je ervan uitgaan dat het niet om een gewone bezoeker gaat.
  5. Daarna zie je de USER Agent
    Ofwel de browser/besturingssysteem wat gebruikt wordt.

Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker

Wij spreken hier over hacker maar in 9/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.

De hack(er) vinden

Zo’n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur.
(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)

Waar je op moet letten:

Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.

  1. POST – Zoals eerder genoemd voert een hacker of script een commando uit op je website om iets gedaan te krijgen.
  2. XML-RPC en andere PHP bestanden. Een bezoeker opent pagina’s en berichten en GEEN php bestanden.
  3. IP Adressen uit vreemde landen. Als je bezoekers hebt uit China, Rusland, Duitsland, Frankrijk terwijl je een Nederlandse website hebt.. dan is het uitermate vreemd als ze een groot aantal pagina’s en/of bestanden gaan lezen.
    Gebruik de IP Location finder om te bepalen uit welk land een gebruiker komt .

Als programmeur doe je dit natuurlijk met Notepad++ of een andere code editor waardoor je direct lijnen kunt markeren etc.

Kennis is macht, maar nog geen overwinning

Nu je de logboeken kunt lezen én de hacker hebt gevonden én weet welke acties die hacker heeft ondernomen, kun je de gevolgen gaan terugdraaien van de hack.

In veel gevallen heeft de hacker bestanden geplaatst, of tekst-reclame. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.

Maar! Dan ben je er nog niet

De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligt met een WordPress Antivirus plugin.

Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!

En zoals altijd, maak backupsbackups, en nog meer backups!

Featured image for CronJobs beheren in WordPress in category BEVEILIGEN

CronJobs beheren in WordPress

/4 Reacties/in , , ,

Wat een Cronjob is volgens Wikipedia: Een Cronjob of crontab is een Unix commando dat een programma of script op een ingesteld tijdstip uitvoert. Cronjobs worden gebruikt in Unix-achtige systemen als Linux, BSD en Apple Macintosh. Het woord ‘cron’ is afkomstig van het Engelse woord chronograph, dat een soort stopwatch is.

Wat doen CronJobs in WordPress

Door middel van Cronjobs wordt periodiek gecontroleerd of er updates zijn. Tevens gebruiken veel plugins CronJobs om taken uit te voeren zoals het updaten, verwijderen van informatie. Je kunt de Cronjob functie dus niet zomaar uitzetten in WordPress.

Enkele plugins die werken met Cronjobs:

  1. WooCommerce – voor het opslaan en verwijderen van gebruikersdata. De bekeken producten worden opgeslagen of na een bepaalde tijd verwijderd.
  2. UpdraftPlus – Voor het maken van periodieke backups
  3. Yoast SEO –  Voor het ophalen van linksuggesties bij berichten en pagina’s

Kortom, elke website heeft enkele Cronjobs draaien op de achtergrond.

Wil je weten welke Cronjobs actief zijn?

CronJobs bekijken en beheren in WordPress

De WP Crontrol plugin geeft je de mogelijkheid om de werkende Cronjobs in je WordPress website te zien.

Je kunt zien welke Cronjobs actief zijn, en ze bijwerken of verwijderen.
Doe dit na de installatie van de plugin in je Admin » Extra (Tools) » Cron Events

cron events

Cronjobs en hackers

Hackers kunnen Cronjobs inzetten om periodiek bepaalde werkzaamheden uit te voeren.
Daarom is het belangrijk om te zien welke Cronjobs actief zijn!

Denk bijvoorbeeld aan de onderstaande nadelige Cronjobs:

  1. Een Cronjob die een beheerders account registreert.
    Als zo’n cronjob dat ieder uur doet, kun je verwijderen wat je wilt.. maar zo komen hackers toch weer binnen.
  2. Een Cronjob die je logboeken verwijdert.
    Zo kan een hacker zijn gang gaan zonder sporen achter te laten.
  3. Een Cronjob die accounts verwijdert.
    Als je account verwijderd wordt kun je de website niet beheren, en heeft de hacker je website in handen.
  4. Een Cronjob die je wachtwoord opnieuw genereert.
    Ontzettend vervelend als je elke keer een nieuw wachtwoord krijgt, je kunt dan wel een reset doen maar om dat nu elke keer om het uur te moeten doen…
  5. Cronjobs om data door te sturen.
    Als er een taak aangemaakt wordt om elke 5 minuten de informatie van jou en je gebruikers door te sturen.. dan weet een hacker sneller dat je een bestelling of wijziging in je website hebt dan jij zelf!

 

Featured image for Onveilige plugins in WordPress zorgen voor problemen in category BEVEILIGEN

Onveilige plugins in WordPress zorgen voor problemen

/3 Reacties/in , ,

Hoe kan een plugin onveilig worden?

  1. Wanneer die langer dan 2 jaar niet meer ge-update wordt door de programmeur
    bijwerken plugin
  2. Als de programmeur geen goede opleiding heeft gehad en zo dus code van het internet kopieert om een plugin samen te stellen.
  3. Als input velden, zoekvelden niet netjes afgesloten worden tegen injecties

De problemen die onveilige plugins veroorzaken

Zoals in punt 3 genoemd wordt, kunnen onveilige plugins gebruikt worden om injecties te doen op de database. De database bevat al je pagina’s, nieuwsberichten en jawel: De gebruikers en beheerders van je website.
Als er toegang is tot de database is alles mogelijk, de website ligt dan volledig in handen van de hacker.
En dat niet alleen, de injecties en aanpassingen gebeuren automatisch door computers. Razendsnel en met 1000-en websites per dag.

Een onveilige plugin is een tikkende tijdbom voor je website.

Hoe kun je controleren of een plugin veilig is?

  1. De website WPvulndb.com verzamelt veel plugins waarvan bekend is geworden dat ze lek zijn.
    Controleer of je plugin daar niet tussen staat.
  2. Controleer of je website nog niet geinjecteerd is bij de Sucuri Malware Scanner
  3. Ga aan de slag met de WPscan, op Linux. Dit is redelijk ingewikkeld maar als je een hele belangrijke website hebt, is dit een stap die je moet nemen om de veiligheid garanderen.

Tot slot

Probeer zo min mogelijk plugins te gebruiken. Elke plugin is een potentiële deur voor hackers en scripts die maar al te graag links naar hun eigen website op die van jou plaatsen.

 

 

Featured image for Dit is normaal?! Ze proberen mijn WordPress te hacken! in category ANTIVIRUS

Dit is normaal?! Ze proberen mijn WordPress te hacken!

/6 Reacties/in , , ,

De verbazing blijft groot wanneer we aangeven dat er dagelijks diverse pogingen gedaan zijn om een WordPress website van de klant te hacken.

Mijn website? Uit al die websites die er bestaan?

We zullen het zo simpel mogelijk proberen uit te leggen zonder er een heel technisch verhaal van te maken.
(De meeste blogs van ons lopen zo in detail dat zelfs de hard-core programmeur het niet meer volgt)

Ze proberen je website te hacken!
Dit is logisch aangezien:

  1. Er dag-en-nacht tienduizenden scripts werkzaam zijn op computers van hackers, en op geïnfecteerde websites.
    Die scripts doen 1 ding: Googlen naar WordPress bestanden/websites en dan een standaard aantal aanvragen (hackpogingen) doen.
  2. Is je website op Google vindbaar? Dan vindt een Hackbot je website ook!
    Een computer kan miljoenen berekeningen per minuut maken, reken maar uit hoeveel bereik zo’n Hackbot dan heeft.
  3. De scripts zijn briljant in elkaar gezet door voormalig programmeurs.
    De scripts die door de Hackbot uitgevoerd worden zijn zeer geavanceerd.
  4. Alle plugins die je gebruikt laten sporen achter in de broncode van je website, dit is de houvast voor een Hackbot.
  5. Er wordt veel geld verdiend met het hacken van WordPress websites.
    Doordat ze reclame op je website kunnen injecteren.
    Doordat ze aan linkbuilding via je website kunnen doen en zo hun website hoger kunnen laten scoren in Google.
    Doordat ze je betaalgegevens van WooCommerce kunnen veranderen naar die van hunzelf. (Paypall)
  6. WordPress is Open Source en gratis te downloaden, evenals duizenden gratis plugins.
    Ze kunnen die plugins volledig doorlezen en de lekken opzoeken.
  7. Momenteel heeft 40% van alle WordPress sites nog geen antivirus plugin.
    Pas met een Antivirus plugin zie je hoeveel pogingen er gedaan worden.
    Tevens zie je ook hoeveel valse pogingen geblokkeerd worden.
  8. Criminaliteit is groot, zeer groot. Zeker vanaf internet aangezien de daders “anoniem” kunnen blijven.

Iedere website die op Google te vinden is, heeft simpelweg te maken met pogingen om in te breken. Hierbij worden bestanden en url’s getest.

Zie het als een crimineel die even kijkt of je achterdeur open staat.

Wij hebben op moment van schrijven meer dan 200 artikelen waarbij veel gaan over de methodes om de hackers geen kans te geven.

Wil je jouw website laten beveiligen?

Wij zorgen ervoor dat je website geen ongewenste bezoekers (hackers en hackbots) toestaat. Ze worden geregistreerd, geblokkeerd en kunnen hun scripts niet op je website uitvoeren!

Wij hebben een zeer uitgebreid service/onderhoudspakket zodat je geen zorgen meer hebt over je website!

Klik hier als je de onderhoud en beveiliging van je website aan WPbeveiligen over wilt laten.

 

Featured image for Als ik een website op zet.. voor mijzelf, dan gaat dat zo! in category ANTIVIRUS

Als ik een website op zet.. voor mijzelf, dan gaat dat zo!

/5 Reacties/in , , , ,

Ik programmeer, onderhoud en beveilig WordPress bedrijfswebsites sinds 2007, 5 dagen per week.
Met zelfs 7 dagen per week. Maar met veel plezier, drukte en soms de overwerktheid (is dat een woord?) die je van een ondernemer kunt verwachten.
De kennis en ervaring met thema’s & plugins evenals WordPress is daardoor redelijk uitgebreid en groeit nog iedere dag.

Omdat geregeld aan mij gevraagd wordt wat ik zou doen met diverse aspecten van de website, vertel ik je:

Hoe ik een nieuwe WordPress website maak
Voor mijzelf!

Hou er rekening mee dat ik alle middelen zoals Notepad++, SmartFTP, Hosting, Photoshop, diverse licenties, thema’s en (Premium) plugins zelf al heb liggen. Ongeveer 50% van wat ik gebruik is Open Source, maar andere essentiële programma’s die ik gebruik kosten geld.

  1. Ik start altijd met een nieuwe verse WordPress release.
    Direct de versie met de Nederlandse vertaling.
  2. Dan gooi ik de Readme.html & License.txt weg aangezien die alleen verraden welke WordPress release het is.
    Dat is alleen maar handig voor hackers.
  3. Ik registreer een domeinnaam bij Reviced.
    Ik heb ook nog 40+ domeinnamen liggen soms pak ik er ineens 1 op.
  4. Ik maak een nieuw domein/dataruimte aan op de server.
    Dat doe ik op een CentOs server met Nginx en PHP7 + Directadmin.
  5. Dan kies ik een thema uit, dat wisselt per doel dat het moet dienen.
    Ik werk soms met een blanco thema. Dat zijn enkele WordPress bestanden met de ruwe basis zonder andere ongein. Deze style ik dan vanaf de basis met CSS, Photoshop en code op maat.
    Er zijn tijden dat ik met een “duur” thema werk. Die kosten al snel 50+ euro maar soms zijn ze zo mooi 🙂 Totdat ik er iets in wil aanpassen.. dan kom ik in de spaghetti van code die ze in die thema’s zetten 🙁
    En zo-nu-en-dan pak ik een thema van ElegantThemes. Daar heb ik ook al zo’n 8 jaar een Developers abonnement waardoor ik onbeperkt thema’s kan gebruiken.
  6. Dan download en installeer ik de plugins Contact Form 7 (Contactformulieren), Count per Day (Bezoekersteller), soms de Visual Composer (Geavanceerde editor).
    Ik heb 5 websites waar ik ook nog de Advanced Custom Fields (Voor berichten met extra infovelden) en WPML (Voor de meertalige site) in gebruik.
  7. Dan start ik met het aanmaken van de pagina’s. Dat zijn meestal de Home, Nieuws, Contact
  8. Ik zet de Permalink structuur goed, en maak de “Home” als voorpagina. (admin » instellingen » lezen)
  9. Daarna zet ik de WPbeveiligen Antivirus in en configureer die.
    Dit is geen reclame maar een standaard de afgelopen 3 jaar, ik heb geen zin in hackers of onverwachtse problemen in mijn site.
  10. Ik ben de automatische backup-plugin Updraftplus nog vergeten, die gebruik ik standaard sinds 2016 en die zet ik aan (Ik laat UpdraftPlus een backup maken) als ik het meeste netjes heb opgezet. Je hebt een gratis versie die al veel kan, ik gebruik zelf Premium.
  11. Dan ga ik mijn ideeën op de pagina’s zetten. De teksten met enkele afbeeldingen.
    De afbeeldingen koop ik bij 123rf.com en soms download ik ze van gratis stocksites zoals Freeimages.com (Voorheen SXC.hu) en Pexels.
  12. In veel sites zet ik daarna nog een versie van Yoast in voor Google. Dit omdat ik graag zelf bepaal welke beschrijving Google laat zien. En om die /categorie/ slug weg te halen bij onderwerpen.

Dat is ongeveer hoe ik een site voor mijzelf opzet!

Volgens mij kan iedereen met deze basiskennis een goede WordPress website opzetten. Toch?
Geef je mening op Social media of hier bij het bericht.
Ik zou het leuk vinden als je laat weten of het gelukt is!

 

Featured image for Is deze WordPress plugin nog veilig? in category BEVEILIGEN

Is deze WordPress plugin nog veilig?

/4 Reacties/in , , ,

Als je plugins toevoegt zie je wel eens een melding dat de plugin meer dan 2 jaar niet bijgewerkt is.

Betekent dit per definitie dat de plugin onveilig is?

Sommige plugins hebben simpele functies met enkele lijnen code die niet bijgewerkt moeten worden.
Het updaten van een plugin is alleen noodzakelijk wanneer deze lekken bevat die door hackers misbruikt kunnen worden.

Te weten komen of een plugin nog veilig is

wordpress plugin database

1 manier om erachter te komen of een plugin lek is via www.wpvulndb.com
Op het moment van schrijven heeft die website meer dan 8000 lekken geregistreerd in plugins en thema’s.
Gebruik de zoekbalk om je plugin te controleren.

Mocht je een programmeur zijn, kun je ook nog eens een check doen via WPscan.
Dit is een stuk ingewikkelder en vereist wat kennis van diverse software en besturingssystemen.

zoeken in google

Nog een methode om te controleren is door de plugin in te vullen in de zoekmachine van Google.
Google dan op de naam van de plugin + hack, hacked of malware, injection. Doe dit voornamelijk in het Engels aangezien je dan de grootste kans hebt op resultaten.

Wat te doen als een plugin verouderd of lek is?

WordPress heeft op moment van schrijven meer dan 51.000+ plugins.
Er is een grote kans dat je gemakkelijk een alternatieve plugin kunt vinden waarmee je dezelfde rol kunt laten vervullen.

Neem vooral geen risico als de plugin op de lijst van www.wpvulndb.com staat!

Geautomatiseerde scripts testen dagelijks duizenden websites op lekke plugins.
Binnen korte tijd hebben die scripts je website gevonden via Google en injecteren ze reclame of malware in je website.