Featured image for Een veilig wachtwoord kiezen in category BEVEILIGEN

Een veilig wachtwoord kiezen

/7 Reacties/in ,

Als er iets is waar je hoofdpijn van krijgt zijn het wel de verschillende wachtwoorden voor iedere website.

Om er dan nog een extra factor aan toe te voegen hebben alle sites hun eigen regels omtrent de veiligheid van een wachtwoord.

Enkele eisen die wij veel zien

  1. Een hoofdletter gebruiken (HoofdLetters)
  2. Letters en cijfers combineren (eaad 8934)
  3. Het wachtwoord moet tekens bevatten (*&$!)
  4. Het wachtwoord mag niet meer dan 9 letters bevatten
  5. Het moet langer zijn dan 11 tekens….

Zucht..

Kun je 1 wachtwoord kiezen die op iedere website geaccepteerd wordt?

1 wachtwoord dat werkt op alle sites is niet mogelijk..
(En niet veilig maar dat terzijde)

Waarom niet?
Omdat er veel tegenstrijdigheden zijn tussen sites waarbij de 1 aangeeft dat het meer dan 8 letters/cijfers moet bevatten en de andere site dan weer aangeeft dat er een limiet van 8 tekens is..

Aan te raden is dus 2-5 varianten te gebruiken.

Een goed wachtwoord samenstellen

wordpress goed wachtwoord

Met de onderstaande tip kun je vast een mooi wachtwoord samenstellen:

Een zin, denk aan:
2ENORMEnijlpaarden!
✔ letters
✔ Cijfer
✔ Hoofdletter
✔(uitroep) Teken
(Deze weet je over 4 weken nog 😉

Belangrijk is dat jij het zelf kan onthouden. En dit werkt het beste met zinnen die logisch zijn.

80&$&()JKL ga je niet gemakkelijk onthouden!

Maar 33nZ1n WEL!

Let erop dat spaties niet mogelijk zijn in een wachtwoord, en dat het wachtwoord minimaal 8-10 tekens/cijfers of letters moet bevatten. Dat is een gegeven dat bij de meeste sites werkt.

Dus samenvattend

Je zit voor de meeste sites goed als je 8-11 cijfers/tekens/hoofdletters hebt.

Comb1n€€r deze voor een sterk wachtwoord.

Schrijf deze niet online op en niet in je mail maar gewoon op een ouderwets papiertje en leg die in een kluis!

Maar NIET zo!

wordpress slecht wachtwoord

  1. Geen geboortedatums
  2. Geen voor-of-achternaam
  3. Geen Voornaam met 123 erachter
  4. Je naam niet achterstevoren
  5. Geen aaa sss of qwerty123
  6. Geen woordenboek woorden!!
  7. G33n n44m m3t c1jfers

Waarom?

Als je naam, geboortedatum of andere info in een profiel staat zal een hackscript dit als eerste pakken om je wachtwoord te genereren en te testen.

Daarna komen de standaard keyboard toetsen die velen gebruiken zoals qqq www -of- qwerty -of- 12345 etc.

Daarna pakt een script het woordenboek erbij vanuit een txt bestand en vuurt die af op een website om je account te hacken.

En daarna gaat het script je namen vervangen voor c1jf3rs.

Featured image for WordPress beveiligen: van A-tot-Z in category BEVEILIGEN

WordPress beveiligen: van A-tot-Z

/3 Reacties/in , , , ,

Admin was jarenlang de standaard gebruikersnaam bij nieuwe WordPress installaties. Velen veranderden dit niet waardoor duizenden WordPress websites gehackt zijn.
En nog steeds wordt die username te vaak gebruikt!

Backdoors zorgen ervoor dat een hacker via 1 lijn code weer in je WordPress website kan komen.

Code is vaak geschreven in php en daarna gecodeerd naar base64 zodat de server het niet herkent.

Dagen achter elkaar spam versturen zorgt ervoor dat je website op de spamlist komt

Errors op je site zonder dat je aanpassingen hebt gedaan? Dat kan een hacker geweest zijn maar het gaat ook wel eens verkeerd tussen WordPress, plugins en thema’s tijdens automatische updates

Filezilla is het meest gebruikte programma om je serverbestanden mee te beheren. Zo kun je op wijzigingsdatum kijken om te zien welke bestanden door een hacker zijn aangepast.

Gegevens zoals je wachtwoord gaan gecodeerd de database in, die gegevens kun je niet meer uitlezen. (Wel aanpassen.)

Hackers schrijven scripts en laten die op internet rondgaan, zo worden duizenden websites aangevallen. Ze houden zich nauwelijks bezig met het aanvallen van specifieke websites.

Illegale plugins worden vaak voorzien van backdoors en spamscripts.

Javascript wordt veel gebruikt voor overschrijven van informatie in je website. Bijvoorbeeld zodat alle links ineens vervangen worden door links naar websites waar de hacker geld aan verdiend. Die code is soms maar heel kort en hoeft niet eens in je thema of templates zelf te zitten. Daardoor is de code soms lastig te vinden.

Klanten die reclame zien of een website waar een error te zien is, zullen die website meestal niet opnieuw bezoeken op een later tijdstip. Ze Googlen direct naar een andere site die ook soortgelijke diensten of producten aanbied.

Leren om hacks te verwijderen en WordPress te beveiligen kost maanden. Dit aangezien hackers wekelijks pogingen doen om met slimme scripts in je WordPress website te komen en er duizenden scripts actief zijn en er iedere dag bij komen.

Matt Mullenweg is de oprichter van WordPress. Hij ontwikkelde WordPress op zijn 19e.

Notepad++ en zelfs de standaard versie van Notepad in Windows zijn tools waarmee een hacker een hackscript kan schrijven. Door die eenvoud zijn er zoveel scripts in omloop.

Open source is de reden dat er zoveel WordPress websites online staan. Het CMS is gratis te gebruiken en iedereen mag er plugins en thema’s voor ontwikkelen.

Plugins zijn gratis te downloaden van WordPress.org maar ook te koop bij bedrijven. De plugins die te koop zijn noemen ze Premium plugins.

Queries zijn aanvragen op de server. Met honderden queries op diverse IP adressen wordt een ddos aanval opgezet. Ithemes security blokkeert diverse queries en limiteert ook het aantal queries die een IP adres mag doen.

Reacties op je website kunnen links bevatten met een injectie. Als je daarop klikt terwijl je ingelogd bent als administrator, voer je zomaar een commando uit tegen je eigen website.

Spam die jij in je mail inbox krijgt komt voor 80% van websites af die gehackt zijn.

Templates zoals de page template en de header template worden vaak geïnjecteerd met een reclame-link. Zo is die reclame-link direct op elke pagina van je website zichtbaar.

Uploads mappen zitten vaak vol met spam bestanden.
Dit komt omdat iedere website standaard een upload map heeft die door de server en WordPress beschreven mag worden. Dit is zelfs essentieel als je de website en plugins wilt updaten en afbeeldingen toe wilt voegen. Hackers maken graag gebruik van die mappen. De jaartallen en maanden staan er ook standaard in. Kijk daar eens als je van een gehackte website af wilt komen!

Verwijder plugins die je niet gebruikt. Ook ge-deactiveert zijn ze nog beschikbaar op de server wat voor beveiligingsproblemen zorgt.

WordPress is een zeer veilig en up-to-date systeem. Het gebruik van slechte plugins en thema’s zorgen voor de problemen.

Xss is de afkorting voor Cross Site Scripting, 1 van de grote benamingen voor lekken in websites. Waarom je Cross Site Scripting met X schrijft? Dat is omdat CSS (Cascading Style Sheets) al de afkorting CSS in bezit heeft.

Yoast Seo is een WordPress plugin gemaakt door Joost van der Valk. Een Nederlandse man. Zijn plugin is wereldwijd bekend en wordt door duizenden businessites gebruikt.
Plugins zoals Yoast Seo worden regelmatig geupdate en blijven daardoor veilig.

Zelf kun je de WordPress website beveiligen als je verstand heb van de server, de plugins, updates. Al die informatie is gratis te lezen op WPbeveiligen!

 

Hopelijk heb je meer geleerd over het beveiligen van WordPress, of heb je leuke nieuwtjes geleerd.

WordPress beveiligen gaat nog een stuk verder, dat zullen we je besparen in dit artikel. Wil je meer lezen? Breng dan geregeld een bezoekje op onze WordPress beveiligen artikelpagina.

Vond je dit artikel leuk of leerzaam? Deel het met andere zodat ze ook meer te weten komen over WordPress beveiliging!

Featured image for FTP via de admin, het kan! in category BEVEILIGEN

FTP via de admin, het kan!

/3 Reacties/in , ,

Af en toe kom je van die bijzondere plugins tegen. Plugins die je leven net even een stukje makkelijker maken.

Zo ook CYSTEME Finder Download  de plugin (zip bestand).

De plugin heet “CYSTEME Finder, a file explorer” en het is een hele nette plugin die je een kijkje op de server laat nemen zonder dat je een FTP programma zoals Filezilla nodig hebt.

Zien welke bestanden er op de server staan
file editor

Bestanden kopieren, verplaatsen, verwijderen

Je kunt de bestanden niet alleen zien maar net zoals bij een regulier FTP programma kun je ze aanpassen, copieren, verwijderen

file-server-wordpress

Bestanden aanpassen

In WordPress kun je normaal gesproken alleen bij de theme en plugins om die aan te passen, maar met deze plugin kun je zelfs je WordPress core files aanpassen.

Dat is handig als je backdoors wilt verwijderen!

bestanden aanpassen via het admin

 

Veiligheid

Let op! De plugin kan veel, maar het is NIET aan te raden om deze standaard op de server te laten staan.

Installeer en gebruik de plugin wanneer je het nodig hebt, maar geef hackers en hackscripts geen mogelijkheden om deze of een verouderde versie te gebruiken om je server vol te zetten met bestanden!

Zo geld dat voor iedere plugin die je weinig of eenmalig gebruikt, verwijder die na gebruik. Ook al is de plugin niet geactiveerd, dan is de plugin nog wel toegankelijk op de server en dus voor hackers!

Featured image for Iedere maand 10-20 plugins lek in category BEVEILIGEN

Iedere maand 10-20 plugins lek

/4 Reacties/in , , ,

Iedere maand komen er 10-20 plugins bij die lek zijn. Lek in de zin dat hackers en hackscripts de plugin kunnen gebruiken om toegang te krijgen tot je server of tot WordPress.

Nog deze maand zijn Akismet, Jetpack, Ninja forms toegevoegd aan de officiele lijst van WPscan.

Interessant als je bedenkt dat Akismet ontwikkeld is om comment spam tegen te houden!

Dit betekent overigens niet dat deze plugins direct verwijderd moeten worden, ze worden ongetwijfeld ge-update door de ontwikkelaars.
Zorg er dus voor dat je een nieuwere versie hebt van de plugin.

Wat doe je ertegen?

Je kunt moeilijk elke dag in de plugin lijst kijken om te zien of de door jou gebruikte plugins misschien een lek hebben.

Enkele stappen die je kunt ondernemen

  1. Minimaliseer het aantal plugins dat je gebruikt
  2. Update de plugins
  3. Installeer een beveiligings plugin

Deze stappen moet je ondernemen voordat je website gehackt is.

Een plugin updaten via de WordPress updater zorgt er niet voor dat plugins die lek geweest zijn direct virus-vrij zijn.

Als je website al spam verstuurt door een lekke plugin

Dan kun je de gehele WordPress website op de server nakijken op spam bestanden. Dit wordt vaak op diverse plekken gezet.. als een virus.

Laat je WordPress website herstellen en beveiligen op als je vermoed dat je WordPress website gehackt is of spam verstuurt!

Featured image for Hoe lees ik base 64 code? in category BEVEILIGEN

Hoe lees ik base 64 code?

/4 Reacties/in ,

Een hacker codeert zijn php scripts zodat de server het niet snel zal herkennen als virus.
De server zal elk bestand namelijk niet 10x decoderen om het te lezen.

voorbeeld

Maar zo’n bestand kan wel uitgevoerd worden op aanvraag, en dat is wat een hackscript doet.

Een stuk base64 code decoderen

Als je die hele soep van code ziet, weet je misschien niet waar je moet beginnen.
Maar er zit wel logica in. De code begint vaak met een eval(“”) waarbij het de code binnen de “” wil uitvoeren. Die code kun je in een decoder zetten.

Vaak zetten ze de code nog in een variabele die uitgevoerd moet worden via een gedecodeerde variabele zodat het eigenlijk niet te doen is om dat zelf te gaan ontrafelen. En dat is nu net de bedoeling van de scriptschrijvers.

Wat staat er nu meestal achter “die verstopte code”?

In veel gevallen is het een link naar een productpagina van de hacker of zijn klant. Of een script dat e-mails (spam) verstuurt naar e-mailadressen.

Maar soms heb je te maken met een geavanceerder hackscript, dan worden niet alleen die simpele handelingen uitgevoerd maar worden ook je database gegevens doorgesluisd of ontstaat er een nieuwe gebruiker in de database zodat het hackscript er later weer in kan komen als je het gerepareerd hebt.

Of een script kopieert zichzelf even naar elke map die je server bevat.

Dit zijn dingen die je meestal niet wilt weten, en het beste is om niet in de huid te kruipen van een scriptschrijver maar het te verwijderen en je WordPress deels te vernieuwen zodat je zeker bent dat al zijn codes en bestanden van je server zijn.

De base64 code is 3-10x gecodeerd.. wat nu?

De bestanden zijn vaan 1-5x gecodeerd. Dit betekend dat je een tijd bezig bent om ze te decoderen.

Gelukkig is er een website die dit proces voor je doet, UnPHP maakt een virtuele ruime en pakt daar de gecodeerde php uit.

Tot wel 81x in een loop wanneer dit nodig is!!

decode

 

Featured image for WordPress beveiligings plugins - De introductie in category BEVEILIGEN

WordPress beveiligings plugins – De introductie

/3 Reacties/in , ,

Er zijn diverse beveiligingsplugins die je kunt gebruiken om WordPress te beveiligen.

Ik raad aan om 1 goede uit te kiezen en zie niet allemaal tegelijk te gebruiken. En ja, dat heb ik vaak gezien! Vooral als laatste poging om dan echt van die lastige hack af te komen.

Gebruik 1 goede plugin, niet meerdere tegelijk

De beveiligingsplugins voor WordPress werken in de basis op dezelfde manier, ze oefenen controle uit op belangrijke serverbestanden. En er kan er maar één de baas zijn!

Wat er gebeurt als je meerdere plugins tegelijk activeert

Een website die meerdere backups gaat draaien, meerdere keren alle bestanden evalueert en met 4 logsystemen van alle gebruikers bijhoudt en/of bant is niet bevorderlijk voor de werking van je website.

Ze gaan elkaar uiteindelijk tegenwerken aangezien de schrijvers van de code niet met elkaar om de tafel hebben gezeten om de plugins aanvullend te maken.
Ze proberen allemaal de oplossing te zijn voor alle beveiligingsproblemen.

Welke beveiligingsplugins er zijn

De meest uitgebreide en beste plugins zijn:

  1. Ithemes Securiy
  2. Wordfence
  3. Securi Security
  4. Bulletproof Security

we zullen deze plugins een korte introductie geven

Ze hebben allemaal hun eigen plus & minpunten.

Ithemes security

ithemes wpbeveiligen

Ithemes security staat hier op nummer 1, en dat is geen toeval. Ithemes security is naar onze mening de beste beveiligingsplugin en wel om enkele sterke punten:

  • Een goede file monitor die overzichtelijk laat zien welke bestanden er bewerkt zijn, welke toegevoegd zijn op de server, en welke verwijderd zijn.
    zo spoor je gemakkelijk nieuwe bestanden op als er nog een backdoor is die spamscripts plaatst.
  • De plugin geeft je een overzichtelijke lijst die je af kunt werken met beveiligings issues die gerangschikt zijn naar belangrijkheid.
    Deze kun je stuk-voor-stuk afwerken maar wanneer je weet wat je doet kun je deze ook direct in 1x configureren via de algemene settings page.
  • Ithemes security is 1 van de weinigen op dit moment die de mogelijkheid om php bestanden uit te voeren vanaf de uploads mappen blokkeert. iets wat zeer belangrijk is omdat die mappen het meest gebruikt worden om hacks naar te uploaden.
  • En sinds kort (half 2015) werkt Ithemes samen met de Securi experts om ook een scan uit te voeren!

Maar let op: Ithemes security geeft je ook krachtige mogelijkheden die bij een bestaande WordPress website niet meer aangepast kunnen worden. Het is dus belangrijk dat je weet welke opties je kunt gebruiken en welke niet, voor je het weet heb je de website overbeveiligd en werkt deze niet meer!

De WordFence security plugin
wordfence wordpress security

WordFence heeft een grote bekendheid. Vooral omdat deze ook een scanner heeft waarbij WordFence de bestanden vergelijkt met de Core bestanden van WordPress.
Helaas is deze versie zonder premium versie niet goed genoeg om alle bestanden te scannen. Premium plugins heeft WordFence tot op heden niet in de database staan en zullen dus overgeslagen worden.

WordFence heeft ook een Falcon engine op moment van schrijven. Dit zorgt ervoor dat je WordPress tot wel 50x sneller zou moeten worden (aldus WordFence).
De falcon engine zorgt er in de basis voor dat niet elke map op rechten wordt gecontroleerd of op Htaccess en dus sneller moet zijn.

Ik heb de plugin en de functie wel gebruikt maar merkte geen bijzonder verschil. Wanneer dit bij metingen anders is hoor ik het graag.

De Securi plugin

Securi is een groot bedrijf. Securi heeft een mooie plugin uitgebracht die veel functies heeft, en de mooiste vind ik wel dat hij ook plugins verwijdert en opnieuw installeert.
Plugins moeten namelijk na een geruime tijd opnieuw worden geïnstalleerd als ze tijden niet zijn bijgehouden, aangezien ze dan hack-files kunnen bezitten die de website om zeep helpen.

En NEE, sorry maar een update vervangt enkel sommige nieuwe bestanden maar zal nooit alles vervangen wat wel nodig is!

Bulletproof Security

bulletproof wpbeveiligen

Ik heb de Bulletproof vooral ervaren als over-technisch en niet gebruikersvriendelijk. Maar zijn de echte NERD plugins die goed zijn niet zoals Bulletproof?
Wellicht wel maar ik zie het toch graag iets gebruiksvriendelijker.

Bulletproof heeft de functie die ze wijselijk Bullerproof noemen die de Htaccess beveiligt en vele bestanden. Maar dit doen de gebruikers-vriendelijke beveiligingsplugins ook.

Wat is dan het verschil?

Caching – Maar dat doet WordFence ook.
Login security – Maar dat doen de overigen hier genoemd ook.
Htaccess manager – Dat hebben enkele anderen ook.

En zo zijn veel functies te vergelijken. Bulletproof heeft wel een PRO functie die alle functies nog eens verdubbelt. Hier heb ik weinig ervaring mee aangezien ik toch een Nederlander ben, en ja gratis he.. waarom betalen 😉

Overige kleinere plugins

Er zijn nog veel meer plugins die krachtige functies hebben. Deze zullen we in een ander artikel in de toekomst evalueren, maar we raden je aan om een goede uit te kiezen binnen de meest bekende. Die zijn meestal het beste! Heb je een parel voor ons die we niet kennen? Neem dan zeker contact op met ons,  wij horen het graag!

Conclusie

Zoals je hebt kunnen lezen gaat onze voorkeur uit naar Ithemes security.
Echter hebben de andere besproken plugins goede pluspunten en is het aan jou om te kiezen welke plugin het beste is voor je website.

Het belangrijkste is vooral dat je de plugin goed configureerd!

Geen enkele plugin maakt de website 100% waterdicht. Het hangt van je gebruik af hoe lang de website bestand blijft tegen hacks.
Zo is het belangrijk om nooit zomaar op links te klikken die in je comments geschreven zijn. Die kunnen codes bevatten die je dan als aangemelde beheerder uit kunt voeren, voor je het weet heb je een mysql injectie geaccepteerd.

Als hoofdgebruiker kun je namelijk meer doen dan een beveiligingsplugin zal beperken. Een beheerdersrol heeft altijd het beslissingsrecht boven plugins.

 

 

Featured image for WordPress beveiligen tegen hackers in category BEVEILIGEN

WordPress beveiligen tegen hackers

/3 Reacties/in , , ,

WordPress is de afgelopen jaren populair geworden bij ondernemers, bij ontwerpbureau’s en ook bij bedrijven waar miljoenen verdiend worden.

Bedrijven laten een ontwerp maken, zetten een marketing team op om de website te vullen en laten dan alles met WordPress online plaatsen.

Omdat WordPress door zoveel grote bedrijven gebruikt wordt, is WordPress ook een interessant doelwit geworden voor hackers.

Hackers kunnen WordPress namelijk gratis downloaden en testen op lekken, ze misbruiken de functies van WordPress en gebruiken upload mogelijkheden en berichten om hun eigen informatie weer te geven.

Om die reden is het erg belangrijk om je WordPress website te beveiligen!

Wat kan er gebeuren als een hacker je website hackt?

Bij 80% van de hacks gaat het om een spam script dat ervoor zorgt dat je website e-mails gaat versturen met jouw domeinnaam.

Het script probeert dan zoveel mogelijk mails te sturen en zo hun producten aan te bieden aan grote groepen mensen.

10% van de hackers is het erom te doen om bekend te worden of gewoon een “stoere” streek uit te halen en dan zal je website zijn logo en tekst gaan vertonen.

De overige 10% helpt je website om zeep en zorgt simpelweg dat je website het helemaal niet meer doet.

Als je website eenmaal gehackt is..

Als je WordPress website eenmaal gehackt is, kom je er helaas niet zo makkelijk meer vanaf.

Als een plugin, thema of je WordPress lek is heeft de hacker of een script vaak een “backdoor” in 1 van de honderden bestanden gezet.

(Een backdoor is even simpel vertaald een achterdeurtje die WordPress open zet door middel van een admin gebruiker, door het versturen van FTP gegevens of door middel van een bepaalde link die toegang verschaft tot de database.)

Wat kan ik doen om mijn WordPress website te beschermen?

Ik heb enkele simpele stappen voor je die je zelf kunt doen om je WordPress website veiliger te maken. Let op, er zijn nog veel meer lekken die gedicht moeten worden maar met deze stappen ben je op de goede weg.

  1. Verander je admin username. Admin is heel standaard en bekend bij iedere hacker en script
  2. Update je WordPress en themes en plugins
  3. Download geen illegale premium plugins
  4. Verwijder plugins die je niet gebruikt
  5. Zet een beveiligingsplugin in zoals WordFence of Ithemes Security

Ik wil een professional die mijn WordPress website beveiligt!

Ik ben Mathieu van WPbeveiligen.nl

Ik werk sinds 2007 met WordPress en ben al jaren actief als programmeur-vormgever.

De ervaring die ik heb opgebouwd in alle jaren gebruik ik sinds 2010 als full-time WordPress beveiliger.

Wil je jouw WordPress website laten beveiligen?

Neem direct contact op! Ook als je website al gehackt is, zorg ik ervoor dat je website weer zo goed als nieuw wordt en goed beveiligd is.

Hier geef ik ook garantie op!

Featured image for Het verschil tussen WordFence en Ithemes security en Sucuri in category BEVEILIGEN

Het verschil tussen WordFence en Ithemes security en Sucuri

/4 Reacties/in , , , ,

De 3 grootste beveiligingsplugins voor WordPress zijn WordFence, Ithemes Security en Sucuri

  1. De overzichtelijke tabel met functies
  2. Uitleg van de functies
  3. Welke plugin onze voorkeur heeft
  4. Je website laten beveiligen

Tip: Wist je dat er naast de gebruikelijke beveiligingsplugins ook online diensten zijn? Malcare is een online dienst die je WordPress website beveiligt, controleert op malware en het gemakkelijker maakt om je website up-to-date te houden.

Het vergelijkende overzicht van Ithemes, WordFence en Sucuri

Ze hebben allemaal hun voor-en-nadelen. Om die reden hebben wij van WPbeveiligen alle functies op een rijtje gezet zodat je kunt zien welke het beste voor jou werkt.

Dit artikel is geschreven in 2015, sommige functies kunnen verwijderd of toegevoegd zijn aangezien de security plugin programmeurs wekelijks aan verbeteringen werken.

ithemes security
wordfence-logo-wordpress
securi-security-logo
Ithemes Wordfence Sucuri
Malware scanner wordpress-beveiliging wordpress-beveiliging wordpress-beveiliging
Database backup wordpress-beveiliging
Custom IP blocks wordpress-beveiliging
Auto IP blocks wordpress-beveiliging wordpress-beveiliging wordpress-beveiliging
Admin verbergen wordpress-beveiliging
Bestanden backup
Meldingen wordpress-beveiliging wordpress-beveiliging wordpress-beveiliging
Caching wordpress-beveiliging
Automatisering wordpress-beveiliging wordpress-beveiliging
Upload map wordpress-beveiliging wordpress-beveiliging
Readme wordpress-beveiliging
Theme editor wordpress-beveiliging wordpress-beveiliging
Salts aanpassen wordpress-beveiliging wordpress-beveiliging wordpress-beveiliging
Logins view wordpress-beveiliging wordpress-beveiliging
Site info wordpress-beveiliging wordpress-beveiliging
Bestands rechten wordpress-beveiliging
Data logging wordpress-beveiliging wordpress-beveiliging

Uitleg van de functies

  1. Malware scanner
    Dit betekent dat je plugin de bestanden kan scannen op de server voor hacks.
  2. Database backup
    De database bevat de meeste informatie. Informatie over de pagina’s, de themestyling, berichten en gebruikers.
  3. Custom IP blocks
    Het handmatig blokkeren van IP adressen zorgt ervoor dat je gebruikers en bots kunt tegenhouden per land of per regio.
  4. Auto IP blocks
    Het automatisch blokkeren van IP adressen na een x aantal pogingen of vanaf bekende black-lists.
  5. Admin verbergen
    Je WordPress website is te beheren via het “admin” wat standaard te vinden is op de url www.je website.nl/wp-admin, Ervoor zorgen dat deze url niet meer gebruikt kan worden om het admin te benaderen voorkomt brute force attacks en gebruikers die met achtergrondkennis proberen in te loggen op je website.
  6. Bestanden backup
    De bestanden zoals je thema, de afbeeldingen en WordPress zelf moet je minimaal 1-3x per jaar downloaden of backuppen.
  7. Meldingen
    De plugins hebben momenteel allemaal de optie om je per e-mail te informeren over bestandswijzigingen of gebruikers/bots die uitgesloten worden.
  8. Caching
    Momenteel is WordFence uniek met deze optie. Ze noemen het de Falcon engine waarbij ze zorgen met caching en info dat de server en de browsers sneller door de mappen kunnen browsen.
  9. Automatisering
    Hiermee doelen we op het automatisch maken van backups op geregelde tijden.
  10. Upload map
    De upload map is altijd al een zwakke plek geweest aangezien die schrijfbaar moet zijn en vaak gebruikt wordt door plugins om info naar te schrijven. Het blokkeren van php uitvoer-rechten is dan ook essentieel.
  11. Readme
    De readme.html heeft mij altijd al geïrriteerd. Vooral omdat die de versie van WordPress vermeldt en bij iedere update en zelfs bij ge-automatiseerde updates weer in de root geplaatst wordt.
  12. Theme-editor
    De theme-editor kan handig zijn bij het ontwikkelen van je website of thema, maar daarna kun je die functie het beste uitschakelen en desnoods met de ftp editor wijzigingen maken.
  13. Salts aanpassen
    De salts staan in de wp-config en zorgen ervoor dat je gemakkelijker in kan loggen. Vooral voor bots is het goed als deze salts verwisseld worden.
  14. Logins view
    Kunnen zien wie ingelogd is op je admin is handig, je kunt zien of bepaalde gebruikers of zelfs beheerders in je website zijn geweest. Maar ook als een hacker een gebruiker aangemaakt heeft en ingelogd is.
  15. Site info
    De informatie van je server en de technische informatie vertelt je welke PHP versie er draait, en hoeveel geheugen je WordPress website heeft om te werken.
  16. Bestands rechten
    Het aanpassen van de bestandsrechten voor bepaalde mappen en bestanden is nodig. Denk aan de Htaccess en de wp-config, aan de themes map en de uploads map. Het is ook belangrijk dat de weergave of de schrijfrechten voor de mappen goed staan.
  17. Datalogging
    De datalogging laat je zien welke bestanden aangepast of aangemaakt zijn. Enorm belangrijk aangezien een nieuw bestand mogelijk een spam bestand kan zijn. Weten waar de nieuwe bestanden staan en welke bestanden gemodificeerd zijn, is essentieel.

Welke plugin onze voorkeur heeft

WPbeveiligen heeft een groot aantal beveiligingsplugins getest. Waar Wpbeveiligen de beste ervaring mee heeft, is Ithemes Security. Deze plugin geeft een helder overzicht van de punten die beveiligd moeten worden en rangschikt deze op prioriteit. Tevens heeft Ithemes security 1 grote settings page waar alles in 1x ingesteld kan worden. Dit is wel zo fijn als je dagelijks websites beveiligd en dus de securityplugin moet instellen.

Overzicht is het belangrijkste als het gaat om beveiliging. Je website gemakkelijk monitoren en beheren met krachtige tools zorgt ervoor dat je: “door de bomen het bos weer ziet”.

De beveiligingsplugins instellen

Het is belangrijk de plugins voor de beveiliging correct in te stellen.
Als alle mogelijkheden van de beveiligings plugin aanvinkt, krijg je conflicten, errors met de server of meerdere meldingen per uur.

Ik zie bij 2 op de 10 websites die ik voor klanten beveilig, dat ze meerdere plugins hebben geactiveerd in de hoop dat de hackers er dan niet in komen. Dit is niet effectief en helaas geen oplossing tegen hackers. Daarnaast gaan de plugins elkaar deels tegenwerken, zo benadelen ze daardoor de server en dus de snelheid van je website.

Stel je voor wat er gebeurt als 3 plugins elke bezoeker opslaan in een log bestand, als ze alle IP adressen opslaan van elke bezoeker en onafhankelijk van elkaar gebruikers en IP adressen en bestandsrechten gaan blokkeren.

Je website goed laten beveiligen

Als je geen zorgen wilt hebben over het beveiligen van je WordPress website kun je dit door ons laten uitvoeren. Je krijgt standaard een maand garantie die verlengbaar is en WPbeveiligen gebruikt de kennis van tientallen jaren om je WordPress goed af te stellen en de huidige functionaliteiten in tact te houden.

Klik hier om je WordPress website voordelig en professsioneel te laten beveveiligen.

Featured image for Wat is een backdoor in WordPress?! in category BEVEILIGEN

Wat is een backdoor in WordPress?!

/2 Reacties/in , , , ,

Backdoors zijn ontzettend irritant!

Zo, om even met de (achter) deur in huis te vallen 😉

Maar wat is een backdoor eigenlijk?

Een backdoor is een stukje code wat ervoor zorgt dat een hacker of een script toegang heeft tot je WordPress admin of tot je server.
Dit kan een bestand zijn dat de gegevens van je wp-config doorgeeft via de mail, of de ftp gegevens.

Welke gegevens je in de wp-config vindt

Hier staan je database gegevens. Als een hacker of script toegang heeft tot je database kan het pagina’s aanmaken en berichten en zelfs een nieuwe administrator gebruiker!

Wat een hacker of script met de FTP gegevens kan doen met je website

Dit zijn de gegevens waarmee meerdere bestanden geplaatst kunnen worden. Die bestanden kunnen login gegevens doorsturen via de e-mail of spam versturen.

Is er geen Nederlandse benaming voor een “backdoor”?

Jawel, dit is simpel gezegd achterdeurtje. Maar je kunt van de statistieken aannemen dat er meer internationale programmeurs zijn die Backdoors programmeren dan Nederlanders.

Hoe vind je een backdoor?

De meest effectieve manier om een backdoor te vinden is het vergelijken van de WordPress core bestanden en de server bestanden. Op NERD niveau weet ik uit mijn hoofd welke bestanden (wp- staat er o.a in de core voor) er in WordPress horen te staan dus zie ik nieuwe bestanden direct. Vooral omdat hacks internationaal zijn en dan van die rare bestandsnamen hebben.

Waarom heb je het steeds over een hacker OF script?

Als je een belangrijke website hebt, wil een hacker nog de moeite doen om je WordPress website persoonlijk te hacken en een backdoor te plaatsen. Maar 95% van de aanvallen op websites en de geplaatste scripts/backdoors zijn geautomatiseerd door scripts geplaatst.

Als je veel moeite hebt gedaan om een website te ontwikkelen, en wellicht door een ontwerper in Photoshop een mooi ontwerp hebt laten maken en deze hebt laten implementeren, ben je vaak van mening dat dit professioneel gedaan is en je website niet snel gehackt zal worden. Zeker niet door een $t0mme robot! Maar helaas de realiteit is anders. Ook al hebben de ontwikkelaars en programmeurs verstand van WordPress.. beveiliging is een hele andere wereld! En ik kan het weten. Ik ontwikkel al 10+ jaar websites maar elk jaar dat ik dieper de wereld induik van hackers en code, leer ik meer, en vooral: verbaas ik me over de creativiteit van hun codering.

Ik heb de backdoor verwijderd. Probleem opgelost?

Nee!! (sorrie)

Een backdoor is neergezet via een lek in de plugins of de server of WordPress, dus die komt er net zo snel weer in als dat je hem verwijderd hebt. Lang leve de ge-automatiseerde digitale wereld..

Kan WordPress niet beter beveiligd worden?

Jawel, daarvoor moet gekeken worden welke plugins je gebruikt en welke lek zijn. En als je WordPress enorm achter loopt, moet die worden ge-update.

Wat doen jullie van WPbeveiligen dan tegen backdoors?

  1. Opzoeken
  2. Bestand-voor-bestand nakijken
  3. WordPress opnieuw installeren
  4. Plugins verwijderen en opnieuw op de server zetten
    Alleen updaten zorgt er NIET voor dat hack-bestanden en backdoors verwijderd worden
  5. Beveiligings en monitoring plugin installeren en configureren
  6. Bestandsrechten corrigeren
  7. Usernames controleren op rechten
  8. En meer, maar een hacker hoeft ook niet alles te weten!
Featured image for Waarom je niet gemakkelijk van een WordPress hack af komt in category BEVEILIGEN

Waarom je niet gemakkelijk van een WordPress hack af komt

/2 Reacties/in , , , , ,

Hackers zijn heel creatief in het maken van scripts die niet worden herkend door de server, WordPress of plugins zoals WordFence  & Ithemes security.

Een hackers schrijft zulke scripts om via jouw website reclame te kunnen maken voor zijn eigen website waar hij gesponsorde reclame toont of producten verkoopt.

Jouw website gebruiken om bezoekers te krijgen kan op diverse manieren, als je dit artikel verder leest, weet je direct waarom een beveiligingsplugin gebruiken om je website te scannen niet voldoende is om van een hack af te komen.

WordPress hack 1: de cookie methode

Door middel van een cookie zorgt het hackscript ervoor dat het slechts 1x per gebruiker actief geladen wordt. Door die eenmalige activatie ga je er als website eigenaar bij het testen vanuit dat de hack weg is, als het je überhaupt al de eerste keer opgevallen is. Het script zorgt er ook voor dat het alleen actief wordt wanneer een user agent aangegeven wordt. Kortom, de server die geen Chrome of mobiel is zal geen actief script tegen komen.

WordPress hack 2: de base64/eval methode

De code wordt geschreven in een gecodeerde php taal. Hierdoor merken diverse scanners niet welke functies er uitgevoerd worden in een php bestand. Het zijn cijfers en letters waardoor je de output van de code niet kunt gebruiken om de source op te sporen en aan te passen door middel van een reguliere search & replace.

base64-voorbeeld

Voorbeeld van een stuk Base64 code

WordPress hack 3: de admin methode

Als eigenaar van de website is de kans groot dat je ingelogd bent op het afmin panel van WordPress.

Hier houden hacks rekening mee, door zichzelf uit te schakelen wanneer een administrator aangemeld is. Zo werken de beveiligingsscanners dus ook minder effectief of zelfs helemaal niet.

WordPress hack 4: de iframe methode

Door het inzetten van 1 simpele regel code kan een dynamisch iframe geladen worden waar later elke pagina mee opgeroepen kan worden.

Doordat deze via javascript geladen wordt staat deze code niet op de plek waar hij een zichtbare output in de broncode krijgt.

En om het dan nog erger te maken wordt er vaak rekening gehouden met de host user waardoor niet elke browser de iframe toont.

Door middel van wat inline code wordt de iframe aan het zicht onttrokken.

WordPress hack 5: De Htaccess methode

Je zou hem gemakkelijk over het hoofd kunnen zien. In je root staat de Htaccess. Dit is een bestandje die de browser kan doorverwijzen naar andere pagina’s. De truc die vaak wordt gebruik is het doorverwijzen van enkel android toestellen naar een domein waar een bestandje draait die bij elk bezoek doorverwijst naar een andere website uit de lijst met malware sites. Op de pc zie je er niets van en wordt je niet doorgestuurd.

Naast deze 5 methodes die we net besproken hebben zijn er nog veel meer mogelijkheden die de servers toelaten om bezoekers om te leiden naar malafide websites. Voor de gewone programmeur zijn deze methodes onbekend en om die redenen kom je niet zomaar van een hack af.

Als beveiliger van WordPress websites heb ik een groot aantal trucs gezien en gaat er een belletje rinkelen als de reguliere opschoningstechnieken zoals grondig speuren + updaten + verwijderen + scannen niet oplevert.

Op zulke momenten worden de hi-tech trucs gecontroleerd.

Om jezelf wat slapeloze nachten te besparen en dagen research, kun je altijd contact opnemen met WPbeveiligen.

Met standaard garantie en mogelijkheden om de service van WPbeveiligen uit te breiden naar een garantie van 3, 6 of 12 maanden, ben jij zeker van een beveiligde website zonder dat je zelf alle kennis in huis moet hebben om preventief en actief de hackers en virusscripts tegen te houden.