Featured image for Wanneer heb je te veel plugins? in category BEVEILIGEN

Wanneer heb je te veel plugins?

/4 Reacties/in , , ,

Om direct veel website-bouwers op de kast te jagen: 30+ plugins is te veel.

De klant heeft natuurlijk wensen,
De website moet een snelle Ferrari zijn met de laadruimte van een vrachtwagen en het zitcomfort van de trein.

Hoeveel plugins is gebruikelijk?

10 tot 20, maximaal!
Liever 10 dan 20.

Waarom zou je het aantal plugins beperken?

Elke plugin laadt een stuk code in, en maakt de website zo een stukje trager.
Dan hebben we het nog niet eens over plugins die van mindere kwaliteit zijn, die kunnen je website met secondes vertragen.

Goh, wat is nou een seconde

Als je website binnen 4-5 seconen laadt is het geen probleem. Maar elke plugin voegt daar 0.1 tot 0.3 seconden aan toe.
Als je 30 plugins aan hebt staan en je website er 8-12 seconden over doet om te laden, haken de bezoekers af.
Google zal je website ook een lagere ranking in Google geven.

Hoe beperk ik het aantal plugins?

  1. Maatwerk – zet niet voor elke functie een plugin in.
  2. Voorkom dubbele plugins – Yoast SEO is goed, je site wordt niet beter gevonden met 3 seo plugins.
  3. Bedenk van tevoren wat je website moet kunnen – dan kan de programmeur daar rekening mee houden

Veiligheid

Naast de snelheid van de website is de veiligheid ook ver te zoeken met 30+ plugins.
Waarom?

Wekelijks raken plugins lek, vinden hackers manieren om je website over te nemen of vol te zetten met reclame.
Check deze website maar eens: https://wpvulndb.com/plugins

Ik wil een snelle website èn een veilige website – maar ook veel functies!

De snelheid van je website
Neem dan een goed hostingpakket, denk aan een VPS (Virtual Private Sercer), DDS (Dedicated) met SSD (Solid State Drive) en voldoende ram geheugen. (Vergeet de CPU niet maar met een dds zit dat vaak wel goed)
Technisch verhaal, vraag maar aan de webhoster.

De veiligheid van je website
Laat je website beveiligen en beheren. Wij controleren of de plugins nog veilig zijn, houden ze up-to-date en houden je website in de gaten. De blacklists, snelheid en meer!

Een goede programmeur
Een goede programmeur weet wat hij doet, en hoe hij je website snel kan houden. Als je een uitgebreide website wilt met veel functies is een goede programmeur onmisbaar!

Featured image for Het experiment: Een nulled beveiligingsplugin downloaden in category ANTIVIRUS

Het experiment: Een nulled beveiligingsplugin downloaden

/5 Reacties/in , , , , , , ,

Als je nog niet bekend bent met Nulled plugins: het zijn “gratis” premium plugins die malware bevatten.
Nulled plugins worden door criminelen gekocht, voorzien van malware en dan gratis aangeboden.

De paradox

Een antivirus plugin die hacks en hackers buiten moet houden, die gehackt is?!

Dat is hetzelfde als een beveiliger in je winkel zetten van Dief & Co

Een beveiliger die iedere ochtend netjes op tijd komt met een lege rugtas, graag overwerkt en met een volle rugtas weer naar huis gaat.

Schijnveiligheid!

Het bijzondere is nog dat er genoeg mensen zijn die illegaal premium plugins downloaden zonder daar netjes voor te betalen en dus in de val van de hackers trappen.
Velen hebben niet door dat de website vanaf het moment dat de plugin actief wordt, spam verstuurt of bezoekers de eerste sessie doorsturen naar een website waar je kunt gokken of andere vreemde items kunt kopen.

Dat is nadelig voor je positie in Google en voor je omzet aangezien je bezoekers jouw website zo niet te zien krijgen.

Het experiment

Wij krijgen geregeld te maken met WordPress sites die gehackt zijn doordat de programmeur de plugins niet netjes gekocht heeft maar gewoon illegaal gedownload heeft.
Het leek ons interessant om eens te kijken wat we binnenhalen als we een Nulled plugin voor de beveiliging van WordPress downloaden.

Ervaring
We hebben veel te maken met gehackte websites en weten exact wat we doen. We raden het NIET aan om illegale of Nulled plugins of andere software te downloaden.

Maatregelen
Uiteraard hebben wij geen zin in virussen en we willen natuurlijk geen problemen met de server.
Om die reden downloaden we de Nulled plugin op een virtuele computer en zetten we de plugin op een afgesloten server.

Het vinden van een Nulled plugin
Er is niets makkelijker dan googlen en een Nulled plugin downloaden. Je kunt het zo gek niet bedenken of ze bieden het aan. De nieuwste releases en de duurste plugins.

Maar.. laat je niet in de maling nemen, hoe betrouwbaar en professioneel de website er ook uit ziet: de plugins bevatten hacks!

Het is de eerste download al raak!

De eerste Nulled plugin scan ik met VirusTotal. Het is direct raak.

Wat je op de onderstaande screenshot ziet zijn de meest rotte hacks: trojans & backdoors.
Trojans werken stiekem op de achtergrond van je website zonder dat je het doorhebt.

De naam is afgeleid van het paard van Troje. (Wie dat verhaal niet kent, lees het verhaal hier)

resultaat scan

Trojans, backdoors, malware..

Als je de plugin activeert, zet je de toegang naar je server & WordPress volledig open. De hackers of een geautomatiseerd script zullen een seintje krijgen welke website nu weer gehackt (beschikbaar) is.
Ze kunnen werkelijk alles doen wat ze willen:

  1. Betaalgegevens aanpassen in WooCommerce naar hun eigen illegale bankrekening
  2. Gebruikersnamen en wachtwoorden opslaan en doorsturen
  3. Reclame tonen
  4. Teksten aanpassen
  5. Bezoekers doorsturen
  6. En nog veel meer..

Maar er is toch serverbeveiliging?

Je zou zeggen dat de beveiliging van de server, van de webhost dit toch wel doorheeft!
Maar dat is niet zo. De server scant wel bestanden, maar de truc is dat de plugins de code fragmenteren en uitvoeren middels bepaalde volgordes. Die volgorde kent alleen de plugin zelf waardoor de server die niet kan of zal uitvoeren om erachter te komen dat er ongewenste code in staat.

De code wordt naast de fragmentatie ook nog eens in een onleesbare taal geschreven die alleen uitgevoerd kan worden door de hack zelf.
Het resultaat is tevens niet te beoordelen als zijnde wel-of-niet gewenst aangezien php veel serverrechten heeft.

Alleen de meest opvallende en veelvoorkomende hacks worden gedetecteerd waarna ze weggeschreven worden als “suspected”.

Hacks hebben wel de gewoonte om de serverkracht uit te buiten, en alles op volle toeren te laten draaien. Wanneer de hoster daar achter komt, zullen ze je hostingpakket uit zetten totdat je het probleem opgelost hebt.

De hoster kan overigens niet verantwoordelijk gehouden worden voor hacks die in jouw website zitten. Je huurt te webruimte, en als je die niet goed beheert of om welke reden dan ook gehackt wordt, is het aan jou om dit op te lossen.

Aangezien dat ingewikkeld is, heb je hulp nodig of moet je het herstellen van je website laten uitvoeren door professionals.

We graven dieper in de plugin

We zijn even afgedwaald maar we graven dieper in de plugin om te zien waar die trojans en backdoors zitten. Kunnen we ze vinden?

Op zoek naar gefragmenteerde en gecodeerde code
Vaak worden serveropdrachten gecodeerd in Base64 en daarna uitgevoerd met Eval. Dat is het eerste waar we op zoeken.
We zien enkele regels code verschijnen (notepad++ Find in files).
Maar die lijnen code zien er onschuldig uit.

Opvallende bestanden
Een techniek die we toepassen wanneer we een gehackte website herstellen is door simpelweg te kijken naar opvallende bestanden.
Vreemde bestandsnamen of php bestanden die niet in bepaalde mappen (Zoals de css map) thuishoren verraden vaak de malware/hacks.

We sluiten een map uit met css, een map met afbeeldingen en een map met txt’s.
Maar niet zo vlug, de afbeeldingen worden ook wel eens uitvoerbaar gemaakt!! (Wij zien geen php extenties in de afbeeldingen en gaan dus verder)

Uitsluiten van bestanden
We hebben diverse bestanden uitgesloten, en besluiten de overige bestanden nog maar eens te scannen.

Het valt op dat 2 van de 12 antivirusdiensten met het aanpassen van de naam al niet meer doorheeft dat het om de eerder geteste malware gaat.

Kortom, ze stellen vast dat een plugin vals is en onthouden alleen de naam zonder de inhoud vaker te scannen.
Dat is ook een van de redenen waarom hacks/virussen zo lang kunnen doorgaan, wanneer er kleine wijzigingen in code of volgorde-van-uitvoeren aangebracht worden, zijn ze onherkenbaar voor diverse antivirus diensten.

Een paar mappen diep
Veel hacks zitten een paar mappen diep, zodat ze minder snel gevonden worden. Ergens tussen de “images” de “uploads/2015/etc” of  “includes/colors/etc”
In dit geval niet, de trojans hebben ze direct in de “core” bestanden van de beveiligingsplugin gezet.

Gevonden!

Uiteindelijk hebben we de hacks gevonden, de code was netjes geschreven.
Er is goed over nagedacht, er zijn meerdere alternatieve methodes ingezet om je website open te zetten voor de rest van de wereld (en vooral voor de hackers zelf).

De code tonen we uiteraard niet.

Conclusie

Nulled plugins bevatten nog steeds trojans. Bij deze soort van hacks is de code netjes weggewerkt met opmaak zodat hij niet te onderscheiden is van de reguliere code.

We doen binnenkort nog meer tests, zoals:

  1. Heeft de antivirus plugin door dat het zelf een hack/virus bevat?
  2. Kunnen andere antivirus plugins de hack vinden in deze plugin?

Blijf op de hoogte van de nieuwste berichte via Linked-in, of via onze nieuwspagina!

Side-note 1: hackers

En het mag duidelijk zijn dat hackers en hun criminele activiteiten niet gewaardeerd worden.
De romance van een hacker zoals je die in films ziet, is niet hoe het in de realiteit eraan toe gaat.

Een hacker is iemand die anderen benadeelt om zelf wat winst te maken.
Het frustreert de eigenaren van de website, het frustreert de webhosting en uiteindelijk kost het geld en tijd.

Side note 2: Illegale downloads

Tja, als je er zelf voor kiest om iets illegaal te downloaden.. ben je eigenlijk net als de hackers.
Je probeert je voordeel te doen met een plugin of thema zonder de maker ervan zijn verdiende geld te geven.
We hebben allemaal wel eens iets gedownload van internet toch?

Maar nu weet je in ieder geval wat je NIET illegaal van internet moet downloaden.

Ps: wij kopen software waar we mee werken netjes. Al is het maar om problemen te voorkomen 😉
Veiligheid boven alles!

Featured image for Help mijn WordPress is gehackt! in category BEVEILIGEN

Help mijn WordPress is gehackt!

/8 Reacties/in , , , , ,

Je hebt misschien veel geld uitgegeven om een website voor je bedrijf te laten maken in WordPress.
Of je hebt zelf veel tijd geïnvesteerd om een website op te zetten met WordPress.

En dan.. is je WordPress website ineens gehackt

Hoe kan dat?

  1. Is de WordPress website niet goed gemaakt?
  2. Heeft iemand het op jouw website gemunt?
  3. Zijn de inloggegevens gelekt?

99.9% van alle WordPress websites worden gehackt door een virus, script of malware

Dat zijn programma’s die duizenden website tegelijk testen en hacken. Zonder dat er ook maar een persoon aan te pas komt.

Is WordPress zo lek dan?

Nee, WordPress is niet het probleem.

Het probleem is de plugins die gebruikt worden.
De plugins worden niet altijd ge-update en de programmeurs houden de plugins niet altijd veilig.

Plugins zijn vaak de oorzaak van je gehackte WordPress website

Hackers kunnen veel plugins gratis downloaden en testen op beveiligingslekken.

Wanneer hackers een beveiligingslek hebben gevonden in de plugin schrijven ze een script dat dagelijks grote aantallen WordPress websites nakijkt op de aanwezigheid van die plugins waarna er een injectie of commando plaatsvindt via die plugin.

Via plugins kunnen virussen injecties en opdrachten uitvoeren (Technisch)

Injecties? Opdrachten?
Dat zijn de termen die beschrijven hoe een virus, script of stuk malware te werk gaat.

De injectie
Via de lekke plugin wordt er in 1 keer allemaal ongewenste data in je database of op de server geïnjecteerd.
Het kost een virus slechts 1 seconde om reclame in AL je pagina’s en berichten te zetten – vandaar de injectie.

De opdracht
Via een lekke plugin kan een virus opdrachten geven aan de server. Op die manier kunnen diverse bestanden geplaatst worden die malware bevatten.

Denk hierbij aan malware die je server aanzet tot het spammen van andere websites of e-mailadressen van personen.

Mijn WordPress website is simpelweg gehackt, wat kan ik hieraan doen?

De gevolgen van een hack moet je terugdraaien, daarna moet je de WordPress website beveiligen zodat het niet meer kan gebeuren.

Wij doen dit 7 dagen per week, wij verwijderen de hacks en beveiligen WordPress websites voor een vast betaalbaar tarief.
Met garantie. Klik hier als je jouw website snel door WordPress professionals wilt laten herstellen en beveiligen.

wordpress zelf herstellen

wordpress zelf herstellen

Je gehackte WordPress website zelf herstellen

Het stappenplan om je gehackte WordPress website te herstellen:

  1. Stel vast op welke datum je website gehackt is
    Wat is moment dat de eerder genoemde injectie of opdracht is uitgevoerd?
    Dat kun je zien aan de wijzigingsdatum van bestanden op de server, wanneer dat niet duidelijk is kun je je eigen inzicht gebruiken.
  2. Zet een backup terug van minimaal 1 week voordat de hack heeft plaatsgevonden
    Mogelijk kun je een backup terugzetten van het moment dat je website nog niet gehackt is.
    Sommige webhosts bewaren backups van je website, soms 1 week maar soms ook 1-2-3 maanden.
    Houdt er rekening mee dat een backup een stap terug in de tijd is, zo zijn ook nieuwsberichten, gebruikers, woocommerce aankopen en dergelijken bij de oude backup NIET up-to-date. Maak daarom eerst een backup van dit moment voordat je er 1 terugzet.
  3. Controleer de website op verdachte bestanden en activiteiten & backdoors
    – Kijk welke bestanden er op de server staan, of die er wel thuishoren.
    – Kijk welke gebruikers er administratierechten hebben en of dit wel klopt.
    – Verwijder backdoors.
    Er worden geregeld backdoors geplaatst, nog voordat een hack werkelijk zichtbaar wordt. Die backdoor is letterlijk een open deur voor de malware om de injectie en opdrachten weer uit te kunnen voeren.
  4. Update je WordPress, plugins en het thema
    Zorg ervoor dat alles up-to-date is.
    TIP: Wij vervangen de plugins en WordPress vaak volledig op de server voor nieuwe downloads, zo weet je zeker dat er geen ongewenste bestanden of lijnen code op de server staan.
  5. Meld je website aan bij Google webmaster tools
    Ga in de webmaster tools van Google naar het beveiligingscentrum en kijk of de website daar niet als gehackt bekend staat.
  6. Controleer je website gratis bij Sucuri
    Scan je website met de Sucuri Malware Scanner

Is je gehackte WordPress website nu hack-vrij?

Als je gehackte website nu hack-vrij is en je zeker weet dat hack-bots geen toegang hebben tot je website, begint het beveiligen.

  1. Controleer je plugins op beveiligingslekken
    Op wpvulndb.com is een zoekfunctie waarmee je kunt kijken of je plugins momenteel lek zijn. Of dat ze vaak gehackt zijn in het verleden. Als een plugin onveilig is, kies dan een alternatief.
  2. Installeer en configureer een beveiligingsplugin
    Een beveiligingsplugin houdt veel hack-bots tegen. Het is wel belangrijk om hem goed in te stellen, neem daar de tijd voor.
  3. Monitor je website wekelijks of minimaal 1 keer per maand
    Kijk de logboeken van de beveiliging geregeld na, van de server om te zien of alles nog goed gaat.

Heb je geen tijd om je website na te kijken?

Om de logboeken te lezen? Om Google webmaster tools of andere scans te doen?

Laat dat aan ons over! Voor een voordelig maandelijks tarief zorgen wij voor je WordPress website.
Wij werken 7 dagen per week met WordPress, al meer dan 10 jaar.

Kies voor gemak en zekerheid: Laat je WordPress website door ons beveiligen.

Featured image for Security Ninja voor WordPress (Review) in category BEVEILIGEN

Security Ninja voor WordPress (Review)

/4 Reacties/in , , , ,

We testen de gratis versie van Security Ninja.
Je kunt de plugin gratis downloaden op de website van WordPress.org

Wat is Security Ninja?

Security Ninja profileert zich als een uitgebreide test.
50+ tests moeten uitwijzen hoe het ervoor staat met de veiligheid van je WordPress websites.

Security Ninja in de praktijk

Na het installeren van Security Ninja zie je een net overzicht (in het Engels).
De kleuren spreken voor zich, groen is in orde. Oranje is een tip en rood is een punt dat je moet corrigeren.

Als je op de details klikt krijg je een mogelijke oplossing voor het probleem.
Bij de pro versie kan Security Ninja daadwerkelijk de problemen oplossen, bij deze gratis versie helpen ze je op weg om het zelf op te lossen.

De beschrijvingen zijn duidelijk, als webmaster kom je er met die hulp wel doorheen. Ben je niet ervaren met de server, ftp, code?
Dan is het te ingewikkeld. De aanpassingen zijn technisch en belangrijker nog, je moet geen fouten maken omdat je website onbruikbaar kan worden.

Zoals ze dan ook aanraden bij de stappen: maak eerst een backup!!

Voorbeeld security ninja

De gratis versie houdt hier op.

Security Ninja PRO

In de pro versie zitten de onderstaande functies:

  1. Core scanner
    Deze functie controleert de bestanden van WordPress op ongewenste code (malware).
  2. Cloud firewall
    Controleert inkomende aanvragen op IP, stopt brute-force aanvallen en mogelijke hackbots.
  3. Auto Fixer
    Voert aanpassingen door in je website met 1 muisklik. Scheelt tijd en het risico dat je fouten maakt tijdens het aanpassen.
  4. Database optimizer
    Je database onthoudt meer informatie dan nodig is, de database optimizer geeft je de mogelijkheid overbodige info te verwijderen.
  5. Malware scanner
    Deze malware scanner controleert bestanden op veelvoorkomende hacks. Op code die vaak gebruikt wordt door hackers en bots.
  6. Events Logger
    De Event logger houdt bij wat er gebeurt in je website. Wanneer gebruikers aanpassingen maken en welke aanpassingen.

Conclusie

De gratis versie geeft je een mooi overzicht maar alles in deze plugin stuurt vooral aan op de pro versie van Security Ninja.

Goed:
+ Duidelijk overzicht
+ Maakt geen directe aanpassingen aan je website
+ Helpt je op weg met oplossingen voor de problemen

Jammer:
– Enkel informatief, geen actie
– Malware Scanner is pro (betaald)
– Niet in het Nederlands

Wordt vervolgt

De pro versie is slechts $29 per jaar per website, dat is een nette prijs.
We zullen de pro versie ook testen om te zien hoeveel daarmee te bereiken is.

Featured image for De grote caching test - De voorbereiding in category BEVEILIGEN

De grote caching test – De voorbereiding

/4 Reacties/in , ,

In dit artikel zullen we er alles aan doen om een nieuwe WordPress website zo traag mogelijk te maken. Tegen al onze principes in gaan zetten we zoveel mogelijk plugins aan om een laadtijd van 5 seconden te krijgen met zoveel mogelijk uitvoerende Javascript, PHP & CSS processen.

Dit experiment dient om de cache plugins ultiem te testen en zo te zien welke het beste functioneert onder grote druk!

De start

1 vlotte server, 8 gig ram Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz (Er draaien momenteel meerdere sites)

1 nieuwe WordPress installatie met het standaardthema van WordPress 2017

Gebruikte testmethode:
– Google Developer Tools (Network view)
– Herladen zonder browsercache!

Bij deze tests is niet gebruik gemaakt van Pingdom of GTmetrix aangezien die diverse factoren hebben waardoor onjuiste informatie weergegeven worden.

Snelheid na verse installatie:
800 ms (milliseconden, ook wel 0.8 seconden)

Nu weten we allemaal dat geen enkele WordPress website zonder plugins draait.
Uit eerdere test hebben wij geleerd dat iedere plugin 0.3 tot 1 seconden toevoegt aan de laadtijd.

Hieronder het verslag van de plugins we ingezet hebben, en de laadtijden die erbij gekomen zijn.

WooCommerce +0.3 seconden (Nog zonder weergave van producten etc)
WordFence +0.2 seconden
Count per day +0.1 seconden

We hebben de winkelmand en de bezoekersteller op de testpagina gezet, maar de site is niet traag te krijgen.
Met de wetenschap dat de meeste websites tussen de 3 en 9 seconden nodig hebben om te laden, hebben we nog een lange destructieve weg te gaan om de caching plugin goed te kunnen testen.

We gaan we er nog wat plugins en data inzetten!

We verhogen de grootte naar 432KB met een mooie afbeelding van de zon die goed is voor 110KB.
snelheid

 

 

Dan een contactformulier (Contact form 7) erbij +0.1 seconden

Daarna Yoast SEO erbij waarmee er wel een paar requests bijkomen maar nog steeds geen spannende laadtijd met: 1.65 seconden.

wordpress caching
Hier zal geen bezoeker op afhaken en ook Google pagespeed insights vindt het nog oké.

 

 

 

 

 

 

 

 

 

Conclusie tot nu toe, 5 plugins op een WordPress website zijn nog geen enkel probleem.

We gaan de druk verder opvoeren!

Het wordt tijd voor het grove geschut, een Nextgen gallery met 10 afbeeldingen. Nextgen maakt daar 10 nette thumbs van en laadt de afbeeldingen pas na klikken met een lightbox. Dikke pluim voor Nextgen 😉

snelheid wordpress website

 

 

 

Je ziet dat de website qua data omhoog geschoten is naar 887KB maar de server laadt de website nog veel te snel voor deze test, 1.82 seconden.

Voor deze test voegen we nog maar even een mooie tekst van 442 woorden toe via Lorum Ipsum.

Een tekst van 400 woorden telt 3 kB, wat zo goed als geen vertraging oplevert.

Een pagina van 2 meter

We hebben nu een pagina van 2 meter met een contactformulier, een grote foto, een slideshow. En niet te vergeten een verhaal van 400 woorden.

De website laadt nog binnen 2 seconden..

Waarom zijn die caching plugins dan zo nodig??

Er worden in veel websites zonder schaamte 30-40 plugins gebruikt. Of de afbeeldingen worden niet gecomprimeerd.

Hoe-dan-ook, je bent hier gekomen voor de grote caching test.. we moeten dus nog even door!

Van 2 naar 5 seconden laadtijd?

We gooien er nog een Youtube video tegenaan (iFrame embedded) en zitten op een 2.15 seconden

youtube screen

 

 

Enn.. Een Polls plugin, Cookie popup Tawk to live chat, Slider WD

We zitten nu nog steeds aan een redelijk snelle laadtijd van 3 seconden!

Wel hebben we 100 requests gehaald (Aanvragen / te laden objecten) die de website vertragen.
Op een nette manier krijgen wij de website niet traag, nu gaan we over tot het activeren van nog 10 plugins die we middels widgets en [shortcodes] op de pagina tonen.

 

122 requests, load 4.58 seconden (Let niet op de finish time, die loopt op moment van lezen nog steeds op door de slider)

 

Wat ons betreft is het “Tijd” om de cache plugins te testen!

De caching plugins,  waar testen we die op?

Waar gaan we op letten?
De snelheid is vanzelfsprekend maar we gaan vooral letten op het aantal requests.
Dat is namelijk wat een caching plugin doet: Het samenvoegen en voor-berekenen van scripts zodat je de berekende data zo snel mogelijk met zo min mogelijk serverbelasting/serveraanvragen op je scherm krijgt.

En natuurlijk,

Werken de plugins nog? Laadt de website nog goed? En, hoe zit het met al die Javascript & CSS bestanden die samengevoegd worden? Breekt dat de styling niet op?

Deel 2 zal hier verder op ingaan.

 

Featured image for WordPress plugins, het thema en de beveiliging onderhouden in category BEVEILIGEN

WordPress plugins, het thema en de beveiliging onderhouden

/2 Reacties/in , , , , , ,

WordPress is een gratis Open Source software wat je moet onderhouden om te zorgen dat hackers geen kans krijgen. Denk hier niet aan hackers die zich persoonlijk op je website richten maar aan de geautomatiseerde scripts die met Google speuren naar verouderde plugins en thema’s met lekken.

In dit artikel leggen we uit welke onderdelen van WordPress onderhouden moeten worden en hoe je dat onderhouden geregeld kunt doen zonder het risico te lopen dat je meer problemen veroorzaakt dan dat je voorkomt.

WordPress plugins onderhouden

Zorg ervoor dat je zo min mogelijk plugins gebruikt en verwijder plugins die je niet gebruikt, ook al staan ze ge-deactiveerd!

inactieve-plugin

Niet alle plugin updates zijn direct nodig

Er komen maandelijks, wekelijks en soms zelfs dagelijks nieuwe updates uit voor plugins.
Maar het betekent niet dat alle updates even belangrijk zijn. Veel plugin updates brengen alleen nieuwe mogelijkheden of bufixes en zijn dus niet van direct belang voor het veilig houden van je WordPress website.

Update de plugins geregeld, denk aan elke 3 maanden. Tenzij je leest dat er een lek gevonden is is bij een specifieke plugin die je gebruikt.

WordPress thema’s onderhouden

wordpress thema

Als eerste moet gezegd worden je alleen het actieve thema op je server moet laten staan. Niet alle thema’s die je ooit een keer geprobeerd hebt 😉 Hackbots checken de server namelijk op thema’s met lekken en gebruiken die als ingang om je website te vullen met Malware.

Zeker de thema’s die standaard bij WordPress meekomen, kun je verwijderen (mits niet in gebruik).
Denk hierbij aan het twentyten, twentyeleven, twentytwelve.. etc

Je kunt de thema’s via de FTP verwijderen maar ook door op de themadetails van het thema te klikken De Themadetails knop verschijnt als je met de muis op de thumbnail gaat staan, daarna zie je rechtsonder een link “verwijderen”.

WordPress “core” onderhouden

Er komen maandelijks, soms zelfs wekelijks updates uit. Niet elke update is relevant voor de veiligheid. Wacht even een dag met updaten aangezien er soms bugs/fouten in de nieuwe releases voorkomen.

Lees hier op WordPress.org wat voor update het is, een beveiligings-update of een upgrade van nieuwe mogelijkheden.

De server onderhouden

Als je een Shared pakket hebt
Dit is het instap-model voor enkele euro’s per maand. Je staat met diverse anderen op 1 server en wanneer die gehackt worden, zal de snelheid van jouw website er ook onder lijden. Tevens kan het gedeelde IP adres op de Blacklist komen wat ervoor zorgt dat je mails niet meer aankomen.

Voordeel is wel dat de hoster de software up-to-date houdt. Je hoeft zelf dus niets te onderhouden.

Als je een Managed VPS hebt
Met een Managed VPS zit je doorgaans goed. De server wordt dan door de hoster ge-update en voorzien van belangrijke veiligheids-patches.

Een un-Managed VPS
Als je een “unmanaged” VPS hebt, betekent dit dat er geen onderhoud aan zal worden gedaan door de webhoster. Je bent zelf verantwoordelijk voor het onderhouden en updaten van php, centos etc.
Kies dit pakket alleen als je verstand van Linux of ISS hebt inclusief shell.

Een goedkope webhoster
Sommige budget-hostingpartijen zijn traag met updaten, en zo kunnen bekendgemaakte lekken op de server gebruikt worden om virussen in je website te zetten. Dat wil je voorkomen aangezien die lastig te vinden zijn en het verwijderen veel werk kan zijn.

De beveiliging onderhouden

De beveiliging van je WordPress website is enorm belangrijk. Cybercrime is 1 van de grootste veroorzakers van problemen met WordPress – het is een wereldwijd probleem dat zelfs grote banken zoals de ING en de Rabobank treft, maar dat terzijde.

De beveiliging van je website start met 1 goede plugin. We leggen de nadruk op 1 plugin aangezien we geregeld zien dat er meerdere plugins tegelijk ingezet worden wat alleen maar zorgt voor problemen.

Als de beveiliging goed ingesteld is kun je de updates van die plugin het beste zo snel mogelijk doorvoeren.

Tevens is het belangrijk de logboeken geregeld na te kijken om te zien of alles nog goed gaat.
Schrik hier niet van alle aanvallen, dat is standaard bij elke WordPress website die op Google te vinden is.

Een goed onderhouden beveiligingsplugin hoort 99% van alle aanvallen tegen te houden.

Tot slot

backupAls je alles goed onderhouden hebt kan er altijd nog iets gebeuren, maak daarom backups!

Featured image for De reactie's uitzetten in WordPress in category BEVEILIGEN

De reactie’s uitzetten in WordPress

/3 Reacties/in ,

Wordt je ook zo moe van die reacties?
Ze zijn vaak in het Engels geschreven en maken reclame voor producten die je nooit zult kopen!

Wanneer je de reactie mogelijkheid uitgezet hebt in WordPress komen de reacties alsnog in je admin tevoorschijn 🙁
Zelfs als er geen reactieformulieren op je pagina’s en berichten staan.

Volg deze 4 stappen en zie de reactie’s nooit meer terug:

  1. Ga naar Plugins » Nieuwe plugin in je WordPress admin
  2. Vul disable comments in bij de zoekbalk
  3. Klik op installeren, en daarna op activeren
    reacties verwijderen

 

Vergeet stap 4 niet!

Nu je de plugin actief is moet je hem nog even instellen bij Instellingen » Disable comments

Je kunt kiezen om de Reacties overal uit te zetten, of specifiek per pagina of bericht.
reacties uitzetten wordpress

Als je geen enkele reactiemelding meer wilt zien klik je op “everywhere”.

Yes! Weg zijn al die meldingen over reacties

Dat scheelt weer dagelijks ongewenste reacties verwijderen 😉

Vond je deze tip handig?! Veel mensen met een WordPress website hebben dit probleem, deel deze tip dus met je vrienden zodat ze er ook vanaf komen!

Featured image for Plugins, de zwakke schakel in WordPress in category ANTIVIRUS

Plugins, de zwakke schakel in WordPress

/8 Reacties/in , , , ,

WordPress doet veel aan beveiliging, het bedrijf achter WordPress “Automattic” brengt geregeld beveiligingsupdates uit.
Wij werken sinds 2007 met WordPress en kunnen zeggen dat WordPress altijd 1 van de veiligste Content Management Systemen is geweest en nog steeds is.

Maar de zon schijnt niet overal in WordPress wereld. Met 48.000+ gratis plugins die door onbekende bedrijven & programmeurs gemaakt zijn, heb je ook veel lekke plugins die de zwakke schakel zijn in het waterdichte systeem van WordPress.

Enkele populaire plugins

  1. All in one SEO
    Verbeterd de resultaten in Google
    (2x lek in 2016)
  2. W3 Total Cache
    Maakt de website sneller
    (8x lek in 2016)
  3. Contact form 7
    Maak gemakkelijk uitgebreide contactformulieren
    (laatste 3 lekken in 2014)
  4. Advanced Custom Fields
    Tover WordPress om in geavanceerde bedrijfswebsites
    (2x sinds 2014)

  5. Akismet
    Hou comment spam tegen
    (Laatst 1x in 2015)

Dit zijn slechts 5 willekeurige plugins, maar zo zijn er op moment van schrijven 5194 WordPress Core, Plugin en Theme lekken bekend.

1 of 2 lekke plugins op mijn site is geen probleem. Toch?

Je denkt natuurlijk: wat maakt mij die lekke plugin uit.. wie gaat die nu uitproberen bij mijn website?!

Slecht nieuws: Minimaal 30.000 tot 50.000 computers zijn elk moment actief met het hacken en verwerken 1000 aanvragen per minuut! Volledig geautomatiseerd!

Rekensom:
30.000 pc’s x 1000 = 30.000.000 x 24 uur
Dat zijn 43.200.000.000 hackpogingen per dag

Dan hebben we het alleen nog maar over de thuishackers die met programma’s het internet (google) afspeuren om injecties te doen op plugins.. Tel daarbij nog eens de scripts op die via servers draaien en je wilt niet weten hoeveel websites er per dag uitgeprobeerd worden met succesvol resultaat. (Dus een site waar men reclame op kan tonen)

Al die moeite voor een beetje reclame??

Inderdaad.. als je site eenmaal gehackt is, wordt er alleen maar reclame geplaatst.

Bedenk je alleen wel wat dat doet als een hacker zijn product wekelijks op 1000-en sites kan zetten.. en er een paar mensen zijn die het kopen.
De hacker misbruikt de betrouwbaarheid die sites hebben opgebouwd bij hun klanten.
Wanneer de klant een product bij de webshop van de hacker afneemt verdient de hacker goed geld. Meestal zijn die producten duur, en moet je maar afwachten of ze ook echt aankomen. Kortom, er valt zo veel geld te verdienen in korte tijd zonder inspanning..

Voorkomen dat hackers je website misbruiken

Deze antivirus plugin is speciaal ontwikkeld voor WordPress. De plugin is volledig Nederlands en geeft je een geweldige voorsprong op hackers.

De plugin blokkeert injecties, beschermt je server, toont je wie vals probeert in te loggen in je WordPress. Deze antivirus plugin pakt hackers op 200+ punten aan en zorgt ervoor dat veel van hun pogingen geblokkeerd worden.

Alle sites van ons draaien met de antivirus plugin, wij gunnen de hackers geen kans!

Meer tips wat je kunt doen tegen hacks

  1. Installeer een goede anti-virus voor je WordPress website
  2. Hou je WordPress up-to-date
  3. Installeer geen overbodige plugins en verwijder in-actieve plugins
  4. Zorg dat je server up-to-date is
  5. Kijk geregeld of alles nog goed gaat via Sucuri
  6. Check de plugins die je gebruikt op bekende lekken
Featured image for Help! Ik verkoop niets op mijn webshop?! in category BEVEILIGEN

Help! Ik verkoop niets op mijn webshop?!

/2 Reacties/in , ,

Het wordt enorm onderschat: ,,De klanten op je website krijgen”.

We zien enorm veel websites die miljoenen bezoekers krijgen, die tonnen verdienen. Denk aan Bol.com en duizenden webshops van groot tot klein.

Maar dat is ook direct het probleem! Online heb je duizenden webshops. Alles is te koop!
Je hoort veel verhalen over mensen die rijk werden met hun website. En dus start je ook een webshop, of je hebt er al 1 opgezet.. want het lijkt zo makkelijk.

Je  hebt een product uitgezocht wat jou interesseert of waarvan je overtuigd bent dat anderen dat nodig hebben.
Maar dan loop je tegen de harde realiteit aan, en die kennen wij maar al te goed.
En we gaan je helpen! We gaan je nu informeren! En tips geven om de problemen te voorkomen!

Voor je een webshop begint, vraag je af..

  1. Is mijn product of dienst al te vinden op het internet?
    Ja? kun je concurreren- wil je die strijd aangaan?
    Nee? Heb je de KVK gecheckt, het gegoogled, marktonderzoek gedaan?
  2. Wat is de winstmarge, wat verdien je NETTO aan het product of de dienst.
    Haal ook je investering, benzine, stroom, huur, personeel, alle kosten van de winst af!
  3. Is het een hobby of een zakelijk plan?
  4. Wat ben je bereid te investeren, op te geven voor je doel?

Als je webshop draait zoals je wilt, sta je voor de volgende uitdagingen

  1. Het opstarten van een bedrijf en klantenkring duurt 2-5 jaar. Ja echt!
  2. Klanten klagen ook, je hebt dus ook te maken met problemen. Zelfs als je product of dienst perfect is.
  3. Hoe lang wil en kun je service leveren?
  4. Hoe ga je met slechte publiciteit om?
  5. Waar ga je de klanten vandaan halen?
  6. Hoe zorg je voor blijvende inkomsten?
  7. Waar wil je over 5-10 jaar staan met je bedrijf?
  8. Wat is plan B als het mislukt?

Als je begint met een webshop zie je het graag positief in, vaak te positief aangezien je de nadelen en verantwoordelijkheden nog niet kent. (hopelijk heb je wat geleerd van dit artikel)

Hou er rekening mee dat een online webshop minimaal 60% van alle problemen en uitdagingen heeft die een echte winkel heeft. Ben je daar klaar voor?

Weet jij je te onderscheiden tussen duizenden webshops? Weet je de klant te lokken op het wereldwijde internet?

Het internet lijkt een gemakkelijke start, maar je komt voor veel uitdagingen te staan.

Bereid je goed voor!

En mocht je dan een WordPress website hebben, of willen.. dan weet je ons te vinden.
Wij beveiligen WooCommerce webshops, dat is bittere noodzaak bij WooCommerce & WordPress!

Featured image for Zo kun je een WordPress error oplossen in category BEVEILIGEN

Zo kun je een WordPress error oplossen

/1 Reactie/in , , ,

Een ERROR! Ben je net lekker bezig aan je website staat er ineens een error in beeld. Wat nu?!

Hier lees je alles over de error’s en hoe je die kunt oplossen!

Klik op de error waar jij nu last van hebt:

Het repareren van een error

Je hebt om te beginnen toegang tot de bestanden nodig, en een programma om de code aan te passen:

Toegang tot de server krijg je door middel van Filezilla. (Of een file editor in DirectAdmin/Cpanel)
Het aanpassen van bestanden kun je doen met Notepad++.

Error 404

404 pagina niet gevondenWat is Error 404: Error 404 geeft aan dat de pagina niet beschikbaar is. Veel thema’s hebben een nette 404 pagina die in de style van de website valt, maar als je dat niet hebt zie je een witte pagina met 404 erop.

Waar ligt het probleem: Mogelijk heb je een pagina opgeroepen die niet beschikbaar is of van url veranderd is of staat de permalink structuur niet correct in je Htaccess

Het probleem oplossen: Verzeker jezelf dat je de juiste pagina opgezocht hebt. Als je zeker weet dat je de juiste url gebruikt om de pagina te benaderen die in je admin nog zichtbaar/te bewerken is, kun je de permalink opnieuw instellen. Ga dan naar je admin > instellingen > permalinks, kies dan Standaard/berichtnaam en sla de instelling op.

Error 500

error-500Wat is Error 500: Error 500 zie je meestal wanneer de server offline is.

Waar ligt het probleem: Dat probleem kan aan de hosting (de server) liggen maar kan ook veroorzaakt worden door een codefout.

De oorzaak vaststellen: Om vast te stellen of je website volledig offline is, kun je met de ftp gegevens naar de server gaan. Als die nog bereikbaar is werkt de server nog. Dit kun je soms ook testen door jewebsite.nl/license.txt op te zoeken (verander je website door je eigen url). Als dat bestand nog zichtbaar is, ligt het aan de code en niet aan de server.

Het probleem oplossen: Als je server onbereikbaar is, stuur je een bericht naar je hostingprovider dan kijken die ernaar. Als de server werkt maar je website niet, kun je, zoals genoemd, de plugins verplaatsen zodat die ge-deactiveerd worden. Het komt vaker voor dat daar een error in zit.

De error: Fout bij maken van de databaseconnectie

database errorWat is de databaseconnectie: de database bevat alle teksten en instellingen van je website. Deze staan vaak op een andere locatie dan de data zoals WordPress afbeeldingen, je thema en plugins.

Waar ligt het probleem: De database blijkt niet meer te bereiken, oftewel er is geen “connectie” meer.

Het probleem oplossen: Om vast te stellen of je website volledig offline is, zoek je verschillende adressen op, denk aan het admin, de homepage of de licence.txt

Als 1 van die adressen wel resultaat opleveren is de server niet volledig offline, en moet je specifiek gaan kijken of het admin, een plugin of thema verantwoordelijk zijn.

Als alle adressen een 500 error geven en dit langer dan een half uur aanhoudt, kun je contact opnemen met je hostingpartij zodat ze naar de server kunnen kijken.

De error: Deze site is niet bereikbaar

site niet bereikbaar
Waarom is de website niet  bereikbaar: Het adres dat je ingevuld hebt is niet gekoppeld aan een adres op de server, een zogenoemd DNS adres.
Waar ligt het probleem: 9/10 keer heb je een verkeerd webadres ingevuld. Kijk goed of er geen comma’s staan in plaats van punten en dat je de goede domein-extensie gebruikt (nl, com, net, eu)

Het probleem oplossen: Google het adres eens? Dan krijg je wellicht het correcte adres te zien in 1 van de zoekresultaten.

De error: Een witte pagina

witte pagina wordpressWaarom zie ik een witte pagina: De witte pagina krijg je te zien bij simpele error’s. Dan werkt WordPress nog wel en verbergt hij de error zodat hackers er geen misbruik van kunnen maken.

Waar ligt het probleem: Dat zie je natuurlijk pas als je de error kunt lezen, en die functie zet je aan in de wp-config.php
Daar zie je een regel staan met “debug mode: false”. Die zet je op TRUE en dan verschijnt de error wel
(even die pagina verversen).

Het probleem oplossen: De error toont vaak het pad naar een bestand, en de regel waar de code gecorrigeerd moet worden.