Oplossen Archives - Pagina 4 van 6

Interview: De verbeterde iThemes Security PRO NL

20 mei 2016/2 Comments/in Beveiligen, iThemes Security, Oplossen

De verbeterde versie van de iThemes Security PRO NL wordt onderhouden door Daniël van der Winden.

Met passie voor WordPress beveiliging zet hij zich in om de beveiliging van WordPress up-to-date te houden en te verbeteren.

Wij stelden enkele vragen aan Daniël,

Je bent programmeur achter de verbeterde iThemes Security Pro voor Nederland. Hoe ben je zo betrokken geraakt?

Laat ik eerst voordat ik deze vraag beantwoord nadrukkelijk vermelden dat iThemes de oorspronkelijk ontwikkelaar is van de iThemes Security (Pro) plugin. Zij verdienen dus het grootste deel van de credits voor het ontwikkelen van deze plugin.

Eind 2014 kwam ik toevallig in aanraking met WordPress. Wat me meteen opviel was dat dit CMS standaard enkele
kwetsbaarheden kent waarop het kan worden aangevallen. Vervolgens ben ik mij gaan oriënteren op beveiligingsplugins op wordpress.org en iThemes Security staat daar in de top 3.
Wat ook heeft meegespeeld is dat de gratis iThemes Security plugin zoveel tekortkomingen heeft en dat iThemes deze tekortkomingen niet actief oppikte (met name op het WordPress.org plugin forum). En dat vond ik echt zonde want de functionaliteit die de iThemes Security plugin biedt en de laagdrempelige vorm waarin deze is gegoten is echt geweldig.

Gezien de mogelijkheden die de GPL licentie biedt (fork), zag ik ruimte voor een sterk verbeterde versie van de betaalde iThemes Security Pro plugin. Aangezien de iThemes Security Pro plugin niets anders is dan de gratis iThemes Security plugin + 10 Pro features zitten alle tekortkomingen van de gratis plugin ook in de Pro versie. Verder bleken er in de Pro versie ook zat Pro specifieke bugs te zitten.

Ik ben eerst begonnen met een Nederlandse vertaling te maken. Toen die af was, bleek dat er een hele rits vertaal bugs in het product zaten. iThemes biedt namelijk zelf 0 (nul) vertalingen voor hun security (Pro) plugin en vertalingen krijgen bij iThemes duidelijk geen prioriteit. Die vertaal bugs blijven dus allemaal in de code van het product zitten omdat niemand (iThemes voorop) de plugin in een niet en_US taal gebruikt. Zo bestaat er ook nu nog een vertaal bug in de plugin waarvoor overigens wel een workaround bestaat. Zonder die workaround zijn bij gebruik van een vertaling alle Ithemes Security plugin tabs in het WordPress Dashboard behalve de Dashboard tab blank/leeg. Maak je je eigen vertaling dan zal deze dus zonder de workaround niet eens goed kunnen werken ! Afijn, voor ik het wist zat ik al op 50+ vertaal bugfixes!
Maar dat was niet het enige. Ook in de functionaliteit van de plugin bleken flink wat bugs te zitten.
Er zit zelfs een ernstige (stored XSS) kwetsbaarheid in de plugin zelf waardoor de veiligheid van de WordPress website in het geding komt !
Ik kon nog maar aan 1 ding denken. Dat kan beter, veel beter ! En zo is de iThemes Security PRO NL plugin ontstaan.

Mag je zomaar een fork van een bestaande premium plugin ontwikkelen en tegen betaling aanbieden en is dit ethisch/juridisch verantwoord?

Het simpele antwoord is ja. De GPL licentie staat dit allemaal toe. Sterker nog: het is handelen volledig in de geest van de GPL ! Met als uiteindelijk doel meer keus voor de consument en belangrijker nog een kwalitatief beter product.
iThemes is zich volledig bewust van de eerder genoemde tekortkomingen. Toch besloten zij een aantal maanden geleden om de UI (zeg maar het uiterlijk) te gaan vernieuwen. Kortom een nieuwe look ipv de inhoudelijke tekortkomingen aan te pakken.
Daarnaast zijn de activiteiten van iThemes op het WordPress.org plugin forum minimaal. iThemes activiteiten worden hoofdzakelijk aangestuurd vanuit marketing beweegredenen en dat mag. Echter WordPress website security staat daardoor NIET bovenaan hun prioriteitenlijst.
Dus wat betreft het ethische aspect denk ik dat hetgeen ik heb gedaan gemakkelijk te verantwoorden is.
Rest mij nog te vermelden dat ik de afgelopen 18 maanden honderden topics heb afgehandeld op het WordPress.org plugin forum.
Tot slot, ook de iThemes Security PRO NL plugin wordt uitgebracht onder de GPL licentie.

Hoeveel tijd is er in het verbeteren van de iThemes Security PRO NL gaan zitten?

Heel erg veel tijd. Ik ben er sinds eind 2014 non stop mee bezig geweest …
Het was inderdaad niet makkelijk maar het resultaat is er inmiddels wel naar.
Als je de hoeveelheid tijd die ik er aan besteed heb afzet tegen de prijs van de plugin dan is er maar 1 conclusie mogelijk: koopje !

Je hebt iThemes Security verbeterd, op welke punten is de plugin anders dan de Amerikaanse versie?

De iThemes Security PRO NL plugin pakt een aantal tekortkomingen aan in de oorspronkelijke plugin.
Op de eerste plaats vertaling (localization)! De plugin is volledig in het Nederlands vertaald. Sterker nog hij bevat zowel een informele als formele Nederlandse vertaling.
Daarnaast zijn er ook flink wat aanpassingen gemaakt op het gebied van internationalisatie. Denk aan koppeling van het datum/tijdformaat zoals ingesteld in de WordPress instellingen aan datums/tijden getoond in o.a. emails en de Logs pagina.
Ook zijn er een groot aantal bugs gefixed. Zowel mbt vertaling als functionele bugfixes.
Veel van deze bugfixes waren het gevolg van meldingen op het WordPress.org plugin forum. Meldingen waar iThemes niets mee heeft gedaan. Ik zie wekelijks problemen gemeld worden die 18 maanden geleden ook al werden gemeld …
Ondertussen heb ik die bugs allang gefixed …
Verder is er betere support voor de Nginx web server en het Windows platform.
Een en ander heeft geresulteerd in een beveiligingsplugin die een WordPress site een stuk beter beveiligd.

Niet geheel onbelangrijk is dat de oorspronkelijke plugin tot en met de laatste release (Free 5.4.0/Pro 2.3.0) een ernstig stored XSS lek bevat.

Je hebt de iThemes Security PRO NL toegankelijk gemaakt voor Nederland, in welk opzicht is de plugin beter dan WordFence, Sucuri en Bulletproof?

Ik ken WordFence, Sucuri en Bulletproof niet voldoende om daar een goed onderbouwde mening over te kunnen geven.
Het enige dat ik zeker weet is dat mits correct geconfigureerd de iThemes Security PRO NL plugin een prima keuze is om je WordPress website mee te beveiligen.

De plugin is exclusief verkrijgbaar op WPbeveiligen, kan ik de plugin ook bij jou kopen? Heb je een website?

Nee, ik heb geen website en ik verkoop de iThemes Security PRO NL plugin op dit moment niet zelf. De plugin is exclusief verkrijgbaar via wpbeveiligen.nl

Welke achtergrond heb je? Ben je programmeur, beveiliger?

Mijn achtergrond is divers. Hoofdzakelijk support bij o.a. Oracle Nederland. Ik ben iemand die door veel zelf te doen en uit te zoeken allerlei IT/website vaardigheden heeft ontwikkeld. Beetje autodidact dus.
Ik heb een sterk analytisch vermogen en ben vooral gedreven in het zoeken naar de root cause van problemen. Pas als de oorsprong van een probleem is gevonden kan er een juiste oplossing voor worden ontwikkeld.
Dit sluit naadloos aan op website security. Ik beheers alle onderliggende technieken.

Kan mijn website ook beveiligd worden met de plugin of kan dat alleen met bepaalde servers of WordPress versies?

Ja, in principe kan elke WordPress website beveiligd worden met de iThemes Security PRO NL plugin. Er zijn slechts enkele beperkingen. Wat betreft web server worden alleen Apache, Nginx en Litespeed ondersteund.
Microsoft IIS wordt dus niet door de plugin ondersteund. Verder is het zo dat de plugin vele features bevat die ten goede komen aan de beveiliging van de website maar die soms ook een ongewenst effect kunnen hebben. In dat geval kun je een dergelijk feature nader tweaken of uitschakelen.
Het idee achter de plugin is om zoveel mogelijk features te gebruiken die het juist functioneren van de site niet in de weg staat.

Verder kan de plugin vanaf WordPress 4.1 tot de meest recente 4.5.2 versie worden gebruikt.

Hoe houden jullie de plugin up to date?

We maken op dit moment nog geen gebruik van een eigen update server. Uitrol van updates zal dus per email geschieden (en/of anderszins). Zodra de installed base voldoende draagvlak heeft, investeren we in een update server.

Hebben jullie updates en hoe installeer ik die?

Ja, de iThemes Security PRO NL plugin wordt regelmatig geüpdatet.
Als je de plugin aanschaft heb je standaard recht op 1 jaar support en updates.
Kwestie van de oude plugin folder renamen/deleten en dan het nieuwe per email ontvangen zip bestand uploaden naar de server en uitpakken.

Ik heb veel klanten met een WordPress website die beveiligd moeten worden, kan ik de plugin vaker gebruiken?

Voor iedere website (per domein dus) moet je een licentie aanschaffen. Wpbeveiligen.nl hanteert daarbij volumekorting welke je kunt raadplegen op de website.

Kan ik de plugin simpelweg activeren of moet ik daarna nog iets doen?

Na activatie van de plugin doorloop je eerst 4 stappen in het “Belangrijke Eerste Stappen” scherm.
Vervolgens kun je op basis van de “Beveiligings Status” 1 voor 1 extra onderdelen van je site beveiligen.

Botst de beveiligingsplugin met andere plugins?

Ja, soms wel. Dat is onvermijdelijk, ondanks dat ik mij zoveel mogelijk conformeer om volgens de WordPress codex richtlijnen te coderen. Vaak ligt het aan de code van de andere plugin. En soms ligt het aan de code van de iThemes Security PRO NL plugin. Meestal is het snel op te lossen.

Ik heb ook WordFence, het lijkt me goed om deze plugin ook te activeren. Of moet ik die verwijderen?

Ik weet dat het kan, maar vaak zit er een overlap in de functionaliteit. Mijn advies is om 1 goede beveiligingsplugin te gebruiken. Dit om onnodige overhead te voorkomen.

Ik heb een blog over mijn kids en familie. De website is niet zo groot, heeft het dan zin om iThemes Security PRO NL te gebruiken?

Websites worden vaak volledig geautomatiseerd (botnets) aangevallen en gehackt. Helaas hebben botnets geen geweten.
ALLE WordPress websites op het internet lopen het risico te worden aangevallen en gehackt!

Wij hebben een bedrijfswebsite op maat laten maken. Wij gebruiken een thema op maat en diverse plugins die ook op maat geprogrammeerd zijn. Gaat dat samen met de iThemes Security PRO NL?

Ja in principe wel, maar het is onmogelijk om de plugin met alle beschikbare plugins en thema’s te testen.
Dus het kan gebeuren dat de plugin botst met een andere plugin of thema. Dit is simpelweg niet uit te sluiten.
Vaak wordt het probleem dan veroorzaakt door de bewuste plugin of het thema. Je moet dan contact opnemen met de auteur van de plugin of dat thema. Soms veroorzaakt de iThemes Security PRO NL plugin het probleem. Het posten van een uitgebreide probleemomschrijving met de te volgen stappen om het probleem te reproduceren op het WordPress.org plugin forum helpt om tot een spoedige oplossing te komen. Soms kan zelfs toegang tot de probleemomgeving nodig zijn om het probleem te debuggen.
Los hiervan is het in zijn algemeenheid gebruikelijk/verstandig om een security plugin eerst grondig te testen in een test omgeving alvorens deze uit te rollen naar de live website.

Ik wil de plugin graag direct kopen en downloaden. Waar kan ik hem downloaden?

Zoals eerder aangegeven is de verbeterde iThemes Security PRO NL te downloaden bij WPbeveiligen.
Klik hier om de plugin te downloaden!

Kennis èn ervaring kost jaren

21 april 2016/0 Comments/in Beveiligen, Hacks, Oplossen, Updaten

Ik kom veel programmeurs tegen die een hack in hun website hebben, of in de site van de klant en dan op Google opzoeken hoe ze die hack kunnen verwijderen.
Ze vullen hun programmeerkennis aan en proberen met die informatie de site te herstellen en te beveiligen.

Maar hoeveel ze ook op internet lezen en toepassen, de hacks blijven geregeld terugkomen.

Denk aan het terugzetten van een oude backup, het verwijderen van bepaalde plugins, het updaten van WordPress.
Slimme programmeurs die echt wel weten hoe WordPress werkt, en hoe de server werkt, en welke code er wel-of-niet in WordPress thuis hoort.

Ondanks hun kennis kunnen ze de website niet veilig houden.

Waar ik dan vaak aan moet denken, is dat kennis en ervaring jaren kost.

En dat heb ik ervaren…

Toen ik jong was had ik een oldtimer, een schakelbrommer.
Die reed niet helemaal naar behoren en behaalde niet de snelheid die hij hoorde te halen.
Veel research op internet gedaan, heel veel aan gesleuteld, maar niets leek het probleem op te lossen.

Tijdens 1 van de testritten liep er een oude man, rond de 80+ voorovergebogen en riep: Je mengsel is te vet, je verbrand te veel olie.

Ik zei: nee dat zit wel goed ik weet wat in de tank zit!

De oude man zei: ik hoor dat hij te vet loopt. Je moet minder olie in je benzine doen.

Later bleek dat er mengsel in de tank was gegaan die er niet in hoort voor dat specifieke type brommer.
(Er zat nog een los oliereservoir op de brommer waar een klein beetje olie in moest.. en de brommer kon daardoor op andere benzine rijden)

Diverse mensen om mij heen (incl de vorige eigenaar van de brommer) wisten het niet op te lossen, deze man hoorde het aan het motorgeluid!

Dàt is kennis en ervaring!

WordPress installatieproblemen

21 februari 2016/4 Comments/in Beveiligen, Hackers, Hosting, Oplossen

Als fanatiek WordPress-programmeurs weten wij maar al te goed dat een installatie niet altijd soepel verloopt. Het WordPress-systeem is wel betrouwbaar maar externe factoren zorgen er wel eens voor dat je enkele aanpassingen moet maken of handmatig enkele instellingen moet plaatsen.

We analyseren hier enkele veel voorkomende problemen en bieden direct de oplossing!

WordPress-installatie probleem #1

De wp-config.php kan niet worden beschreven.

Oplossing: kopieer de wp-config-sample.php en haal in de bestandsnaam het stukje -sample weg, plaats de mysql-gegevens handmatig in het bestand. De wp-config.php sample file vind je in de httpdocs waar ook de wp-config.php moet komen te staan.

WordPress installatie probleem #2

Het admin-systeem werkt niet volledig, laadt niet in (error pages) of geeft aan dat het enkele files mist.

Oplossing: Je hebt waarschijnlijk een WordPress download op de FTP geplaatst waarbij enkele files niet of onvolledig overgeplaatst zijn naar de server. Kopieer daarom de files nogmaals naar de server en overschrijf daarbij de files om zeker te zijn dat er volledige files komen te staan.

WordPress-installatie probleem #3

Het admin-systeem werkte nog bij de installatie maar na het toevoegen van plugins loopt het vast.

Oplossing: een plugin veroorzaakt de error, ogenschijnlijk kun je het niet meer deactiveren omdat je niet meer in het admin systeem kunt komen. Wat het beste werkt is het hernoemen van de plugins. Voeg bijvoorbeeld een streepje toe in de naam van de map op de server. De plugin wordt dan inactief en je weet zo direct welke plugin de error veroorzaakt. De ontwikkeling van de plugins loopt wel eens achter op de nieuwere WordPress-releases aangezien die zeer frequent uitkomen.

WordPress-installatie probleem #4

De installatie is net afgerond, er wordt een nieuwe post aangemaakt en het uploaden van een afbeelding lukt niet.

Oplossing: de map uploads is soms niet direct beschrijfbaar, hetgeen wel belangrijk is. Ga naar de httpdocs > wp-content > uploads en klik rechts op het bestand. Je kunt daar meestal onderaan in het menu kiezen voor File Permissions, ook wel CMOD genoemd. Zet de schrijfrechten met het cijfer op 777 en het probleem is hoogstwaarschijnlijk verholpen.

WordPress-installatie probleem #5

De permalinks kunnen niet worden gewijzigd omdat de .htaccess niet aanwezig of beschrijfbaar is.

Kijk in de map httpdocs van jouw hostingpakket/serverruimte of daar een bestandje staat met de volgende naam: “.htaccess”. Het is een unieke naam omdat het geen extentie lijkt te hebben en er een punt voor staat. Toch is deze file van groot belang. Maak een nieuwe file aan als deze in de map ontbreekt en zet die file met de schrijfrechten op 777.
Genereer de permalinks in je admin > instellingen > permalinks. Vergeet niet om de schrijfrechten 444 (alleen leesrechten) te zetten als je klaar bent, anders kunnen hackers of hackbots je website redirecten (doorlinken)!

5 problemen en 5 oplossingen

Dit zijn enkele veel voorkomende problemen en oplossingen. Heb je andere problemen of heb je hulp nodig?
Wij werken al jaren met WordPress, en hoewel wij ons voornamelijk concentreren op het herstellen en beveiligen van WordPress kunnen we je ook uit de brand helpen als je er niet uitkomt.

Neem contact op voor de beschikbaarheid, aangezien het herstellen en beveiligen van WordPress websites onze prioriteit heeft.

Een spam bestandje in mijn site, gelukkig geen probleem?

13 februari 2016/6 Comments/in Beveiligen, Hackers, Malware, Oplossen

Als je geen webprogrammeur bent, merk je het niet als er een spam bestandje in je website zit.

Het werkt op de achtergrond van je website waardoor je geen idee hebt dat het er zit maar ondertussen…

Wat doet een spam bestandje

Per dag zoveel mogelijk mails versturen naar e-mailadressen. Met als nadelig resultaat dat alle mails die verstuurd worden ervoor zorgen dat je website op een blacklist terecht komt.

Het bestandje doet niets meer of minder dan zoveel mogelijk spam (mails) versturen.

Een blacklist is een service die ervoor in het leven geroepen is om servers te stoppen die gehackt zijn en/of spam versturen.

De gevolgen als een spam bestandje een tijdje spam verstuurt

Wat dus betekent dat je geen mails meer kunt verzenden en ontvangen via je website. Want je bent op een blacklist terecht gekomen met je website of server.

Je contact formulieren komen niet meer aan, de mail van klanten naar jouw e-mailadres komen niet meer aan..

En als het spam bestandje maar lang genoeg de tijd heeft pakt zelfs Google het op en zal je website aangegeven worden als Malware in de zoekmachine.

Hoe komt dit spambestandje op mijn server?

Een spam bestandje is een stuk php code dat door middel van een lek in WordPress op de server gezet is. Of als code bijgeschreven is in een bestaand WordPress bestand.

Staat mijn server of website op de blacklist?

Dit kun je (op moment van schrijven) gratis controleren via de website van MX Toolbox. Die controleert of je website op de grootste blacklists staan.

Als je website op de blacklist staat, is het niet alleen een kwestie van een de-listing aanvragen om er vanaf te komen, het is vooral belangrijk dat je eerst het probleem verhelpt voordat je de de-listing aanvraagt aangezien ze je er anders weer net zo snel opzetten waarna een de-listing langer zal duren.

Mijn website beveiligen tegen hackers en spam bestanden

Je WordPress website beveiligen is zeer belangrijk. Het voorkomt dat scripts of hackers gebruik kunnen maken van de open deuren (exploits) in WordPress.

Bij een beveiliging is het vooral belangrijk dat de website niet alleen dicht gemaakt wordt maar dat er ook wordt gekeken op de server of er niet al bestanden staan die ervoor zorgen dat je een backdoor in je website hebt.

Wij kunnen kunnen je website beveiligen of ervoor zorgen dat je van de spamlist af komt! Aangezien wij tientallen websites beheren voor klanten en weten wat de hackers en scripts doen, kunnen wij je website beveiligen en controleren op backdoors.

Neem contact op!

De onzichtbare iFrame hack

13 februari 2016/3 Comments/in Beveiligen, Hacks, Oplossen

Het is 1 van de meest effectieve hacks, de “De onzichtbare iFrame hack”.

Waarom is de iFrame hack zo effectief?

De iFrame wordt over de gehele browserbreedte en hoogte uitgespreid.
Kortom, waar een bezoeker ook klikt, hij komt op de reclame campagne van de hacker uit.

En.. er is meer.. helaas

De iFrame wordt gereguleerd met een cookie en dus maar 1x weergegeven. Een scanner, jij zelf, een beveiliger zal de site maar 1x zien en daarna niet meer waardoor de illusie gewekt wordt dat het probleem tijdelijk was of is opgelost.

De meesten zullen gewoon denken dat ze misschien verkeerd hebben geklikt. En gaan hopelijk terug naar je website.

Het effect van de hack

Sommige bezoekers, 1 op de 1000 heeft misschien het idee dat hij goed zit en neemt een dienst of product af bij de website waar hij eigenlijk helemaal niet wilde/hoorde te zijn.
En dan is de hacker, maker van het script weer blij want daar doet hij het voor.

Een heel klein stukje code in een JS file

Een javascript bestand (JS file) wordt aangevuld met een stuk code dat een iFrame over je gehele website plaatst.
En je kunt zoeken wat je wilt, het is maar een heel klein toegevoegd stukje code dat dit regelt, in een al bestaand bestand wat in de site thuis hoort.

Gedecodeerd door Sucuri ziet het er zo uit:

Een goede methode om van de hack af te komen

Je kunt gaan zoeken in je JS bestanden, maar het beste is gewoon om de JS bestanden allemaal te vervangen voor nieuwe schone die je download van de officiële website van WordPress of van het thema.

Een iFrame hack voorkomen

Je zit er natuurlijk niet op te wachten dat de hack een week later weer in je WordPress website zit.

Update daarom al je plugins, je thema en je WordPress.

En zet een goede WordPress beveiligings plugin in.

Mijn WordPress website toont een error?

17 januari 2016/3 Comments/in Beveiligen, Hackers, Hosting, Oplossen

Als er iets mis is met de code, met de database of met de hosting zie je een error.

Voor velen is die error niet te begrijpen maar wij als beveiligers van WordPress zien ze natuurlijk vaak bij gehackte websites.

Niet elke error komt door een hack, en om dus de juiste oplossing te vinden voor de error is het belangrijk te weten wat de error betekent.

De 404 error

De 404 is de meest bekende en zie je wanneer een pagina niet gevonden kan worden.

Je website doet het dan nog wel, aangezien een 404 pagina meestal getoond wordt in de layout van je website, maar de pagina bestaat niet (meer) of de url is niet goed ingetypt.

De 500 error

De 500 error zie je meestal wanneer er iets aan de hand is bij de server. Dat kan betekenen dat de server even offline is, of opnieuw opgestart moet worden, dan zie je niets meer van je website totdat de hoster dit heeft opgelost.

Error establishing a database connection

Deze zie je wanneer de database onbereikbaar is. Dit kan komen doordat je de verkeerde gegevens hebt opgegeven maar het komt ook wel eens voor dat de hosting een probleem heeft en de database daardoor niet geladen kan worden.

Een wit scherm zonder error

Het komt ook voor dat je gewoon een wit scherm ziet, WordPress houdt voor veiligheid wel eens error’s achter aangezien het voor hackers een bron van informatie kan zijn.

In dat geval moet je de debug_mode op “true” zetten in de wp-config file van je WordPress website.

WPbeveiligen kan je probleem oplossen

Wij hebben de kennis en ervaring om de meeste error’s op te lossen. Op no-cure-no-pay basis kun je contact met ons opnemen.

De kosten voor het oplossen van een error ligt meestal tussen de 40-60 excl btw aangezien het gemiddeld niet langer dan een uurtje duurt om het probleem op te lossen.

Hoe weet ik of mijn WordPress website gehackt is?

10 januari 2016/3 Comments/in Beveiligen, Hacks, iThemes Security, Malware, Oplossen

Er gebeuren geregeld onverwachtse dingen zoals automatische updates waardoor WordPress of bepaalde plugins niet meer werken.

Of een gebruiker heeft de verkeerde instellingen aangeklikt in het administratie scherm.
Kortom, niet elke onverwachte aanpassing aan je website wordt veroorzaakt door een hacker of een hackbot.

Hoe weet ik dan of mijn WordPress website gehackt is?

Als je website bij het bezoeken direct doorgestuurd wordt naar een ander domein
Als Google een rood waarschuwingsscherm toont bij het bezoeken met de Chrome Browser
Als de Sucuri Malware scanner aangeeft dat je website Malware bezit
Als je website vreemde reclame toont in de zoekresultaten van Google
Als je niet meer in je admin kunt komen, en-of er onbekende gebruikers (administators) zijn toegevoegd
Als je niet meer kunt e-mailen omdat je website op de zwarte lijst staat

Als geen van de bovenstaande punten voorkomt bij je website valt aan te nemen dat je website niet gehackt is.

Tip: De Ithemes Security Pro NL is een plugin die je veel controle geeft over de gebeurtenissen in je website.
Zo kun je met Ithemes Security PRO informatie inzien die je snel naar de oorzaak van het probleem leidt.

Zijn er toch wijzigingen opgetreden die je niet kunt begrijpen?

Met onderstaande informatie kun je wellicht achterhalen waar de wijzigingen door gekomen zijn.

De wijzigingen zijn wellicht door een andere gebruiker gedaan?

Als het om wijzigingen gaat in de tekst van berichten of pagina’s kun je dat altijd zien. WordPress laat de “auteur” zien van pagina’s en berichten maar ook Revisies waarbij een naam staat.

Nog gemakkelijker zien wat er met je website gebeurd?
De Ithemes Security PRO plugin houdt tevens bij welke gebruikers er ingelogd zijn op het administratie panel, en wanneer ze ingelogd zijn. (Tabje Logs)
Zijn er wijzigingen of problemen sinds dat moment opgetreden? Dan is de oorzaak gemakkelijker te achterhalen met die wetenschap wie er in het administratie panel was.

Of.. heeft een plugin, of update van een plugin een probleem veroozaakt?

Als je automatische updates aan hebt staan kan het gebeuren dat plugins niet meer samen gaan met WordPress en een error krijgen. Probeer een oude release van de plugin terug te zetten om te zien of je website/wijzigingen dan weer ongedaan zijn.

Gemakkelijk zien welke bestanden geupdate zijn?
Ithemes Security PRO laat zien welke bestanden er aangepast zijn op de server, of ze nu toegevoegd zijn, verwijderd of aangepast kun je allemaal helder zien met een tijdstip erbij. (Table Logs)
Zet de bestanden terug van de plugin, of draai de update terug door een oudere versie te uploaden en het probleem kan zomaar opgelost zijn.

Of.. is er toch een hacker of script in je WordPress website gekomen, wat je alleen op de server kunt zien?

Als je de bestanden bekijkt die bijgeschreven zijn, en ze bevatten Base64 code.. dan weet je voor 90% zeker dat er een hacker of script actief is.
In die situatie moet je evalueren of de bestanden simpelweg verwijderd kunnen worden, of als het gaat om aanpassingen in bestaande bestanden waar je de code zorgvuldig uit moet halen.

Lees dit artikel waar beschreven wordt hoe je een virus & hacks op de server kunt herkennen.

Kies voor gemak en zekerheid

Je kunt ons inschakelen om je website te laten herstellen en te beveiligen. Wij kijken alle bestanden na en maken je website hack-vrij.

Bij een herstel en beveiliging krijg je de PRO versie van Ithemes Security nl gratis!

Inclusief 30 dagen garantie zodat je zeker bent dat je website goed beveiligd en hack-vrij is!

Ithemes Security PRO features

9 januari 2016/2 Comments/in Beveiligen, Hackers, iThemes Security, Malware, Oplossen

Ithemes Security kennen velen wel, het is 1 van de beste beveiligings plugins voor WordPress.

Kennen jullie de PRO variant al?

Ithemes Security PRO heeft 10 functies die belangrijk zijn voor het beheren en beveiligen van je website.

De geavanceerde login
Het login panel is kwetsbaar, maar met de dubbele authenticatie maak je het hackers en bots een stuk moeilijker.
Het mooie van deze functie is dat je een tijdelijke code kunt laten genereren die nodig is om in te loggen, en die code kun je naar je e-mail laten versturen!
Malware scanning op geregelde basis
Het scannen van je WordPress website op verdachte activiteiten kun je geautomatiseerd met regelmaat laten doen. Wanneer Ithemes Security PRO iets vindt zal hij je e-mailen, zo ben je er op tijd bij als er iets verandert.
Wachtwoorden laten verlopen
Het is 1 van de meest voorkomende problemen: wachtwoorden die gekraakt worden of die na 1-2 jaar bekend raken bij de hackers.
Het laten verlopen van het wachtwoord waardoor een gebruiker deze eens in de 3-6-12 maanden moet veranderen, voorkomt dat probleem.
Tijdelijke privileges
Je wilt iemand aan je website laten werken, maar niet dat die persoon de rechten blijft houden om alles aan te kunnen passen. Met tijdelijke privileges geef je iemand voor een x aantal uren de rol van beheerder of redacteur. Zo kan je niet vergeten iemand zijn rol terug te zetten!
Re-captcha
Een van de manieren om Bots bij je login scherm of bij het plaatsen van reacties tegen te houden is door ze een Captcha in te laten vullen.
Itheme Security PRO maakt hierbij gebruik van de Google Captcha, een mooie manier waarbij je gewoon kan aanklikken dat je “geen robot bent”.
Met deze mooie Captcha hoef je gelukkig geen ingewikkelde tekens over te typen!
Gebruikers logboek
Dit logboek houdt bij wie er inlogt en op welke datum en tijdstip. Zeer handig wanneer er iets onverwachts met de website gebeurt!
Dashboard Widget
Vanaf je dashboard kunnen zien of er iemand op de blacklist staat, hoeveel aanvallen er geweest zijn en meer. Een stukje gemak!
De instellingen importeren
Met 1,2 of 3 sites heb je dit niet nodig. Maar wat nu als je Ithemes Security wilt gebruiken op 50 sites?
Dan kun je de import & export methode voor alle instellingen toepassen. Dit scheelt je veel werk en je hebt minder kans om een instelling verkeerd te zetten!
Er is meer!
Er zitten nog meer handige functies in de pro versie van Ithemes Security, maar als ik die uitleg heb je helemaal het idee dat je in de Matrix terecht gekomen bent.Respect dat je helemaal tot feature 9 gekomen bent! Wist je dat wij Ithemes Security Pro gebruiken voor al onze klanten? Voor websites die we herstellen wanneer ze gehackt zijn en voor WordPress sites die we preventief beveiligen?

En we verkopen de Ithemes Security PRO ook aan iedereen die graag een goed beveiligde website wil!

Contact Form 7 gebruiken

27 december 2015/15 Comments/in Beveiligen, Oplossen

Wat is Contact Form 7?

Contact Form 7 is een plugin voor WordPress waarmee je contact formulieren kunt maken in diverse talen. Je kunt meerdere contact formulieren per website aanmaken en kunt hierbij verschillende formulieren maken met verschillende velden. Buiten het tekstvlak kun je een datum veld inzetten, een dropdown, een acceptatie checkbox, radio buttons en meer..

Hoe kun je Contact Form 7 gebruiken?

Download eerst de Contact Form 7 plugin via je admin > plugins > nieuwe plugin

Na de installatie en activatie van Contact Form 7 zie je een nieuw menu item verschijnen genaamd “contact”.

Selecteer dan “voeg nieuwe toe”.

Hierna kun je een nieuw contact formulier toevoegen in welke taal je wilt. Wij kiezen natuurlijk de basistaal Nederlands.

Na de taalkeuze zie je buttons waarmee je nieuwe shortcodes kunt genereren voor velden, dropdowns, radio buttons enz.

Dat is de kracht van Contact Form 7. Je kunt nieuwe velden inzetten en zo een grote variatie aan formulieren ontwikkelen. Van standaard contact formulier tot formulieren waarmee bezoekers zich kunnen aanmelden, of waarmee ze een inschrijving kunnen doen op basis van diverse vragen en keuzemogelijkheden.

Shortcodes, technisch maar flexibel

Contact Form 7 genereert met de buttons uiteindelijk een formulier die er wat technisch uitziet. Dit geeft ondanks dat het even wennen is veel mogelijkheden.

Uitleg: Links zie je als eerste de veld aanduiding, zoals Uw naam. Daaronder zie je de shortcode [text * your-name]. Text staat voor het soort veld, in dit geval dus een standaard tekstveld. Daarnaast zie je een * staan. Die geeft aan of een veld verplicht moet worden ingevuld. Als die niet is ingevuld zal het formulier niet worden verzonden en komt er een rode lijn om het veld met een instructie om hem in te vullen.

Je kunt de opmaak van de velden veranderen, nu staan ze in Paragraphs maar je kunt ze in div’s naast elkaar zetten enz. De volgorde maakt niet uit voor het functioneren van het formulier.

Hier in de bovenstaande afbeelding zie je hoe zo’n veld/shortcode gegenereerd wordt. (Let op, dit is veranderd in de nieuwste updates! Je ziet nu nog steeds de code die in de mail moet komen maar minder opvallend aangezien deze niet meer helder in het groene vlak verschijnt..)

Je kunt een standaardwaarde instellen, bijvoorbeeld @ of http://. Dat staat dan al in het veld als waarde die je aan kunt vullen of deleten.
Met het aanklikken van de placeholder zorg je ervoor dat er alleen een voorbeeld staat die verdwijnt bij het selecteren van het veld.

De opmaak en informatie van de mail

Iedere shortcode die je toevoegt aan het formulier moet ook in de “tab mail” komen te staan.

Alleen dan komt de informatie ook door in de mail die verzonden wordt. Zoals je kunt zien op onderstaande afbeelding kun je instellen welk verzendadres er opgegeven wordt, wat de titel van de mail wordt en kun je met simpele [text-1] shortcodes de informatie in de mail weergeven in de volgorde die je zelf wenst.

Extra functies met veel gemak

Er zijn nog enkele functies die Contact Form 7 nog praktischer maken. Dat is de mail “2” functie. Die staat vrijwel onderaan bij de instellingen. Bij het aanvinken kun je een mail opstellen die bijvoorbeeld naar de invuller van het contactformulier verzonden word als kopie.

De veiligheid van Contact Form 7

1 van de belangrijkste vragen is natuurlijk: Hoe veilig is Contact Form 7? Als je alle invoer velden ziet, denk je als programmeur al snel aan een XSS probleem, een injectie.

Uit ervaring kunnen wij zeggen dat Contact Form 7 een goede en stabiele plugin is.

Wij gebruiken Contact Form 7 al een ruime 5 jaar voor diverse websites en hebben er nooit problemen mee ondervonden. Zowel qua werking als qua veiligheid!

De plugin wordt geregeld ge-update en heeft een goede basis. Wij zetten Contact Form 7 ook vaak in bij klanten wanneer hun huidige contact formulier spam verstuurd, dit komt voor bij contact formulieren die bij een thema mee-geleverd worden en bij slechte contact plugins.

WordPress toont een wit scherm, wat nu?

25 december 2015/3 Comments/in Beveiligen, Hackers, Hacks, Hosting, Oplossen, Updaten

Als er problemen optreden met code van plugins of het thema’s of WordPress zelf, zie je niet altijd een error. Soms zie je alleen een wit scherm!

Ontzettend onhandig omdat je dan niet weet wat er mis gaat! Maar het is niet voor niets dat je alleen een wit scherm ziet.

De lege pagina zonder error is een veiligheidsmaatregel aangezien de error met gedetailleerde informatie door hackers en scripts gebruikt kan worden om de website te hacken.

Een wit scherm, op alle pagina’s of alleen in het Admin

Het kan zijn dat je website nog wel werkt aan de voorzijde voor je bezoekers en alleen je administratie panel een wit scherm geeft, waardoor je de website niet meer kunt beheren. Waar het ook voorkomt, het is een probleem dat opgelost moet worden!

Betekent het witte scherm soms dat de website gehackt is?

Meestal NIET. Veel voorkomende oorzaken voor een wit scherm zijn botsingen tussen code in plugins.

Waarom heb ik een wit scherm zonder aanleiding?

Een wit scherm in WordPress kan spontaan optreden wanneer je de “automatische updates” aan hebt staan. Daar ben je zelf op dat moment niet bij maar er gebeurt een hoop in de code wat kan botsen.
Soms zie je een witte pagina als de hosting een probleem heeft met de server, maar dit komt zeer weinig voor. Dan staat er meestal een “error 500”.
Soms wordt er een injectie gedaan door een hacker om je admin onklaar te maken.

Het witte scherm probleem oplossen

Er zijn diverse manieren om het op te lossen, enkele veel voorkomende problemen en oplossingen zullen we hier documenteren.

Het tonen van error’s

Begin als eerste eens met het “laten tonen van de errors”.

Dit doe je door met de wp-config.php met een editor/FTP programma te openen, in de wp-config.php vind je een regel met de debug_mode die je op true moet zetten.

Vaak toont dit direct één of meerdere errors op de pagina waardoor je (met wat googlen en puzzelen) weet wat er aan de hand is. De error toont vaak ook in welk script de error voorkomt en zelfs op welke lijn!

Ps: Wij als programmeurs van WPbeveiligen hoeven vaak niet te Googlen om te weten wat er mis is, we kunnen dit probleem meestal direct verhelpen. Kies daarom voor gemak en zekerheid en stuur ons een berichtje.

Blijft het scherm nog steeds wit na het aanzetten van de errorweergave?

Ga dan voor de trial-en-error methode via de onderstaande opties.
Trial-en-error betekent simpelweg het elimineren van de mogelijkheden die problemen opleveren totdat je het probleem het gevonden.

Mogelijkheid #1: Een wit scherm door plugins

Plugins botsen wel eens door code waardoor de website niet wil laden. Als je nog in je admin kunt komen, kun je ze 1-voor-1 uitzetten tot je de boosdoener hebt gevonden.

Als je niet in je admin kunt komen, kun je dit via de FTP doen, je hernoemt ze stuk-voor-stuk waardoor ze de-activeren.

Mogelijkheid #2: Een wit scherm, door het thema

Als je thema of template niet wil laden zie je een wit scherm op je website maar doet je wp-admin het nog wel. Probeer eens tijdelijk een ander thema. Mocht dit het oplossen kun je proberen een schone versie van je gebruikte thema te plaatsen of je laat iemand naar de code in je thema kijken om het op te lossen.

Mogelijkheid #3: Een wit scherm door gehackte code

Heel soms heeft een hackscript een botsing veroorzaakt of een error in je pagina’s. Meestal zijn hackers en hackscripts erop uit om zo stiekem mogelijk te werk te gaan zodat het spamscript zo lang mogelijk kan werken voordat het opvalt.

1 techniek van hackers is dan weer het admin onbruikbaar te maken middels een wit scherm, maar de “voorkant” van je website willen ze meestal onaangetast laten.

Echter een reclame injectie geeft wel eens problemen waardoor ze door de mand vallen.

Tip: Een backup terugzetten

Als je website geregeld backups maakt, kun je die terug zetten. Dat scheelt enorm veel zoeken en coderen!

Het probleem laten oplossen door ons

Wij werken al jaren met WordPress en kunnen een wit scherm vaak binnen 1 uur oplossen. De kosten zijn dan niet zo hoog maar het gemak wel!

Klik hier en laat het probleem nu oplossen!