Featured image for De Expoit Scanner voor WordPress in category BEVEILIGEN

De Expoit Scanner voor WordPress

/0 Reacties/in , ,

Een verbazend simpele plugin met 1 doel, zoeken naar bestanden die mogelijk code bevatten die niet thuishoren in WordPress.

Je vindt de plugin in de WordPress plugin bibliotheek.

Na installatie en activatie is de Exploit scanner te vinden bij Extra.

Zoals je in de onderstaande afbeelding kunt zien zijn er niet veel mogelijkheden. Je hebt de mogelijkheid om de “display: none” uit te zetten wat veel voorkomt in bepaalde thema’s.

Je kunt de scan ook beperken tot bestanden die niet groter zijn dan 400 kb, en het is aan te raden om dit zo te laten staan. (al komt het heel soms voor dat hackers hele grote bestanden schrijven, maar in 99% van de gevallen is het scannen van zulke grote bestanden niet nodig)

De 3e optie die je hebt is het beperken van het aantal bestanden dat tegelijk gescand wordt. Het kan nodig zijn om dit op maximaal 100-150 te zetten als je een hostingpakket hebt met weinig geheugen. Als de pagina’s vastlopen en je een “memory error” krijgt.

Run the scan!!

wordpress exploit scanner

Als je de scan aangezet hebt kan dit enkele minuten duren.

Daarna krijg je een hele waslijst met bestanden die Eval commands bevatten, een lijst met “hidden” css codes.. en meer.

Is de Exploit scanner een 1-klik-oplossing?

Je kunt binnen 1 klik zien welke code potentieel gevaarlijk is, en je ziet waar de bestanden staan.
Het is echter nog wel nodig om diepe kennis van WordPress, code en hackerscode te hebben om te zien of een stuk code nu wel-of-niet thuishoort in je website.

Kortom, een leuke tool voor webmasters.

Featured image for Starten met WordPress in category BEVEILIGEN

Starten met WordPress

/2 Reacties/in , , , ,

Als je net start met WordPress kun je verdwalen in alle informatie die beschikbaar is.

Nu willen wij het helder houden en je niet vermoeien met meer informatie. Daarom een korte wegwijzer waar je moet zijn voor het starten van je WordPress website.

Thema’s

De thema’s kun je gratis downloaden van WordPress.org
Uitgebreide thema’s koop je bijvoorbeeld bij Themeforrest.

Wat is een thema?

Een thema is de stijling ofwel opmaak van je website.
Een thema bepaald hoe je pagina eruit ziet, hoe de bovenkant en onderkant van je website eruit ziet. Hoe je sidebar eruit ziet.

Zowel de indeling als de kleur worden door een thema bepaald.

Plugins

Plugins kun je gratis downloaden van WordPress.org

Wat is een plugin?

Een plugin is een aanvulling die je in je website kunt “pluggen”.
Welke aanvulling dat is hangt af van de plugin, zo heb je plugins voor het vertalen van je website, voor het beveiligen van je website, voor het tonen van afbeeldingen, foto-albums en meer.

Let wel op dat plugins de website ook traag kunnen maken en plugins kunnen een veiligheidsrisico met zich meenemen. Zet niet zomaar elke plugin in die je voorbij ziet komen.

Beveiliging

De beveiliging van je WordPress website, van groot tot klein kun je het beste aan WPbeveiligen over laten.

Met meer dan 10 jaar WordPress ervaring, hosting ervaring en het ontwikkelen + programmeren en beveiligen zit je goed bij WPbeveiligen.

Waarom is beveiliging nodig?

WordPress is open-source en gratis te downloaden. Voor iedereen op de wereld.
Omdat WordPress een populair middel is om websites te maken richten veel kwaadwillende hackers zich op de mogelijke zwakheden van WordPress en het gebruik ervan.
Wanneer een hacker een lek gevonden heeft schrijft hij een virus dat binnen enkele uren duizenden websites besmet met malware. Malware is slecht voor de reputatie van je website, zowel voor de bezoekers als voor je reputatie in Google.

Je kunt WordPress beveiligen met een beveiligings-plugin die je goed instelt of je kunt de website laten beveiligen door ons.

Meer informatie nodig, of heb je vragen?

Het WordPress NL forum heeft veel gebruikers die kennis van WordPress hebben en je zo verder kunnen helpen bij vragen.

Maar wij hebben ook een groot aantal artikelen geschreven om je te helpen.
Bezoek onze artikelen-pagina voor een overzicht van onderwerpen en voor de nieuwste artikelen over WordPress.

 

Featured image for Help! Mijn hosting provider heeft mijn WordPress offline gezet in category BEVEILIGEN

Help! Mijn hosting provider heeft mijn WordPress offline gezet

/4 Reacties/in , ,

Van de 1-op-de-andere dag hoor je van je webhoster dat je WordPress website spam verstuurde en dus offline is gezet totdat dit opgelost is.

Dit gebeurd wekelijks met WordPress websites en het is de enige manier voor de webhoster om de server en alle andere klanten te beschermen tegen de problemen die een website veroorzaakt die spam verstuurt.

Waarom een Webhoster de website offline heeft gezet

Als je website spam verstuurt, krijgt het IP adres waar de spam-mails vandaan komen een rapportage op de zwarte lijst van bedrijven die de mail filteren.

Op het moment dat het IP adres gerapporteerd is, komen e-mails vanaf dat IP adres dan ook niet meer aan.

Wat betekent dat alle klanten die op de server staan met dat IP adres hier last van kunnen hebben.

Daarom handelt een webhoster snel en zet hij een website offline totdat je alle spam bestanden hebt verwijderd.

De stappen die je moet ondernemen

Je wilt je website natuurlijk zo snel mogelijk online hebben. Dit betekent dat je de spambestanden van de server moet verwijderen.

Maar het verwijderen is alleen het oplossen van een resultaat. De oorzaak die heb je nog niet verholpen.

Daarom zul je al de mogelijke plugins moeten updaten, je thema, je WordPress zodat die mogelijke lekken dicht zijn en de spam bestanden niet snel meer op je server komen te staan.

In veel gevallen is het helaas nog een stukje ingewikkelder om de server goed schoon te krijgen omdat de lekken gebruikt zijn om backdoors in je uploads mappen te zetten die je dus ook moet verwijderen. Je kunt hiervoor alle php bestanden uit de uploads mappen verwijderen aangezien er alleen media zoals afbeeldingen, video, pdf’s horen te staan.

De database

Sommige lekken geven toegang tot de database waar dan ook backdoors in komen. Denk aan nieuwe beheerder-accounts of javascripts die in de content verschijnen.

De database moet je daarom ook goed nakijken.

WPbeveiligen, de oplossing voor alle zorgen

Zoals je hebt kunnen lezen, zijn er nogal wat zaken die je moet regelen voordat een webhoster je website weer online kan zetten.

Voor velen is het gemakkelijkste gebleken om ons te bellen en ons al deze zaken te laten regelen.

Wij zorgen er tevens voor dat je website van de zwarte lijst af komt en communiceren met je webhoster zodat je website zo snel mogelijk weer online komt.

Laat je WordPress website herstellen en beveiligen!

Featured image for Een backup maken van je WordPress website in category BEVEILIGEN

Een backup maken van je WordPress website

/1 Reactie/in ,

Als je een backup wilt maken van je website maar niet weet hoe je dat kunt doen ben je hier op het juiste adres.

Een backup maken, waarom?

Je schrijft misschien wekelijks of maandelijks artikelen, of je laat een ontwerper aanpassingen maken aan je WordPress website.
Als een hacker je website heeft gehackt, kan het zijn dat die niet alleen nieuwe informatie heeft neergezet maar ook je oude heeft verwijderd.

Een hacker plaatst niet alleen code in de zichtbare bestanden maar ook in de core bestanden van WordPress die je als website-bezoeker niet ziet.

Ook als je website compleet met rust gelaten wordt door een hacker of de scripts kan deze de database vullen met code en links die je niet in je WordPress website wilt hebben. Deze handmatig verwijderen of laten verwijderen kost veel tijd en/of geld. Een backup terug zetten van een moment dat er niets met je WordPress website aan de hand was is dan de gemakkelijkste optie.

3 manieren: een backup van je WordPress website maken

  1. De gemakkelijkste methode: via Directadmin
  2. Handmatig, via Phpmyadmin en de FTP
  3. Via een WordPress plugin

Een backup maken via DirectAdmin

Directadmin is 1 van de gemakkelijkste manieren om binnen 3 stappen een backup te maken, maar niet elke hostingpartij levert Directadmin bij je hosting pakket.
Als je wilt testen of je Directadmin hebt, kun je na je webadres :2222 zetten, als je Directadmin hebt verschijnt een login veld.
De gegevens daarvoor heb je van je hosting partij gekregen toen je een pakket aanschafte. 

Stap 1 – Inloggen
Inloggen via je webadres.nl:2222

directadmin inloggen

Stap 2 – Create
Klik op create/restore backups

direct-admin

Stap 3 – Opties
Laat alles lekker aangevinkt staan, het is altijd handig om alle gegevens op te slaan. Maar mocht je echt alleen de data en de Mysql database willen opslaan, vink dan alleen de opties aan die je hieronder in de afbeelding ziet.

directadmin 

Belangrijk: Klik op Create backup
Niet zomaar op een knop klikken! NIET op restoren aangezien je dan de backup van eerder aan het herplaatsen bent.

Kijk eerst of je wel voldoende ruimte hebt om een backup te maken, anders raakt je dataruimte vol en kan de website niet goed meer functioneren.

Handmatig een backup maken

Heb je niet genoeg ruimte op de server voor een volledige backup dan kun je met de vorige methode alleen een backup maken van de database en maak je van de rest handmatig een backup met een FTP programma.

Via een goed FTP programma kun je inloggen op de server en alle bestanden opslaan op de computer.
Gebruik bijvoorbeeld Filezilla, die is gratis en heeft een goede reputatie opgebouwd de afgelopen jaren.

Stap 1 – Download een FTP programma
Download Filezilla en start de software.

Stap 2 – Verbinden met server
Eerst moet je verbinding leggen met je server, de ruimte waar je website staat.

Vul daarvoor de Host in, meestal ftp.JOUWDOMEIN.nl
Dan de gebruikersnaam en het wachtwoord.

Deze gegevens heb je per mail gekregen van je hosting partij bij het aanschaffen van een hosting pakket.

Stap 3 – Open de juiste map
Als je de verbinding hebt gemaakt zie je meestal een standaard aantal mappen waaronder www -of- httpdocs -of- public_html. Hier staan de bestanden die live te vinden zijn via je domeinnaam.

Stap 4 – Bestanden naar computer kopiëren
Kopieer de bestanden naar een map op je computer. Geef die map een heldere naam, bijvoorbeeld je domeinnaam en zet er een datum bij.

Let op! Met deze methode heb je geen backup van de database. Die kun je met de eerste methode maken.

Met een WordPress plugin

Wij hebben enkele gratis plugins getest en 1 van de beste gratis plugins die wij tegengekomen zijn is: Updraftplus (Download de gratis versie of de premium).
Deze plugin maakt het mogelijk om een backup te maken van alle data inclusief de database!
Download Updraftplus hier

Een complete backup maken met 1 muis-klik

De werking van de plugin is heel simpel, na de installatie ga je naar de Updraftplus pagina en klik je op de knop “backup maken”. Je zult dan de voortgang zien van de backup. En klaar ben je!

backup herstellen wordpress

De backup herstellen

Het hebben van een backup is belangrijk, maar het wordt nog mooier: Updraftplus geeft je ook de mogelijkheid om je plugins, thema e.d. terug te zetten vanuit de backup!

backup-herstellen-wordpress

Dit is handig wanneer je WordPress gehackt wordt of wanneer je per ongeluk een plugin verwijdert, of wanneer de update van een plugin voor een defecte website heeft gezorgd. Dat komt nogal eens voor!

Meer pluspunten van Updraftplus

Updraftplus heeft veel functies die in de gratis variant te gebruiken zijn:

  • Het herstellen van alleen plugins, thema’s
  • De backup naar een andere server laten schrijven
  • Het automatiseren van backups op basis van uren, dagen of weken
  • Vertaald in het Nederlands
  • De mogelijkheid om de grootte van de plugins- thema’s e.d. te tellen

Cloudservices

Als je Dropbox of een andere cloudservice wilt gebruiken hebben ze zelfs premium add-ons waarmee je de plugin nog verder kunt uitbreiden.

Featured image for Is je nieuwe WordPress website ook beschermd tegen hackers? in category BEVEILIGEN

Is je nieuwe WordPress website ook beschermd tegen hackers?

/2 Reacties/in , ,

Je hebt net een WordPress website laten maken door een professioneel webbureau en verwacht dat deze goed beveiligd is. Kortom dat hackers en de tientallen scripts die rondgaan op het internet geen misbruik kunnen maken van je website door die te infecteren met spam-scripts met als gevolg dat je website offline wordt gehaald door je website hoster.

Maar.. Mijn nieuwe WordPress site is niet beveiligd?!

Grote kans dat je nieuwe WordPress website nog niet beveiligd is!

Wacht eens even dat is onzin, hij is net nieuw! Bangmakerij. Marketing!

Nee helaas niet, WordPress websites zijn de meest gehackte websites op internet. Dit komt doordat WordPress het populairste systeem is en er zomaar plugins van derden in worden gezet die onveilig zijn.

De lijst van onveilige plugins en releases

Check hier de lijst van plugins en WordPress releases die een update hebben gekregen of mogelijk nog lek zijn:

WPScan Vulnerability Database

Veel programmeurs en website ontwikkelaars hebben nu eenmaal niet de diepgaande kennis die nodig is om WordPress correct te beveiligen.

Ik ontwikkel meer als 10 jaar WordPress websites en wist de eerste 5 jaar ook niet alles van de manieren die hackers gebruiken en over de scripts die van server naar server rondgaan.
Dat leer je pas als je 100+ websites beheert en 2-op-de-10 websites plat gaan door het versturen van spam of het tonen van informatie die niet op de website thuishoort.

Hoe komt het dat WordPress onveilig is?

Dit komt door alle plugins en theme’s die niet door WordPress zelf ontwikkeld worden maar door personen die minder kennis hebben op het gebied van veiligheid.

WordPress is open-source, gratis te gebruiken en krijgt haast iedere maand een veiligheidsupdate.
Plugins die ontwikkeld worden door mensen die er alleen maar “rijk” van willen worden zonder de plugins bij te werken als blijkt dat ze gehackt zijn zorgen ervoor dat WordPress onstabiel wordt.

Hoe test ik of mijn WordPress website beveiligd is?

  1. Kijk eens naar de link in de navigatiebalk van je admin, staat daar nog steeds www.jewebsite.nl/wp-admin waar je inlogt? Dat adres is bij iedere hacker bekend en dus zeer riskant.
  2. Is je login naam “admin”? Ook dit is een standaardgegeven wat als eerste getest wordt bij hack pogingen.
  3. Heb je een hele oude versie van WordPress?
  4. Heeft je website meer dan 10 plugins? Elke extra plugin is een potentieel lek.
  5. Is er geen enkele beveiligingsplugin geinstalleerd? Dan loop je veel risico.

Dit is even de eenvoudige versie hoe je kunt controleren of je website beveiligd is. Dit zijn de meest simpele basisbeginselen om je WordPress te beschermen.

Wat kan er nou gebeuren als mijn website gehackt is?

Als je een website hebt die niet commercieel is en er geen geld mee wordt verdiend, maakt het je wellicht weinig uit of de website gehackt wordt.

Ja maar.. ik heb een simpele website over de de brei-club van een klein dorpje

Het maakt voor een script niet uit of de website commercieel is of over de brei-club van een klein dorpje gaat. Hierin is een script niet selectief, het script zal op iedere mogelijke website zijn bestanden zetten die weer andere websites besmetten.

En de hosting partij die je website host, wil niet dat andere sites besmet worden of je website spam gaat versturen. Dus zetten ze je website offline totdat het opgelost is.

En dat is vervelend, want je website is vanaf dat moment onbereikbaar voor bezoekers + het kost veel meer als de website moet worden hersteld en alle bestanden, backdoors verwijderd moeten worden.

Maar hoe beveilig ik mijn WordPress website dan?

Ik heb diverse artikelen geschreven die je kunt gebruiken bij het beveiligen van je WordPress websites.

Kan wpbeveiligen mijn nieuwe website beveiligen?

Jazeker! WPbeveiligen is actief voor nieuwe websites, bestaande websites en heeft uitgebreide ervaring met thema’s en plugins.

Standaard krijg je ook nog een maand garantie die je kunt uitbreiden naar 3-6-12 maanden.

Een beveiligingspakket is niet eens zo duur als je ziet wat er allemaal voor gedaan wordt!

Wat WPbeveiligen zoal doet:

  1. Zorgen dat de navigatie-balk geen injecties toelaat
  2. Dat bestanden niet te her-schrijven zijn
  3. Dat de root map en uploads mappen geen bestanden bevatten die daar niet horen
  4. Dat bestanden niet zomaar op de server gezet kunnen worden
  5. Een user niet zomaar in de database te zetten is en user-1 niet zomaar te misbruiken is
  6. Dat je een backup hebt van je database en bestanden
  7. Dat WordPress de nieuwste release heeft
  8. Dat een hacker niet zomaar de readme bestanden kan lezen om te ontdekken welke WordPress variant je hebt
  9. Dat de wp-content mappen niet uit te lezen zijn en plugins/uploads mappen niet verkeerd gebruikt kunnen worden
  10. Dat je plugins ge-update worden tijdens de beveiliging en geen gevaar vormen
  11. Dat lekke plugins vervangen worden door andere of niet meer in gebruik gesteld worden
  12. Dat gebruikersnamen en wachtwoorden niet te gemakkelijk te raden zijn voor bots
  13. Dat een brute-force attack niet op je admin uitgevoerd kan worden
  14. Dat gebruikers en bots niet meer als 5 pogingen mogen doen om in te loggen
  15. En meer!
Featured image for 10 misvattingen over de veiligheid van WordPress in category BEVEILIGEN

10 misvattingen over de veiligheid van WordPress

/2 Reacties/in , , , , ,

Hackers weten hoe ze via plugins, thema’s en via de server in je WordPress website kunnen komen. Maar ze maken vooral gebruik van de gewoontes die wij zelf hebben om je WordPress website te hacken.

Er zijn diverse misverstanden over de beveiliging van WordPress waarvan ik er enkele wil bespreken. Zo blijven wij de hackers een stapje voor!

De 10 meest opvallende misvattingen op een rij:

1. Niemand raadt mijn wachtwoord, dit is namelijk “Stroopwafel” en wie denkt daar nu aan..

Helaas, de scripts die geschreven zijn om websites te hacken via de login page gebruiken onder andere de woorden uit het woordenboek om wachtwoorden te raden. En ja, ook w00rden m3t c1jfer5 ertu55en.

2. Als ik mijn WordPress direct bij elke nieuwe release update, blijft het beschermd tegen hackers..

Helaas, je plugins en theme en serverinstellingen zijn ook verantwoordelijk voor veiligheidslekken. En als je alles direct na iedere release update, loop je het risico dat de plugins botsen met de nieuwe code van WordPress.

Op deze manier kan je website ook errors opwerpen met als resultaat dat de site niet meer zichtbaar wordt.

Uiteindelijk zijn errors tussen releases van WordPress en plugins er net zo vaak de oorzaak van dat je website niet meer zichtbaar is, als dat het door hacks komt.

En hoewel het updaten zorgt voor de nieuwste veiligheidsupdates zijn de hackers toch weer de eerste die een lek vinden. Die wordt pas dicht gemaakt nadat er websites gehackt zijn en bekend wordt dat er een lek in de plugin zit.

3. De concurrent heeft mijn website laten hacken..

Die kans is heel klein.

Een standaard hack script is in 90% van de gevallen de hacker.

Er gaan op dit moment meer als 1000+ scripts rond die WordPress websites testen op lekken, zichzelf bij succes verspreiden op de server en zo weer op zoek gaan naar nieuwe sites.

4. Ik heb een plugin die mijn admin verbergt en het maximaal aantal login pogingen beperkt en dus is mijn website beveiligd..

Hackers en hackscripts kunnen helaas gemakkelijk zonder het login panel in de site komen.

Via lekken in bestanden op de server zorgen scripts ervoor dat de database aanspreekbaar is en heeft een hacker (of script) het admin panel van WordPress niet nodig om pagina’s aan te passen.

5. Ik verneem het wel van de hosting als er problemen zijn met de website. Dan kan ik de website altijd nog even laten beveiligen..

Helaas wordt je website vaak genoeg direct offline gehaald, en wordt je daarna op de hoogte gesteld. Maar dan is de website tot die hersteld is niet meer bereikbaar.

Dit om de volgende redenen:

  • Een gehackte website belast de server behoorlijk
  • Een hosting partij kan je gehackte website geen spam laten versturen
  • Een gehackte website beperkt de snelheid van andere klanten in een shared pakketstructuur

Interessant om te weten: een server is in feite een hele snelle computer die de bestanden laadt en toont aan de bezoeker op internet. Hoe snel de server dan ook mag zijn, als de ene server besmet is en virussen verstuurt of pogingen daartoe doet.. houdt die de andere server daarmee bezig en werken ze tegen elkaar in.

Ongeacht of er een server en data verbinding van 100 euro is of een server en verbinding van 10.000 euro.

Kortom, ga verstandig met je website om. Update je website met gepaste regelmaat, maak backups die teruggezet kunnen worden als de site besmet raakt en om te voorkomen dat je website offline gaat.. laat de website beveiligen of ga aan de hand van de info op deze website aan de slag!

Een website vereist onderhoud.

6. Andere CMS systemen zijn beter

Andere zijn minder populair en daardoor minder in de picture. Maar deze hebben net zo vaak of vaker last van lekken.

7. Ik ga naar een duurdere hostingpartij dan is mijn website beter beveiligd

Ook al betaal je 300 euro per jaar aan je hosting, het ligt er maar net aan of ze naast de server ook kennis hebben van programmering binnen bepaalde systemen zoals WordPress.

8. Ik lees me even in, dat beveiligen kan zo moeilijk niet zijn

WordPress heeft diverse forum’s en tientallen artikelen waar mensen uitleggen hoe je de WordPress website kan beveiligen. Maar er gaan maanden overheen voordat je echt alle trucs van hackers a-tot-z kent. En dan moet je alle kennis nog up-to-date houden aangezien er continu nieuwe hacks gemaakt worden.

9. Eens beveiligd, altijd veilig

Als je WordPress op dit moment volledig beveiligd is, maar er over 1-2-3 maanden nieuwe lekken gevonden worden bij plugins, thema’s of de core van WordPress loopt je website weer risico om gehackt te worden. De beveiliging kan ervoor zorgen dat 9-10 hacks niet effectief zijn, maar waterdicht blijft het niet.
Om die reden geven wij standaard een basis garantie en kun je voordelig 3, 6 of 12 maanden garantie bijkopen zodat je over een half jaar ook nog zonder extra kosten kunt genieten van je beveiligde WordPress website.

10. Ik kan zelf zien of de website gehackt is

De meeste scripts draaien op de achtergrond van je server. Het de-facen zoals ze dat noemen waarmee ze laten weten dat je website gehackt is kom slechts 1-op-de-999 keer voor.
Daarnaast zijn er trucs waarmee een scripts zichzelf de-activeert als je ingelogd bent in WordPress. Of wanneer je de website met de pc bezoekt..

Waar je vaak wel effectief mee kunt zien of je website gehackt is: de Malware scanner van Sucuri

 

 

 

Featured image for Mijn WordPress website verstuurt spam, wat nu? in category BEVEILIGEN

Mijn WordPress website verstuurt spam, wat nu?

/4 Reacties/in , , ,

Je krijgt een melding van je hosting provider dat je website spam verstuurt. Of je krijgt een bericht van Google dat je website als onveilig wordt opgemerkt.

Nadat je deze melding ontvangt, komen er vaak diverse vragen bij je op die ik hieronder voor je beantwoord:

Wat betekent het als de website spam verstuurt?

Je website is geïnfecteerd met een bestand dat e-mails verstuurt naar een adressenlijst.

Wat is spam?

wordpress mailSpam is ongewenste reclame. In die e-mails worden vaak producten verkocht waar je liever niets mee te maken wilt hebben. Denk aan viagra, zogenaamde wondermiddeltjes en andere aan geprijsde producten.
Vaak zijn de e-mails en producten nog in het engels ook. De e-mails zijn bedoeld om de massa te bereiken.

Het grootste nadeel wanneer je website spam verstuurt

Met de uitgaande e-mails naar vreemden die je niet kent valt nog te leven. Het opgegeven antwoord-adres dat gebruikt wordt, is van een ander dus je zult zelf geen reacties terug krijgen.
Wat echter vervelender is, dat is de stap die instanties nemen wanneer je website spam verstuurt.
De instanties blokkeren namelijk het ip adres waar de spam berichten vandaan komen. Wat betekent dat alle e-mail van jouw ip adres niet meer aankomt bij andere personen of bedrijven.
In technische termen zetten ze je ip adres van de website op de blacklist.
Als je jouw e-mail zakelijk gebruikt, is dit dus een ramp!

Hoe kun je contoleren of je op de blacklist staat?

Er zijn diverse websites waarmee je kunt controleren of je op een blacklist staat. 1 van de beste is www.mxtoolbox.com
Je vult je website adres in en selecteert: “blacklist”, waarna mxtoolbox een lijst met bedrijven controleert die de controle hebben over het wel-of-niet doorlaten van e-mailverkeer.

Hoe kom je van de blacklist af?

De blacklist verwacht dan dat je het probleem oplost. Kortom je moet het bestand dat verantwoordelijk is voor het spammen van je server verwijderen.
Pas nadat je 100% zeker bent dat je het spamscript of meerdere bestanden hebt verwijderd, kun je een de-listing aanvragen.
Bij een de-listing halen ze je website van de blacklist af wat enkele uren kan duren.

Maar let op: als je een de-listing aanvraagt terwijl je website nog spamt kom je snel weer op de blacklist en de 2e keer duurt het een stuk langer voordat je daadwerkelijk van de blacklist afgehaald wordt.

Hoe vind ik een spam bestand?

Om een spam bestand te kunnen vinden heb je een stukje achtergrondkennis nodig, je kunt een spam/virus bestand aan diverse kenmerken herkennen.

  1. Je herkent een spam bestand aan de extensie. Een spam bestand is een uitvoerend script en dus .php
  2. Een spam bestand is vaak geschreven en gecodeerd door middel van eval/base 64 wat betekent dat je geen reguliere php ziet als je het bestand opent met een code editor. Je zult een lange reeks van cijfers en letters zien staan.
  3. Logischerwijs kun je een nieuwe WordPress installatie vergelijken met wat er op je server staat. Zo vind je bestanden die toegevoegd zijn en wellicht niet thuis horen in de website.
  4. Qua benaming kun je helaas weinig beginnen aangezien ze vaak namen verzinnen zoals object.php of wp-configure.php die enorm veel lijken op de huidige bestanden. Maar als je een doorgewinterde WordPress programmeur bent zoals Wpbeveiligen, pik je de bestanden die niet thuishoren op de site er sneller tussenuit.
  5. Als je kijkt naar de plaatsingsdatum van het bestand op de server, kun je vaak zien dat deze datum afwijkt van de rest van de bestanden die tijdens de installatie op 1 datum staan.

Is het probleem opgelost als het spamscript verwijderd is?

Nee, dan is het probleem niet opgelost aangezien een spamscript op een bepaalde manier op de server terecht gekomen is en die methode niet verdwijnt na het verwijderen van het spamscript.

Enkele manieren hoe een spamscript op de server terecht kan komen

Een spamscript wordt via een lekke plugin op de server geplaatst, via een injectie of via de ftp.
WordPress biedt diverse mogelijkheden waarmee bestanden naar de website geschreven kunnen worden:

  • De media uploader
  • De plugin updater
  • Diverse plugins die rechten hebben om bestanden aan te passen

Die manieren worden ge-automatiseerd door scripts benut.

Wanneer je dus alleen het geschreven bestand verwijdert wat de spam verstuurt, komt het ge-automatiseerde script vanzelf weer langs om het weer op de server te zetten.

Voorkomen dat je een spamscript op de server krijgt

Er zijn diverse manieren om te voorkomen dat je op speurtocht moet naar spamscripts en bestanden die hackers toegang verschaffen tot je server, enkele daarvan kun je lezen in het artikel over de WordPress beveiliging verbeteren en in het artikel wat bespreekt wat je vooral niet moet doen als je WordPress veilig wilt houden.

 

Featured image for WordPress en hackers: hoe verbeter ik mijn WordPress beveiliging? in category BEVEILIGEN

WordPress en hackers: hoe verbeter ik mijn WordPress beveiliging?

/3 Reacties/in , ,

WordPress en hackers: hoe verbeter ik mijn WordPress beveiliging?

Enkele jaren geleden had WordPress een slecht imago. Zo stond het populaire CMS erom bekend dat het een onveilig CMS was, waar hackers zonder enige moeite binnen konden komen om schade aan te richten aan WordPress websites. Op dit moment is de WordPress beveiliging en dus het imago van WordPress wel beter, maar helaas krijgen hackers altijd nog de kans om jouw WordPress website binnen te dringen. Hoe je ervoor kunt zorgen dat je hackers buiten de deur houdt door de WordPress beveiliging van jouw website te verbeteren, lees je in dit artikel. Zo worden er in dit artikel drie belangrijke tips gegeven die je kunt gebruiken om de beveiliging van jouw WordPress website te verbeteren, zodat hackers minder gemakkelijk jouw website binnen kunnen dringen.

Tip 1: kies de juiste hosting

Een goede WordPress beveiliging begint al voor je de website gebouwd hebt en zelfs voor je een account hebt aangemaakt bij WordPress. Zo start het creëren van een veilige omgeving voor jouw website bij het kiezen van een veilig hostingbedrijf, dat jouw WordPress website een veilige internetomgeving kan bieden. Is de internetomgeving al onveilig voor je een WordPress website start door in zee te gaan met een onbetrouwbaar hostingbedrijf, dan heb je als WordPress gebruiker al meteen een achterstand. Ga daarom niet in op goede deals op het gebied van hosting, maar kies een betrouwbaar en gerenommeerd hostingbedrijf.

Tip 2: ga op de juiste manier van start

Als je eenmaal een veilig en betrouwbaar hostingbedrijf hebt gevonden voor jouw website, is het belangrijk om ook met het gebruik van WordPress goed van start te gaan voor een goede WordPress beveiliging. Dit betekent dat je de WordPress beveiliging van jouw website al direct in het achterhoofd moet houden bij het aanmaken van een gebruikersaccount bij WordPress, waarbij je:

  1. De zogeheten Table Prefix aanpast van _wp naar bijvoorbeeld 8fjO18fkcJ_. Hackers weten namelijk dat de Table Prefix automatisch _wp is, waardoor jouw website gemakkelijker te hacken is als je dit niet verandert.
  2. Een goede gebruikersnaam kiest. Gebruik nooit ‘Admin’, maar kies bijvoorbeeld voor je voor- en achternaam of gebruik een bijnaam als gebruikersnaam voor WordPress.
  3. Een goed wachtwoord. Een goed wachtwoord heeft acht tekens, waaronder hoofdletters, kleine letters, cijfers en speciale tekens zoals ! en %.

Door de Table Prefix aan te passen, een andere gebruikersnaam te kiezen dan de automatisch ingestelde ‘Admin’ en een goed wachtwoord in te stellen, verklein je het risico dat hackers gemakkelijk in jouw WordPress website kunnen komen en verbeter je dus de WordPress beveiliging.

Tip 3: kies alleen betrouwbare plugins en thema’s

Er zijn duizenden verschillende plugins en thema’s voor WordPress beschikbaar. Dit is natuurlijk erg prettig omdat je op deze manier als gebruiker de keuze hebt uit vele diverse plugins en thema’s, maar helaas zij niet alle plugins en thema’s van WordPress veilig. Om te voorkomen dat jouw website gemakkelijker toegankelijk is voor hackers, wordt aangeraden om voor het installeren van plugins en thema’s eerst te controleren of deze plugins en thema’s wel betrouwbaar en veilig zijn. Dit kun je doen door te kijken naar de waardering (is deze positief?), de versie (is de plugin of het thema vaak vernieuwd?), de beschrijving (is de beschrijving uitgebreid en goed?) en de installatietekst (is de installatietekst uitgebreid en goed?). Twijfel je of een plugin of thema betrouwbaar is, dan kun je deze plugin of dit thema beter niet downloaden om de WordPress beveiliging van je website niet in gevaar te brengen.

Conclusie

Om ervoor te zorgen dat hackers geen toegang krijgen tot jouw WordPress website door een verbeterde WordPress beveiliging, kun je de volgende stappen ondernemen:

  1. Host alleen bij betrouwbare, gerenommeerde hostingsbedrijven die jaren ervaring hebben.
  2. Gebruik een alternatieve Table Prefix, wijzig je gebruikersnaam van ‘Admin’ naar een gebruikersnaam die je zelf kiest en wijzig je wachtwoord.
  3. Installeer alleen betrouwbare plugins en thema’s.

Alleen als je deze acties onderneemt, kun je de WordPress beveiliging van jouw website zodanig verbeteren dat hackers niet zomaar toegang krijgen tot jouw website. Doe je dit niet, dan is de kans groot dat hackers zonder enige moeite toegang kunnen verkrijgen tot jouw website en je het slachtoffer wordt van de wandaden van deze hackers.

Voor een goede hosting inclusief beveiliging ben je bij WPbeveiligen aan het goede adres. Ervaring sinds 2007 en niet alleen beveiliger maar ook ontwikkelaar van WordPress websites.

Featured image for De backup - een stille redder in nood in category HOSTING

De backup – een stille redder in nood

/1 Reactie/in ,

Voor je het weet heb je binnen enkele maanden een groot aantal uren in je website geinvesteerd. Even een berichtje schrijven in het weekend, een update op maandag en woensdag wat fotos uploaden, enkele pagina’s delen op facebook en linked-in.. Kortom voor je het weet zit er zo 100 uur aan arbeid in je website. En je website krijgt een leuk aantal bezoekers!

En dan kom je op een dag op je website en zie je alleen een stuk code die erop duidt dat je website gehackt is en de data gewist is uit de database.. Weg pagina’s! Weg bezoekers die naar die pagina’s geleid werden via Google, social media en andere websites.

Pas als je data weg is, besef je hoeveel je kwijt bent. En denk je “had ik maar”.. Een backup!

Met een beetje geluk lees je dit artikel op tijd en kun je nog een backup maken!

Wat is een backup?

Een backup is een kopie van al je bestanden op de server die je terug kunt zetten voor als er in de toekomst iets met je bestanden gebeurd. En bij een WordPress website moet je er op letten dat je de database ook opneemt in de backup want die staat namelijk niet tussen de standaard data!

Dus, welke bestanden moet je opnemen in de backup?

Het gaat met name om de database. In de database zet WordPress alle tekst voor de berichten en pagina’s en de instellingen van je thema + plugins.

Na de database is het belangrijk de data veilig te stellen, de afbeeldingen, het thema en de plugins die je gebruikt.
Deze vind je in de wp-content map op de server.

Hoe vaak moet ik een backup maken?

Het is aan te raden dit minimaal iedere maand te doen zodat je niet al te veel data kwijt bent na een hack.

Hoe maak ik een backup van de website?

Dit kan op diverse manieren, de gemakkelijkste methode als je weinig ervaring met de server of ftp hebt is het installeren van een plugin die de backups voor je maakt.

Plugins als IThemes Security, BackWPup en diverse andere plugins doen dit op verschillende wijze.

Let erop dat je de plugin niet alleen installeert maar dat je deze ook goed configureert.

Er zijn vaak diverse keuzes om de gemaakte backup te downloaden of op een andere locatie te laten zetten.
Het spreekt voor zich dat je de back-up NIET tussen de gewone data moet laten opslaan (uploads map) aangezien deze bij een server of hack mogelijk ook beschadigd raken.

Als je handig bent met FTP e.d.

backup wordpress ftp

Als je handig bent met ftp, kun je de bestanden ook handmatig via Filezilla of andere software naar de computer kopiëren. Neem dan minimaal de wp-content map mee, maar het liefst de gehele WordPress installatie inclusief de hoofdmap waar belangrijke bestanden zoals de Htacces en de wp-config staan.

De database kun je vaak via phpmyadmin bereiken. Dit is een beheertool voor de database die bij vrijwel iedere hostingpartij beschikbaar is.
Ga naar de juiste database en klik het tabje export in phpmyadmin en download een sql file of een ge-zipte database.

Maakt WPbeveiligen backups van de websites?

Ja, de server maakt automatisch iedere 7 dagen een backup. En geregeld wordt er ook een backup apart gezet aangezien deze wekelijkse backups iedere week overschreven worden.
WPbeveiligen host al jaren websites en weet hoe belangrijk het is om een backup te bewaren. Als je contact opneemt kun je ook een hostingpakket op maat aanvragen bij ons.

 

 

 

 

Featured image for Mijn WordPress website is traag. Hoe kan dat? in category HOSTING

Mijn WordPress website is traag. Hoe kan dat?

/1 Reactie/in

WordPress websites laden gemiddeld redelijk vlot. Een trage WordPress website is geen goede zaak. Zowel voor jezelf als je de website wilt aanvullen met nieuwe teksten als voor je bezoekers is een trage WordPress website zeer vervelend.

Ik zal enkele oorzaken en oplossingen bespreken die je hebt tegen een trage WordPress website.

1. Een trage WordPress website door plugins

Als je te veel plugins in je website hebt kan dit de website behoorlijk vertragen. Vooral op een budget webhostings pakketje.

Hoeveel is teveel plugins?

Meer dan 8 plugins is niet aan te raden. Tenzij je weet dat het hele simpele lichte plugins zijn.
Elke plugin laadt namelijk javascript aanvragen in de header, of css, of php code die de laadtijd behoorlijk afremmen

Oplossing: deactiveer en verwijder overbodige plugins.

2. Een trage WordPress website door de hostingpartij

Het komt voor dat de hostingpartij teveel websites op een server zet. Het is belangrijk voor WordPress om een goed hosting pakket te gebruiken aangezien er nogal wat php scripts geladen worden.

Heb je een shared hosting pakket? Neem dan afhankelijk van je wensen een vps of zakelijk pakket af. Let erop dat het niet gaat om de hoeveelheid data die je kunt verbruiken of de hoeveelheid schijfruimte.
Het gaat hierbij om de processorkracht die je website kan gebruiken van de server.

Aangezien je dit niet kunt zien, zul je je hostingpartij om advies moeten vragen om erachter te komen of je het ideale pakket hebt voor een vlotte WordPress website.

Wat ook kan helpen is een caching plugin. Maar dan blijft het belangrijk dat je een goede hostingpartij en hostingpakket hebt.

WPbeveiligen host websites op een snelle server en zorgt ervoor dat er genoeg capaciteit is om de website goed te laten werken.

3. Een trage WordPress website door hack pogingen

Zoals je op deze website kunt lezen staan er diverse scripts online die pogingen doen om WordPress websites te kraken.
De scripts vuren talloze aanvragen per minuut af op je server op bestanden zoals de login.php en op andere bestanden op de server.

Al deze aanvragen belasten de server en maken zo de website trager.

Goede WordPress beveiliging zodat de bestanden niet bereikbaar zijn voor scripts of een maximale aanvraagaantal hebben, zorgt ervoor dat je website niet afgeremd wordt door deze pogingen.

Plugins zoals WordFence geven blokkades op basis van het aantal aanvragen per minuut en houden op I.P basis de servers of computers tegen.

4. Een trage WordPress website door spam

Als je website gehackt is door een virus/script en er daardoor een bestand op de server staat die tientallen mailtjes per minuut verstuurt tot aantallen van 2500 per dag.. dan wordt je website ook behoorlijk traag.

Het is belangrijk dat je het spambestand laat verwijderen en de website laat beveiligen zodat het niet weer zal gebeuren.

5. Een trage WordPress website door ontbrekende bestanden

Je zou het niet verwachten maar bestanden die wel aangeroepen worden in de code terwijl ze niet op de server staan, kunnen de website behoorlijk afremmen. Op de bestanden wordt gewacht op een response en dit verhindert het doorladen van andere bestanden.

Zorg ervoor dat alle Js bestanden, php includes en css bestanden een correct pad hebben.

6. Een trage WordPress website door te grote afbeeldingen

Soms is de oorzaak van een trage WordPress website niet zo technisch of ingewikkeld. Afbeeldingen in de tekst of theme die wel klein getoond worden door schalen maar toch 3-5 mb zijn, kunnen de website behoorlijk afremmen door het laden.

Met online snelheidstests en ervaring kan ik snel zien wat een website traag maakt en dit voor je oplossen. Neem contact op als je WordPress website na deze tips nog steeds traag is.