iThemes Security Archives - Pagina 2 van 7

Is de meest gedownloade beveiligingsplugin van WordPress.org de beste?

13 juni 2020/4 Reacties/in Beveiligen, Hackers, Hacks, iThemes Security

De cijfers liegen er niet om, een bekend gezegde. Maar gaat dit ook op voor de meest gedownloade/actieve beveiligingsplugin?

We kijken hier naar de gratis beveiligings-plugins die te vinden zijn in de WordPress plugins sectie van WordPress.org zelf.

Wat is de meest gedownloade/actieve beveiligingsplugin op dit moment?

WordFence heeft 3.000.000 actieve gebruikers
iThemes security heeft 1.000.000+ actieve gebruikers
All In One WP Security & Firewall heeft 800,000+ actieve gebruikers
Sucuri heeft 700.000+ actieve gebruikers
Cerber security heeft er maar 100,000+

WordFence

Het verbaast mij dat WordFence 3x zoveel gebruikers heeft in vergelijking met iThemes Security.
Vermoedelijk heeft dit te maken met de uitgebreide instellingsmogelijkheden van iThemes security die net even te ingewikkeld lijken wanneer je er voor het eerst mee aan de slag gaat, of het komt door de marketing die door WordFence gedaan wordt.

Het kan ook komen doordat iThemes Security bij de premium/pro versie overgaat op een andere plugin waardoor de gratis versie niet meer actief is.
Wanneer je de pro versie neemt krijg je echt een andere plugin, hij werkt hetzelfde maar er zitten meer functies in.

Bij WordFence kun je een licentie kopen waardoor je meer functies krijgt binnen de plugin zelf en dat telt lekker door in de cijfers.

Is WordFence beter dan iThemes?

Dit zal een ja-nee gesprek zijn. Een kwestie van voorkeur en van ervaring.
Wij gebruiken al jaren iThemes. Die werkt goed, ze werken voor de scanner samen met Sucuri en alle functies die nodig zijn heeft iThemes Security. We kennen de functies omdat we de iThemes Security release van 2015 volledig uit elkaar hebben gehaald om te zien welke functies er zijn, hoe goed ze zijn en hoe ze tot in detail werken.

iThemes is gewoon goed, en wat goed is moet je niet veranderen zeg ik weleens.. daar kan het alleen slechter van worden.

Andere beveiligingsplugins

Je hebt all in one security, die echt veelste all-in-one is wat mij betreft.
Je hebt Cerber die zoals je boven kunt lezen “maar” 100.000+ actieve installaties heeft.
Cerber is een ontzettend goede plugin, met hele mooie functies waar WordFence en iThemes nog veel van kunnen leren. Daarom vinden we het verrassend en jammer dat er zo weinig gebruikers zijn.
Maarja, CERBER, dat bekt marketingtechnisch ook voor geen meter toch? Probeer het maar eens te onthouden 😉

Is de meest gedownloade/actieve beveiligingsplugin de beste?

Mja, WordFence en iThemes zijn de beste op dit moment.
Ze hebben een goede cashflow en daardoor een goed team achter zich staan.
Of die het beter doen dan Cerber of All-In-One-Security? Dat valt in verhouding nog te betwijfelen maar aangezien de wereld van hacks ontzettend snel gaat kunnen hun WordFence en iThemes het nog t’ beste bijhouden.

Vandaag is een plugin of WordPress installatie nog veilig, en morgen wordt er een lek gevonden waardoor 400.000 websites door hackers overgenomen kunnen worden.
Welk team dit als eerste oplost, keer-op-keer, week na week dat is de beste keuze voor een beveiligingsplugin.

Een product is zo goed als het team, cijfers zijn alleen relevant als men met veel passie doorgaat. Want dat doen de hackers over de hele wereld ook.

Wat dat betreft, petje af voor alle bouwers van beveiliginsplugins!

Zoek je een goede beveiligingsplugin, ga dan voor WordFence of iThemes Security.

Wil je echt zeker zijn dat je website veilig is? Hou dan in gedachte dat een product zo goed is als het team erachter en dat jij daarna als zwakste schakel komt.

De beveiligingsplugin moet correct geconfigureerd worden, dit is bij zowel WordFence als bij iThemes echt even een klusje waarvan wij zeggen: dit kun je gewoon niet als website-eigenaar.
Ook niet als WordPress programmeur.

En waarom?

Je moet instellingen aan/of uit zetten zoals de XML-RPC, de REST API, Directory browsing, de Logboeken.

Wij hebben er jaren over gedaan om dit goed in te stellen. Bepaalde plugins hebben namelijk de XML-RPC of de REST api nodig, soms is het blokkeren van alle 404 ip’s niet gunstig.

Het is een vak apart, een heel interessant vak. Maar niet iets wat je zelf kunt doen.

Huur ons gerust in, of stel vragen onder dit artikel

Wanneer je een serieuze bedrijfswebsite hebt kun je ons inhuren voor het beveiligen van je website. Zeker wanneer je een webshop bezit is de beveiliging een noodzaak en geen luxe!!

We sturen een betaalbare factuur met BTW die je aan je boekhouder kunt geven of op kunt geven aan de belasting.

Als je toch zelf aan de slag gaat, doe dan voldoende research zoals je dat nu doet wanneer je dit hele artikel gelezen hebt (complimenten daarvoor!). Je kunt meer leren op onze website bij de nieuws-sectie maar natuurlijk ook door te zoeken op Google zelf.

Je kunt ook vragen stellen onder dit artikel, soms hebben we een drukke week maar we doen altijd ons best om binnen enkele dagen antwoord te geven.

Plugins, “het snoepgoed” van WordPress

24 september 2019/9 Reacties/in Beveiligen, iThemes Security, Oplossen, Updaten, WooCommerce

54 DUIZEND gratis plugins!

WordPress.org biedt 54.826 plugins aan op dit moment.

Plugins waarmee je jouw blog of bedrijfswebsite naar een hoog niveau kunt tillen.

Maar, het is net als snoep: je moet er niet te veel van nemen, anders gaat het tegen je werken. Ook al is dat lastig, want het is zooo verleidelijk om ze allemaal te proberen.

En nu zou je zeggen, dat hebben we vaker gelezen. We weten het nu wel, niet te veel plugins, veiligheid, snelheid van de website bla bla bla..

Wij beheren veel websites, al 10+ jaar.. we kunnen je vertellen: er wordt een potje van gemaakt!

Professionele webbureau’s

Professionele webbureau’s gooien nog steeds te veel plugins in de website. En niet alleen te veel, maar ook plugins die niet met elkaar samenwerken.

Voorbeeld: Je kunt 1 seo plugin inzetten, maar kunt kiezen uit tientallen op WordPress.org

Je hebt een plugin om Google te sturen, je hebt een plugin om xml sitemaps mee te maken, je hebt een plugin om data gestructureerd weer te geven voor Google.. etc
Nadeel: ze doen allemaal een beetje van alles. Ze overlappen elkaar ook in functies. Ze werken NIET samen! Dat merk je vanzelf als je onverwachtse resultaten krijgt of problemen met indexering in Google.

Installeren van plugins kan iedereen, maar goed instellen is een studie op zich.

De overbeladen website sneller maken met nog meer plugins?!

Ook zo’n mooie. We zien wekelijks websites die snel moeten zijn, en dus voorzien zijn van meerdere caching plugins.

1 voor de speedtest, 1 voor Google, 1 voor het lazy loaden van afbeeldingen, 1 voor het cachen van Html & Css en natuurlijk 1 die de query’s samenvoegt waardoor je website nog sneller wordt! En om het allemaal weer in balans te brengen een super caching om statische pagina’s te leveren..

Dat kun je vergelijken met het nemen van Energy drink voor de energie, een paracetamol tegen de hoofdpijn van de energy drink om daarna met een maagbeschermer en een anti-misslijkheidspil aan de slag te gaan.
Gekkenhuis, niet doen!

NATUURLIJK kun je 1 plugin voor de snelheid gebruiken en 1 plugin voor de seo, maar doe wel eerst je research. Kijk welke functies ze hebben, hoe ze werken en of je ze naar wens in kunt stellen.

Nog een valstrik, premium plugins

Premium plugins zijn professioneel, dus dat is in orde!

FOUT! Ook als je plugins koopt van 199 dollar heeft daar een team aan zitten werken dat de plugin tot een vliegtuigcockpit ombouwt.

Want de klant wil alles kunen doen! Alles kunnen beheren zonder ook maar 1 letter code te schrijven, alles moet klik and play zijn.
Heel leuk maar de impact die dat op de website heeft, dat wil je niet weten. Complete teams schrijven maanden aan code met een groot aantal functies en aanpassingsmogelijkheden waar jQuery databases voor uitgeladen worden, inline code in de html wordt gesmeten.. alles voor de verkoop van die dure plugin en voor de wensen van de klant.

Wees dus ook erg voorzichtig met premium plugins.

Houdt het bij 5-15 plugins max!

Eis van je webbouwer dat hij niet elke functie met plugins inzet.
We weten het, t’ scheelt hem werk en tijd, de kosten blijven laag maar op de lange termijn brengt het vrijwel altijd problemen met updaten en de werking van de website.

Gooi als website-eigenaar ook niet zomaar plugins in je website.

Maar ook jij als eigenaar van je website, smijt niet zomaar plugins in je website 😉
Ik weet het, je loopt tegen een probleem aan en ziet dat dit met 1-2 muisklikken opgelost is. Maar je helpt mogelijk de structuur van je website om zeep met de plugins die je inzet.

Leuk verhaal WPbeveiligen!

Van de snoepwinkel naar een verhaal over wat je allemaal NIET moet doen. Daar worden we lekker vrolijk van!

Nu je weet wat je niet moet doen, helpen we je op weg om het wel zo goed mogelijk te doen.

Plugins, wat wel te doen:

Zoek uit welke plugin het beste werkt door middel van wat research.Voorbeeld: je wilt een cachingplugin inzetten?
Zoek dan: best 5 caching plugin for wordpress in Google of duckduck 😉
Maaaaar, let op de 1e en 2e zijn vaak reclame. Zowel in Google als op de website in het artikel zelf. Dan krijgen ze commissie als je de plugin koopt. Dus kijk gerust naar een gratis versie en neem niet de “allerbeste” waar je alleen met een betaling of abonnement aan kunt komen. Een gratis plugin is geregeld net zo goed als een betaalde.
Bekijk de reviews
Plugins hebben een “star rating”, kijk naar het aantal personen wat de waardering heeft gegeven en dan naar het aantal sterren dat de plugin verdiend heeft.
Kijk of de plugin nog recent geupdate is, en dus bijgehouden wordt door de ontwikkelaar.

Nu nog een lijstje met gratis plugins die zich de afgelopen jaren bewezen hebben:

Autoptimize – Voor de snelheid van je website.
WooCommerce – Van WordPress zelf, voor een webshop
Yoast SEO – De beste plugin voor het optimaliseren voor Google
iThemes Security – Beveiliging is onmisbaar!
Count per day – Ontdek hoeveel bezoekers je website krijgt
UpdraftPlus – Voor de backups, je hoster bewaard beperkt

Allemaal te vinden in de geweldige plugin-bibliotheek van WordPress.org

Heb jij nog top-plugins? Of vragen? Laat het weten in de reacties!

Maar onthoud, niet te veel plugins tegelijk he!

De WordPress SiteDiagnose – Wat kun je ermee?

7 juli 2019/7 Reacties/in Hosting, iThemes Security, Malware, Sitediagnose

Automattic (de makers van WordPress) hebben een nieuwe tool aan WordPress toegevoegd. De Sitediagnose.

Vermoedelijk een functie die voornamelijk gebruikt zal worden door gevorderde programmeurs en beheerders.

Heb jij de sitediagnose al gebruikt?
Wij durven te wedden van niet 😉

Wat kun je met de sitediagnose?

De sitediagnose geeft je technische informatie over je WordPress website.
Informatie die voornamelijk interessant is voor programmeurs of webmasters die de site moeten onderhouden.

De sitediagnose, even serieus..

Wanneer je een goede programmeur bent, kijk je natuurlijk direct op de juiste plek, dat is de wp-config, in de database of bij de server zelf. Wanneer er dan iets verkeerd staat kun je dat direct corrigeren.

Maar jij wilt de sitediagnose toch gebruiken

We loodsen je door de meest waardevolle informatie van de sitediagnose en leggen uit hoe je die informatie kunt gebruiken.

Ga bij de sitediagnose naar de tab “informatie”

Daar zie je een kopje genaamd WordPress
Hier kun je de WordPress release zien die je website nu gebruikt, voorheen stond die informatie rechts-onderaan elke admin pagina maar tegenwoordig staat daar “update naar…” waardoor je dus naar deze sitediagnose kan om de huidige WordPress versie te zien.

Dan de Mappen en groottes
Waar je naar kunt kijken is de databasegrootte. Die hoort tussen de 10 en 30mb te zijn. Bij hele grote websites is 50-90mb ook mogelijk maar als je een database hebt van 200-400mb moet je toch eens kijken in de tables of dit wel goed gaat.
Sommige plugins slaan namelijk zoveel informatie op dat de database onnodig belast wordt en traag wordt.

Het actieve thema
Heel leuk maar dit kun je ook bij weergave > thema’s zien.

Must use plugins
De vertaling laat hier te wensen over, maar wat je hier ziet zijn plugins die verplicht zijn. Ze staan in de multisite map en zonder dat stukje code werkt een andere plugin niet.
Hier valt meestal niets interessants te zien.

De actieve plugins
Heeft je website meer dan 25 actieve plugins? Kijk dan eens of er overbodige plugins zijn die je kunt verwijderen. Elke plugin roept een stuk code op die de website trager maakt. Tevens vergroot je de kans op malware met veel plugins. (Zie wpvulndb.com voor de lekke plugins van dit moment)

Media afhandeling
Niets te zien, tenzij je afbeeldingen niet schalen bij het uploaden. Al is de kans groter dat dit ligt aan de schrijfrechten van de uploads mappen.

De Server
De php versie is erg belangrijk, die hoort enigszins up-to-date te zijn.
Voor de veiligheid en de snelheid van de website is 1 van de laatste stabiele php versies aan te raden.
Het php geheugenlimiet moet minimaal 64-96MB zijn, maar bij een grote website of webshop is 256-521MB beter.

De Database
Voor de meesten is de database-informatie te technisch. Dit is hosting-informatie, je gaat ervan uit dat je hoster dit onder controle heeft.
Je ziet er wel de database-prefix, als dat de standaard en welbekende wp_ prefix is kun je dit beter aanpassen. (Bijvoorbeeld met ithemes security bij tabblad geavanceerd)

WordPress contanten
Dit is ook weer informatie voor de doorgewinterde programmeur, en die zal niet naar de sitediagnose gaan 😉
Maar als echt wilt kun je hier zien of de debug modus aan-of-uit staat, of de debug-logging aan staat, en of de paden naar de wp-content, de plugins goed staan.

De rechten van het bestandssysteem
Die termen.. welke vertaler verzint ze.
Hoe-dan-ook je kunt zien of de belangrijkst mappen zoals de hoofdmap, de wp-content map, de plugins map en enkele andere mappen schrijfbaar zijn.

Conclusie en slot

Als jij de sitediagnose van WordPress wel eens gebruikt hebt, laat het weten in de reacties. En of je er iets aan gehad hebt.

Eerlijk gezegd is de informatie voornamelijk voor de gevorderde programmeur en die kijkt direct op de plekken waar de instellingen staan in plaats van via deze diagnose tool.

Veiligheid

Het vergaren van technische informatie over een website is het eerste wat een hacker doet, of je dus een code in de website wilt hebben die alle technische informatie toont?!
Liever niet!

Handleiding – Beveilig je WordPress website goed met de gratis iThemes Security plugin

2 juli 2019/6 Reacties/in Antivirus, Beveiligen, Hackers, Hacks, iThemes Security, Malware

Je wilt je WordPress website beveiligen tegen hackers en malware. Toch? Dat kan op veel manieren maar we gaan ervan uit dat je geen kosten wilt maken.

We laten je nu stap voor stap zien hoe je de gratis versie kunt installeren en belangrijker nog:

hoe je iThemes Security voor WordPress optimaal kunt instellen

Laten we beginnen met de installatie. We gaan ervan uit dat je nog geen antivirus plugin op je website hebt geactiveerd. Heb je dat wel gedaan? Dan is het aan te raden de oude te verwijderen aangezien twee beveiligingsplugins niet bevorderlijk zijn voor de snelheid en werking van je website.

Heb je WordFence? Cerber? Ninja Security? Dan moet je toch kiezen 😉
Wordt het iThemes Security, lees dan verder!

Backup

Voordat je aan de slag gaat, maak je eerst een backup van je website.
Een backup kun je bijvoorbeeld met de gratis plugin Updraftplus maken.

De installatie van iThemes Security

Ga in je admin naar plugins > nieuwe plugin.
Typ dan ithemes in het zoekveld, waarna iThemes Security verschijnt.
Klik op “Nu installeren”.
En hierna op “activeren”.

Dat was niet zo moeilijk toch?
Maar nu begint het instellen.

Beveiligingscontrole

Als je iThemes Security voor het eerst installeert zul je eenmalig een scherm zien met enkele standaardopties.

Je kunt op de blauwe knop klikken waardoor ithemes direct enkele standaardfuncties aanzet. Die zul je later in deze handleiding nog tegenkomen.

Velen denken dat alles nu direct goed staat

Maar als je het meeste uit je websitebeveiliging wilt halen zijn er nog diverse opties die je aan kunt zetten. In de volgende stap helpen we je bij het instellen van diverse belangrijke functie die nu nog niet aan staan.

iThemes Security instellen

Ga in je admin naar de tab “Beveiliging > instellingen” als je die opties nog niet voor je hebt.

Je ziet daar diverse blokken, de lichtblauwe zijn actief en de wit/grijze blokken nog niet.

Let op: we zullen niet alle functies aanzetten. Denk bijvoorbeeld aan de afwezigheidsmodus waar je je admin in de nacht onbereikbaar mee kunt maken.. leuke functie, maar gewoon niet doen 😉

Laten we beginnen met instellen!

Als eerste ga je naar het blok: Globale instellingen

Daar scroll je naar beneden totdat je de dik gedrukte zin ziet staan met “Dagen om de database van logboeken te bewaren“.
Die zet je van 60 dagen naar 25 dagen.

Waarom: binnen 60 dagen worden er soms zoveel meldingen aangemaakt dat je database te veel belast wordt. Waar je database met enkele berichten 10 MB groot kan zijn kunnen de logboeken zomaar 125+ MB aan data vast gaan houden. Dat is niet bevorderlijk voor de snelheid van je database, en dus je website.

Nu ben je klaar en ga je naar het volgende blok: Notificatie Center

Daar staat standaard aangevinkt dat de notificaties naar iedere beheerder gaat. Dat is niet de bedoeling, we gaan ervan uit dat jij de website beheert en in dat geval is het zelfs riskant om alle notificaties naar iedere beheerder te sturen. Vink “alle beheerders uit” en vink je eigen naam aan.

Het is aan te raden om de dagelijkse beveiligingsupdate en site lockouts uit te vinken. We gaan ervan uit dat je website regelmatig controleert en/of de logboeken bekijkt. Hier zullen we later nog op in gaan.

Waarom de notificaties uitzetten? Nou, anders krijg je elke dag een e-mail wanneer er ook maar iets gebeurd met de website. Denk aan het blokkeren van de inbraakpogingen door bots. Het kan zijn dat je zelfs meerdere keren per dag e-mails ontvangt omdat inbraakpogingen door bots veel voorkomen. De beveiligingsplugin houdt ze tegen maar je wilt niet de zenuwen krijgen van elke keer wanneer de plugin zijn werk doet.

Vergeet de instellingen niet op te slaan met de blauwe knop onderaan voordat we naar het volgende blok gaan.

De 404 detectie

Zet deze functie aan. De 404 detectie houdt bij hoeveel pagina’s er door een specifieke computer opgezocht worden. Bij bots, virussen en malware zijn dit er heel veel in korte tijd omdat die aan het vissen zijn naar lekken in plugins, thema’s en je WordPress release.

Heb je nu veel bestanden/afbeeldingen in je website staan die niet goed doorgelinkt zijn? Dan kan dit ook 404’s opleveren waardoor je gewone bezoekers mogelijk geregistreerd worden.
Zet de “drempelwaarde” daarom van 20 fouten naar 50 fouten. Dan moet iemand wel heel erg zijn best doen om geregistreerd te worden door de 404 monitor.

Ps: de registratie van de 404’s is niet alleen passief maar ook actief. Wanneer er te veel 404’s van een IP adres komen, wordt deze tijdelijk geblokkeerd. Als die pc/persoon/bot doorgaat met het bezoeken van foutieve pagina’s zal die uiteindelijk een langere of zelfs permanente ban krijgen. Wat betekend dat die de website niet meer kan bezoeken ofwel lastig kan vallen.

En dat is waar je het voor doet, je wilt niet dat hackbots de capaciteit van de server misbruiken.

Database backups

Kijk of je een backup in je mailbox wilt hebben of dat je de “backup methode” in wilt stellen op alleen lokaal opslaan. Zoals we eerder aangaven is iThemes Security ervoor om zijn werk te doen maar niet om je de zenuwen te geven met e-mail notificaties en data.

Lokaal opslaan zorgt ervoor dat de backup van de database op de server opgeslagen wordt. Verander dan wel het aantal “te bewaren backups” naar 3 tot 10 of bijvoorbeeld.

Ps: vink onderaan de functie “Plan database backups” aan zodat de backups automatisch aangemaakt worden. Het backup-interval kun je dan op 2-3 dagen zetten of zelfs elke dag.

Stel dit af zodat je minimaal 2-3 weken aan database backups hebt. Als er iets aan de hand is en je hebt een backup van 14 dagen geleden nodig moet die er natuurlijk wel zijn!

De backup bevat o.a. alle instellingen van je website, van plugins en de tekst van alle pagina’s + berichten.

Ga nu naar het blok: Bestandswijzigingen detectie

Activeer het blok/functie bestandswijzigingen-detectie. Deze functie houdt de bestanden in de gaten (te zien bij de logs, komen we later nog op terug) en houdt bij welke bestanden er aangepast, verwijderd of toegevoegd zijn. Een kenmerk van virussen en malware is het bijschrijven van bestanden waaronder backdoors, mailscripts e.d.

SSL

Als je een certificaat hebt (bezoek je website met https om dat te checken) kun je de ssl aanzetten. Alle verzoeken worden dan over https verzonden, zowel front-end als in de back-end.

Ga nu naar het blok: Systeem Tweaks

Activeer de Systeem Tweaks en ga naar de instellingen van dit blok.
Hier vindt je enkele belangrijke opties die je kunt activeren:

Systeembestanden: vink aan, dit zorgt ervoor dat de readme.html, de license.txt en diverse andere belangrijke informatiebronnen voor hackers geblokkeerd worden.
Bladeren in mappen: vink aan zodat mappen niet te doorzoeken zijn voor bots en hackers.
Verzoekmethodes: kun je aanvinken maar dit zorgt er bij complexe plugins voor dat sommige functies niet werken, dus even testen en weer uitzetten als functies in je website niet meer werken.
Verdachte Query Strings: vink aan om verdachte aanvragen te blokkeren. Kijk ook nu (nadat je de instelling opgeslagen hebt met de blauwe knop) of de functies van je website nog werken. In de regel blokkeert deze optie alleen verdachte aanvragen maar sommige plugins zijn gecodeerd op een onhandige manier of middels code die ook door hackers gebruikt wordt waardoor deze optie dus de functies blokkeert.
Bestanden schrijven rechten: vink aan om de schrijfrechten van bijvoorbeeld de htaccess en wp-config in te stelllen op “alleen lezen”.
Dit zorgt ervoor dat deze essentiële bestanden niet aan te passen zijn door plugins en diverse hackscripts.
Php in uploads: vink aan. Er horen nooit scripts uit de uploads mappen uitgevoerd te worden. Dat is iets wat hackscripts of hackers doen. Die uploaden bestanden naar die beschrijfbare mappen omdat ze altijd te vinden zijn in de volgorde: wp-content/uploads/jaar/maand.

Dat was het voor dit blok, er zijn meerdere opties maar die kun je het beste uit laten.

Je hebt nu alle instellingen doorlopen en hebt je website goed beveiligd.

Er is meer bij de tab “geavanceerd”

Je zou denken dat je nu alles uit je gratis beveiligingsplugin hebt gehaald.
Maar er is meer!

Rechtsboven bij de blokken zie je staan: alle | aanbevolen | geavanceerde

Je kunt daar 3 interessante dingen doen:

Je standaard admin adres wijzigen bij “verberg backend”
Activeer deze functie en voer je eigen login adres in bij “login slug”.
Wel even goed onthouden of opschrijven, maar nu kunnen hackers en bots geen brute force aanvallen meer doen op het welbekende wp-admin adres en heb jij je eigen loginadres!
Wijzig de database tabel-voorvoegsel
Om het hackers nog een stukje moeilijker te maken kun je het welbekende wp_ aanpassen naar een zogenoemde eigen prefix.
Wijzig het ID 1 voor de admin gebruikersnaam
De allereerste gebruiker die aangemaakt wordt heeft beheerdersrechten. De zogenoemde administrator. Dat weten hackers en hackscripts maar al te goed. Je kunt het ID aanpassen zodat ze er langer over doen om een ID met beheerrechten te vinden.

Alles is ingesteld, nu kun je de site monitoren! (De logboeken)

Voor hackers en hackscripts is het nu veel moeilijker om je website binnen te komen.
Maar mocht er toch iets gebeuren kun je dat zien in de logboeken.

Tot slot

We hopen dat we je goed hebben kunnen helpen met deze handleiding. Zoals je gezien hebt, blijft het nog wel even een klusje om het in te stellen maar dat weegt niet op tegen de moeite die je moet doen om een gehackte website te herstellen. En dan ook nog de schade die de reputatie van je website/bedrijf bij Google en je bezoekers heeft opgelopen als je site gehackt is.

Je website laten beveiligen door ons?

Heb je een bedrijf en wat budget om je website door een professional te laten beveiligen en beheren?
Kijk dan eens bij de complete service die we kunnen aanbieden!

iThemes Security PRO
Beveiliging op maat
Dagelijkse backups
Helpdesk bij beveiligingsvragen
Updates door ons geregeld
Monitoring middels 10+ gerenommeerde scanners
En meer!

Bekijk onze pakketten

Zijn premium / pro plugins veiliger dan de gratis versie?

29 juni 2019/8 Reacties/in Hackers, Hacks, iThemes Security, Updaten, WooCommerce

Het hoort niet uit te maken of je een premium of gratis versie van een plugin gebruikt. Ook de gratis versie moet veilig zijn! Dat is de verantwoordelijkheid die de pluginbouwer heeft.

Dat is hoe wij erover denken.

Maar…

Helaas zijn wij diverse voorbeelden tegengekomen in die uitwijzen dat een premium / pro plugin eerder ge-update wordt bij een lek dan de gratis variant.

Bij diverse plugins worden de lekken maandenlang niet opgelost in de gratis versie!!

Enkele voorbeelden waarbij de premium / pro versie veiliger is dan de gratis versie:

WordFence Security

WordFence is een plugin die je WordPress website beveiligt. En ja, de gratis versie is ook behoorlijk veilig en up-to-date.
Maar..

ze updaten de gratis versie eens per maand

Zoals ze het zelf zeggen “every thirty days“.

De premium / pro versie waar je voor betaald krijgt live updates. Dus direct wanneer het nodig is. Zowel de bestanden als de firewall die hacks tegenhouden wordt live up-to-date gehouden.

iThemes Security

Ook een plugin waarmee je WordPress beveiligt. iThemes Security geeft de betaalde versie veel meer aandacht dan de gratis variant. Een beveiligingsupdate wordt vrij vlot doorgevoerd in de premium versie maar..

soms blijft een exploit weken tot maanden hangen in de gratis versie

Diverse andere plugins

Er zijn veel voorbeelden van plugins waar lekken ontstaan die de pluginbouwers gemeld krijgen.
De patch (fix tegen de hack) wordt dan na 5-10 dagen doorgevoerd in de premium / pro versie maar de gratis versie blijft achter.

Soms blijft een lek maanden in de plugin zitten nadat een lek bekend is waarbij die zelfs uit de WordPress plugins database verdwijnt

Het goede nieuws

Wanneer gratis plugins op WordPress.org staan worden ze verwijderd totdat het lek gemaakt is.
Er zijn diverse partijen die de lekken melden bij WordPress en er is een zero tolerantie beleid wat betreft lekke plugins.

Een lek / exploit, wat moet ik me daarbij voorstellen?

Enkele voorbeelden van recente lekken in plugins:

De administrator lek
Het komt geregeld voor dat een lek in een plugin toestaat dat er een administrator account aangemaakt wordt.
Als een hacker of script toegang heeft met administrator-rechten, kan die alles doen wat hij wil.
Meestal wordt er reclame in je website gezet, of een script ge-upload waarmee reclame via je website verzonden kan worden naar duizenden adressen..
En daarna worden de overige administratoren verwijderd. Kortom, je komt niet meer in je website om de hack ongedaan te maken.
Het spreekt voor zich dat dit lek bij bekend raken zo snel mogelijk opgelost moet worden en niet weken tot maanden in een website moet zitten.
De database injectie
Plugins hebben vaak invoervelden op de front-end (Voorkant) van je website. Denk aan review plugins, contact formulieren e.d.
Als die velden niet goed beveiligd zijn, kan een hacker of script die simpelweg misbruiken om data in je database te zetten.
Binnen 1 seconden kan zo’n script dan administratoren aanmaken in de database, tekstwijzigingen doorvoeren in je gehele website met alle gevolgen van dien.
De nieuwsbrief hack
Heb je een nieuwsbrief formulier? Waar bezoekers zich in kunnen schrijven? In het verleden zijn er lekken in zulke plugins gevonden waardoor de hacker zijn e-mailadres kon toevoegen als aanmeldadres. Dat betekent dat iedere aanmelding van een bezoeker ook bij hem bekend werd. Je vraagt je af wat een hacker daarmee moet, maar grote aantallen e-mailadressen met namen zijn geld waard. Daar wordt reclame naar gestuurd. Er zijn personen die lijsten met e-mailadressen en voor+achternamen opkopen.
Ook weer een lek waarvan je niet wilt dat die misbruikt wordt. Je hebt het niet snel door maar je gebruikers hebben er veel last van aangezien die de spam binnenkrijgen.
Het WooCommerce lek
Plugins die je webshop verbeteren hebben vaak toegang tot de database. In je database staan alle accounts van je klanten. Er zijn diverse lekken voorgekomen in het verleden waarbij plugins hackers toegang gaven tot de database en alle klant-informatie.
Het behoeft geen uitleg dat zo’n hack direct of z.s.m gefixt moet worden wanneer die eenmaal bekend wordt!

Wie test mijn website op lekken?

Je verwacht natuurlijk dat jouw webshop niet vaak getest wordt. En dat een lek daardoor niet zo snel misbruikt kan worden.

Helaas werkt dit niet zoals je denkt.

Wanneer een lek bekend wordt, schrijven hackers scripts die als volgt werken:
1. Het script zoekt op Google naar webshops (Daar sta jij ook tussen)
2. Het script doet aanvragen op de websites naar de bekende lekke plugins
3. Wanneer de lekke plugins gevonden wordt, gebruik het script dat bekende lek om een hack uit te voeren

Veilig met een beveiligingsplugin, toch?

Zelfs wanneer je website beveiligd is, kan zo’n lek nog misbruikt worden. Beveiliging staat namelijk de (uit)werking van plugins toe, anders zou je website niet kunnen functioneren! De plugins up-to-date houden zodat er geen lekken in zitten is daarom erg belangrijk.

Conclusie

Nu je weet dat de bouwers van plugins de premium / pro versie eerder veilig maken.. kun je overwegen om een premium te kopen. Zeker als je afhankelijk bent van je website voor inkomsten, of als je een webshop hebt met veel klanten.

Premium is nog altijd geen garantie voor 100% veiligheid, maar uit de voorbeelden is gebleken dat het wel een verschil maakt.

Interview Van Ryan Dewhurst (WPScan) & Mark van WordFence over de veiligheid van je WordPress website

29 juni 2019/3 Reacties/in Beveiligen, Hackers, iThemes Security, Malware

Ryan Dewhurst is de bedenker en oprichter van WPScan, in dit interessante interview met WordFence legt hij uit wat WPScan kan en wat dat betekent voor de veiligheid van WordPress.

Wat is WPScan?

WPScan is een programma dat draait in Linux (Momenteel standaard geïnstalleerd in Kali Linux) waarmee je de veiligheid van je WordPress website kunt testen.

WPScan geeft je de mogelijkheid de volgende veiligheidstests te doen waarbij zowel informatie als zwakheden tevoorschijn komen:

Gebuikersaccounts
WPScan zal pogingen doen voor het extraheren van gebruikersnamen/accounts.
Een gebruikersnaam is 50% van de benodigde logingegevens om in het WordPress administratiepanel te komen.
Brute force tests op wachtwoorden
Met een flinke woordenlijst vuurt WPScan allemaal wachtwoorden op de website af. Wanneer het juiste wachtwoord geraden is zul je dit resultaat zien.
Het checken van de actieve plugins
Zowel de plugins als de versie van de plugin + de bekende lekken voor die versie worden vertoond.
WordPress lekken
Op 6 manieren wordt de actuele versie van WordPress opgezocht.
Als er lekken zijn in de betreffende versie worden die direct weergegeven.
En meer..

Met WPScan kom je erachter waar je website lek is en welke stappen je moet ondernemen om je website veiliger te maken.

WPScan wordt een pen-test genoemd. Dit is een afkorting van “penetration test”. Kortom: hoe ver komt een hacker of hackbot in je website.

Het begin van WPScan

WPScan is in 2011 opgericht als tool om WordPress websites te testen op hun veiligheid.

In 2014 is daar de website wpvulndb.com bijgekomen, een openbare website waarop iedereen gemakkelijk kan zien welke plugins, thema’s of WordPress core lekken (exploits) bevat.

WordFence en WPScan

WordFence, die een gerenommeerde beveiligingsplugin voor WordPress ontwikkeld heeft, maakt al een ruime tijd gebruik van WPScan om WordFence te verbeteren. Ze kijken hierbij naar de zogenoemde exploits (uit te buiten zwakheden) die WPScan aangeeft.
Tevens gebruiken ze de informatie van wpvulndb.com om te zien welke plugins lek zijn.

Tips van een beveiligingsexpert

Je kunt je beschermen tegen hackbots en hackers die diverse methodes gebruiken om je website te hacken.
De 3 belangrijkste somt Ryan Dewhurst op in het interview:

Beperk het aantal administratoren die je website kunnen beheren
Gebruik goede wachtwoorden
Installeer een beveiligingsplugin zoals bijvoorbeeld WordFence

Aanvulling: het gebruik van een beveiligingsplugin zorgt ervoor dat hackers weinig informatie uit je website krijgen. De aanvragen van hackbots worden geblokkeerd op basis van patronen, de specifieke query’s en op basis van het aantal aanvragen.

Wij gebruiken zelf iThemes Security PRO, maar raden iedereen aan die nog geen klant van ons is: zet minimaal 1 beveiligingsplugin in je website en configureer die beveiligingsplugin goed. Zonder beveiligingsplugin is je WordPress website een open deur waar net zo lang aan gerammeld kan worden totdat een hacker in het admin kan komen met en malware kan plaatsen met alle gevolgen van dien.

Het interview

Als je de Engelse taal beheerst kun je het volledige interview zien.

https://youtu.be/uiN1j3BvqIc

Is de video niet meer beschikbaar? Laat het even weten info[a]wpbeveiligen.nl dan zoeken we een alternatief op youtube.

iThemes Security PRO 6.0 is uit! Wat is er verbeterd?

28 juni 2019/3 Reacties/in Antivirus, Beveiligen, Hackers, iThemes Security

De hackers doen hun best om WordPress te kraken, en daar tegenover zit onder andere een bedrijf als iThemes Security die zijn best doet om je WordPress website optimaal te beveiligen middels de door hun ontwikkelde Antivirus plugin.

Vandaag nog veilig genoeg, maar morgen misschien niet voldoende om de trucs van de hackers tegen te houden.

iThemes Security heeft een nieuwe update gelanceerd, de versie 6.0!

Wat heeft iThemes Security PRO 6 voor nieuws te bieden?

Een security dashboard
Een overzicht op het dashboard van WordPress?
Dat hebben ze al een tijdje toch? Een widget met informatie over de geblokkerde IP adressen.
Die is nu weg.
iThemes Security heeft nu een eigen dashboard vol met informatie over de veiligheid van je website.
Beheer van de apparaten die inloggen
De “vertrouwde apparaten functie”.
Google en Twitter doen dit ook, als je inlogt met een nieuwe computer of ander adres ontvang je een melding of je moet je het nieuwe apparaat bevestigen per e-mail.
Gehackte wachtwoorden niet toestaan op de website
Ken je de website “Have I Been Pwned“? Dat is een database met e-mailadressen/accounts waarvan de wachtwoorden op het internet gelekt of gekraakt zijn.
iThemes Security PRO 6 checkt nu aan de hand van die lijst of je wachtwoord gelekt is en laat je dan een ander wachtwoord kiezen.
Het zou namelijk een slecht idee zijn om iemand beheerder te maken wanneer hij een lek wachtwoord gebruikt.

Is dit alles voor de nieuwe 6.0 release?

Ja, qua noemenswaardige nieuwe features wel.

Op de achtergrond zijn er natuurlijk nog tientallen andere verbeteringen en aanpassingen doorgevoerd maar dat is veel technische informatie waar jij als eindgebruiker gelukkig niet over na hoeft te denken.

Wat is PatchMan

22 december 2018/0 Reacties/in Antivirus, Beveiligen, Hacks, Hosting, iThemes Security, Malware

Wat is PatchMan?! Als je een website hebt kun je wel eens een e-mail ontvangen dat PatchMan datalekken gedicht heeft. PatchMan is een software die door webhosters gebruikt wordt om de server veilig te houden. Let op: PatchMan werkt aan het cms zelf. Niet aan de plugins & themas! Het ontstaan van PatchMan PatchMan is […]

Lees meer

Uploads mappen van WordPress zijn een zwakke schakel

19 april 2017/4 Reacties/in Beveiligen, Hackers, iThemes Security, Malware

De uploads mappen van WordPress zijn door iedere plugin te gebruiken voor het opslaan van bestanden.

Hackers maken daar misbruik van door via lekke plugins malware in de uploadmappen te zetten.
Met die malware versturen ze spam en kunnen ze reclame voor hun eigen (vaak illegale) producten in de website plaatsen.

De zwakke schakel beveiligen

Voorkomen dat plugins bestanden kunnen plaatsen in de uploads mappen is geen optie, aangezien de plugins dan niet meer kunnen functioneren.

Maar je kunt wel zorgen dat de malware niet meer uit te voeren is!

Hoe?

Met deze beveiligingsplugin kun je simpelweg aanklikken dat bestanden (malware) in de uploads mappen niet meer uitgevoerd mogen worden.

Dit is 1 van de vele opties die de beveiligingsplugin biedt om je WordPress een stuk veiliger te maken!

WordPress beveiligen met een plugin

21 maart 2017/3 Reacties/in Beveiligen, Hackers, Hacks, Hosting, iThemes Security, Malware

WordPress beveiligen met een plugin, is dat nodig?

Standaard is WordPress relatief veilig en worden alle XSS hacks bij updates onschadelijk gemaakt. Maar de plugins en thema’s… die door anderen ontwikkeld worden, hebben veel zwakke plekken waardoor hackers en geautomatiseerde scripts toch in je website kunnen komen.

WordPress beveiligen begint bij het verbergen en beveiligen van je admin. Via het admin kan een hacker alles doen wat hij wil. Denk aan het schrijven van nieuwe berichten en pagina’s en het plaatsen van reclame in je huidige teksten of layout.

Maar.. ik heb toch hosting beveiliging?

De hostingprovider is ervoor om DDOS aanvallen tegen te houden en om je server goed te laten werken. Hiervoor worden uiteraard beveiligingsmaatregelen genomen zoals een Firewall en Brute-Force bescherming. Maar die zijn voornamelijk gericht op het beschermen van de server zelf. De beveiligingssoftware voor de server is NIET ontwikkeld voor het beschermen van Content Management Systemen.

Dit komt o.a. omdat er bepaalde rechten en vrijheden nodig zijn voor een Content Management Systeem om bestanden te bewerken, te maken en te verwijderen.

Beveiliging tegen hackers? Zo populair is mijn website niet!

999 op de 1000 websites worden door geautomatiseerde script gevonden op Google en raken zo besmet met een virus. Ook al is je website dus voor de lokale visvereniging.. het geautomatiseerde script kijkt daar niet naar en doet de injectie voor malware alsnog.

Malware? Virus? Hackers? Injectie?

Wat een termen! Een virus is toch voor computers? Denk aan Windows in de jaren 2000?
Uitleg: Een server waar je website op staat is een “uitgeklede” computer met alleen een besturingssysteem zoals Linux. Voor Linux zijn niet zoveel virussen die werken doordat er root bescherming is. Maar bij WordPress ligt dat anders.

En malware is toch iets in mijn browser?
Uitleg: Malware is de afkorting voor Malicious Software. Zo worden de scripts/software genoemd die hackers op je server zetten, of liever gezegd “injecteren”.

Injecteren is toch een term uit de geneeskunde?
Uitleg: Er wordt een stuk code genomen die in één keer op de server wordt losgelaten en die zich van daaruit uitbreidt naar diverse mappen en bestanden.

Hackers zijn inbrekers die voornamelijk met elektronica bezig zijn. In dit geval zijn ze dagen aan het experimenteren met een bekend lek en richten hun virus op dat lek.

En een plugin zou dat allemaal tegenhouden?

Niet zomaar “een plugin”. Maar de verbeterde iThemes Security PRO NL wel. Deze plugin heeft jaren van ontwikkeling in Amerika en Nederland ondergaan met honderden tests, updates en verbeteringen om het leven van hackers een stuk minder prettig te maken en je WordPress website te beschermen.

Hoe werkt de plugin dan?

Tegen een virus
De beveiligingsplugin beperkt de schrijfrechten en de uitvoerrechten op een aantal belangrijke bestanden zodat een virus zich niet zo gemakkelijk kan verspreiden en belangrijke bestanden niet zomaar aan kan passen.

Tegen malware
Malware heeft bepaalde kenmerken en voert vaak opdrachten uit die deze beveiligingsplugin tegenhoudt.

Tegen injecties
Een injectie wordt vaak via de navigatiebar gedaan, deze beveiligingsplugin houdt verdachte injecties en lange codes tegen die de hacker wil injecteren in je website.

Tegen hackers
Het LOGIN admin scherm verbergen en door middel van dubbele authenticatie beveiligen is een van de meest belangrijke preventies, daarnaast verbergt deze beveiligingsplugin diverse kenmerken die hackers aangrijpen om je website mee binnen te komen. Denk aan de gebruikers, de database, het versienummer van WordPress en meer.

Kortom..

Het is belangrijk om je WordPress te beveiligen tegen aanvallen, virussen en Malware.
De beveiligingsplugin die WordPress het beste beschermt, is de iThemes Security PRO NL
Wij gebruiken deze plugin al jaren en kunnen niet meer zonder, jij wel?