Featured image for Je WordPress website beveiligen in category BEVEILIGEN

Je WordPress website beveiligen

/10 Reacties/in , , ,

WordPress website beveiligen, is dat nu echt nodig? WordPress is toch veilig??

Hackers zijn continu bezig met het zoeken naar lekken in WordPress en plugins. En dat is helaas niet zonder resultaat!

De hackers zijn namelijk niet alleen beginnende programmeurs die te teveel tijd hebben..

Je hebt te maken met volledige teams waarbij iedere programmeur zijn kennis gebruikt om een hack te schrijven.

wordpress beveiligenPlugins + Thema’s = Een lekke site

Tussen de 48,749 plugins die gratis voor WordPress te downloaden zijn en de 40.000+ betaalde premium plugins- themes zitten 6144+ WordPress plugins & thema’s die gerapporteerde lekken bevatten waar hackers vanaf weten.

WordPress website beveiligen is dus geen luxe meer met al die lekken! Het is noodzaak geworden om je WordPress website te beveiligen.

Een gehackte WordPress website veroorzaakt de onderstaande problemen:

  • Het versturen van spam (ongewenste reclame) via jouw website-adres
  • Het opvangen en doorsluizen van klantinformatie
  • Het vertonen van reclame (links) tussen je eigen teksten

Je WordPress website beveiligen tegen hackers

Hackers zijn niet persoonlijk betrokken bij het hacken van je WordPress website.

Hackers zetten scripts online die dag en nacht – 7 dagen per week – WordPress websites vinden via Google en testen die WordPress websites dan op lekke plugins en verouderde WordPress versies.

Het is belangrijk dat je WordPress up-to-date houdt maar vooral dat je de (hack)scripts geen kans geeft om informatie over je website te verzamelen. Hoe meer een hacker en/of script weet over de data in je website des te makkelijker is het om een lek te vinden.

Je WordPress website beveiligen tegen lekke plugins

Plugins worden door webbureau’s gemaakt en door programmeurs uit alle landen. Veel programmeurs kennen de trucs van hackers niet. Ook al maken ze briljante plugins.. die plugins zijn helaas gevoelig voor geautomatiseerde hacks.

Je WordPress website beveiligen tegen injecties

WordPress heeft diverse methodes waarmee nieuws bijgewerkt kan worden. Door middel van de APP, door middel van API’s. Het is belangrijk dat deze injecties tegengehouden worden!
Een injectie is een commando die aan je website gegeven wordt via een bepaalde url, via de navigatiebalk.

wordpress beveiligenPlugins zoals de iThemes Security PRO NL houden lange commando’s tegen zodat er weinig tot geen injecties meer gedaan kunnen worden.

Je WordPress website laten beveiligen door WPbeveiligen

Wij zijn 7 dagen per week actief met het beveiligen van WordPress websites. Wij kennen de trucs van hackers en weten daardoor wat nodig is om ze tegen kunnen houden.

Laat je WordPress website beveiligen!

Featured image for Wat er gebeurt er op de server? in category BEVEILIGEN

Wat er gebeurt er op de server?

/7 Reacties/in , ,

Als je de WordPress website veilig wilt houden, is het goed om op bestandsniveau te zien wat er gebeurt. Een helder overzicht van alle activiteiten op de server zorgt ervoor dat hackers geen kans hebben en dat je in kunt grijpen voordat Google, Adwords en diverse bronnen je website blokkeren.

Bestandsniveau, overzicht van de activiteiten op de server.. dat is ongetwijfeld taal die alleen begrepen wordt door webmasters.

Een korte uitleg over deze termen en de werking erachter

WordPress op bestandsniveau

WordPress bestaat uit diverse onderdelen op de server om volledig te werken. Denk hierbij aan het administratiepanel, die staat op de server. Maar ook de weergave van je thema, de hoofdpagina, registratiepagina’s en meer.
Als hackers met die bestanden kunnen rommelen krijgen ze veel voor elkaar. Denk aan het ontvangen van klantgegevens, inloggegevens, het doorsturen van bezoekers naar hun eigen sites.

Overzicht van de activiteiten

Alsof dat nog niet erg genoeg is, kunnen ze ook een bestandje toevoegen waarmee ze e-mails gaan versturen via je website, via je adres! En dat bestandje wil je niet op de server hebben!
Kortom, weten welke activiteiten plaatsvinden op je server is heel belangrijk.

Hoe kun je zien wat er op de server gebeurt?

Als je een keyboardverslaafde bent, zoals wij, kun je met een FTP programma op de server kijken, of via de filemanager van Directadmin/Cpanel.

Maar het kan gemakkelijker!

Met deze beveiligingsplugin: Website File Changes Monitor * voor WordPress kun je zien wat er op je server gebeurt. De plugin is op moment van schrijven redelijk nieuw, en is gratis in gebruik.

scanner voor wordpress

*In het verleden raadde we iThemes Security aan, maar die geeft de laatste maanden te weinig veranderingen aan in de logboeken.

Featured image for WordPress goed beveiligen in category BEVEILIGEN

WordPress goed beveiligen

/4 Reacties/in ,

WordPress goed beveiligen is geen kwestie van 1 beveiligingsplugin installeren. Als je WordPress echt goed wilt beveiligen,zul je meerdere punten aan moeten pakken.

Zo kun je WordPress goed beveiligen

  1. Kies een unieke gebruikersnaam en een lang wachtwoord
    Toelichting: Een gebruikersnaam moet uniek zijn, dus niet hetzelfde als je voornaam of de naam van je website. Zo moet het wachtwoord minimaal 8 letters bevatten en kun je hierbij gebruik maken van HOOFDlettes en c1jfers. Lees hier meer over het belang van een goed wachtwoord.
  2. Verzeker jezelf ervan dat je serverrechten goed staan
    Toelichting: Alleen de uploads map en onderliggende mag op 777/schrijfbaar staan, alle overige mappen op 755, en de wp-config + htaccess op 444. Deze rechten kun je controleren een aanpassen met een gratis FTP programma.
  3. Update de plugins en WordPress met regelmaat
    Toelichting: WordPress geeft geregeld updates vrij, soms zorgen ze voor problemen met plugins en daarom is het goed om je te richten op de updates waarbij veiligheidsissues opgelost worden en de beveiliging aangescherpt wordt. Je kunt bij de “release notes” kijken of er ook veiligheidsissues opgelost worden.
  4. Gebruik 1 goede beveiligingsplugin
    Er zijn diverse beveiligingsplugins voor WordPress ontwikkeld. Die beveiligingsplugins zijn hard nodig om brute-force aanvallen tegen te houden, het admin te verstoppen en om bestanden en gegevens te beschermen.
Featured image for WordPress zakelijk gebruiken in category BEVEILIGEN

WordPress zakelijk gebruiken

/2 Reacties/in , , ,

WordPress leent zich uitstekend om zakelijk gebruikt te worden om uw bedrijf te vertegenwoordigen.

Enkele redenen waarom WordPress zakelijk in te zetten is:

  1. Gemakkelijk in gebruik
  2. Door meerdere te beheren via het admin panel
  3. Met plugins om te toveren tot ware marketing machine
  4. Gratis in gebruik
  5. Scoort goed in Google

Als je WordPress net installeert, kun je direct aan de slag met het aanmaken van pagina’s en nieuwsberichten. Met een goed thema kun je informatie tonen en een goede indruk achterlaten op potentiële klanten.

Haal meer uit je website met de juiste plugins

Er zijn enkele belangrijke plugins die je website tot een ware marketingmachine omtoveren.

  1. Yoast SEO – Stel de beschrijvingen goed in voor Google om zoveel mogelijk bezoekers te trekken.
  2. Count per day – Zie per dag, maand, jaar hoeveel bezoekers op je website gekomen zijn en waar ze vandaan komen.
  3. Contact form 7 – Maak contactformulieren en offerteformulieren op maat.
  4. iThemes Security PRO NL – Beveilig je website tegen hackers en brute force aanvallen.
  5. WooCommerce – Integreer een webshop in je website.
  6. Search meter – Registreert de zoekopdrachten binnen je website zodat je weet waar je klanten naar op zoek zijn.

Een betaalbare zakelijke website, daar kun je WordPress voor gebruiken!

Heb jij nog tips voor plugins? Laat het weten in de reacties!

 

Featured image for 5 manieren om brute force aanvallen tegen te houden in category BEVEILIGEN

5 manieren om brute force aanvallen tegen te houden

/2 Reacties/in , , ,

De iThemes Security PRO NL plugin heeft 5 manieren waarop brute force aanvallen tegengehouden kunnen worden.

404 Detectie

404 detectie wordpress

Bots en hackers vissen vaak naar pagina’s en bestanden op je website. Ze zijn op zoek naar plugins, thema’s e.d. met een lek waarop ze een malware/data injectie kunnen uitvoeren.
Veel van die bestanden of pagina’s zijn niet te vinden waardoor de web server antwoordt met een 404-error.

iThemes Security PRO NL houdt het aantal pogingen bij dat een IP-adres (bot/pc) doet om pagina’s\bestanden op te halen die niet beschikbaar zijn.

Na een x aantal pogingen (404’s) zal de beveiliging de toegang ontzeggen tot de website. Eerst tijdelijk maar wanneer de pogingen later weer verdergaan zal iThemes Security PRO NL het IP adres in het .htaccess bestand zetten waardoor de gehele website niet eens meer opgeroepen kan worden.

Brute Force Bescherming (geautomatiseerd)

brute force bescherming

Brute Force Bescherming richt zich op het login panel. Wanneer hier mislukte inlogpogingen op worden uitgevoerd, worden deze geregistreerd. Dus wanneer de gebruikersnaam en het wachtwoord foutief ingevuld worden telt iThemes Security PRO NL deze foutieve inlogpogingen en na een x aantal pogingen wordt de toegang tot de inlogpagina tijdelijk ontzegt. Je kunt een maximaal aantal pogingen instellen en de tijd die nodig is voordat er weer nieuwe pogingen gedaan mogen worden. Uiteindelijk wordt het IP adres waarmee de inlogpogingen uitgevoerd worden geblokkeerd waardoor het niet meer mogelijk is om de login pagina continu lastig te vallen of om via de brute force methode pogingen te doen in je website te komen.

 XML-RPC uitschakelen

wordpress brute force beschermen

Via  XML-RPC kunnen diverse inlog pogingen gedaan worden. Deze functie kun je uitschakelen via de plugin als je geen Jetpack of externe app gebruikt om WordPress te benaderen.

Afwezig Modus

afwezigheids modus

Je zult je WordPress website vaak alleen overdag bijwerken. Het is dan niet nodig om de login pagina 24 uur per dag open te zetten. De Afwezig Modus geeft je de mogelijkheid om een tijd in te stellen waarop de login pagina wel-of-niet bereikbaar is.

Brute force aanvallen tegenhouden per IP

gebruikers verbannen

In de plugin heb je een veld waar je IP adressen kunt invullen om te blokkeren. Heb je bijvoorbeeld een Nederlands product waarmee je alleen Nederlanders wilt bereiken en ontdek je dat er veel Brute Force aanvallen uit China of Rusland komen? Dan zet je die IP adressen in de ban-lijst zodat ze geen kans krijgen om brute-force aanvallen op je website te doen.

Meer weten over deze plugin die Brute Force aanvallen tegenhoudt?

Klik dan hier!

Featured image for Interview: De verbeterde iThemes Security PRO NL in category BEVEILIGEN

Interview: De verbeterde iThemes Security PRO NL

/2 Reacties/in , ,

De verbeterde versie van de iThemes Security PRO NL wordt onderhouden door Daniël van der Winden.

Met passie voor WordPress beveiliging zet hij zich in om de beveiliging van WordPress up-to-date te houden en te verbeteren.

Wij stelden enkele vragen aan Daniël,

Je bent programmeur achter de verbeterde iThemes Security Pro voor Nederland. Hoe ben je zo betrokken geraakt?

Laat ik eerst voordat ik deze vraag beantwoord nadrukkelijk vermelden dat iThemes de oorspronkelijk ontwikkelaar is van de iThemes Security (Pro) plugin. Zij verdienen dus het grootste deel van de credits voor het ontwikkelen van deze plugin.

Eind 2014 kwam ik toevallig in aanraking met WordPress. Wat me meteen opviel was dat dit CMS standaard enkele
kwetsbaarheden kent waarop het kan worden aangevallen. Vervolgens ben ik mij gaan oriënteren op beveiligingsplugins op wordpress.org en iThemes Security staat daar in de top 3.
Wat ook heeft meegespeeld is dat de gratis iThemes Security plugin zoveel tekortkomingen heeft en dat iThemes deze tekortkomingen niet actief oppikte (met name op het WordPress.org plugin forum). En dat vond ik echt zonde want de functionaliteit die de iThemes Security plugin biedt en de laagdrempelige vorm waarin deze is gegoten is echt geweldig.

Gezien de mogelijkheden die de GPL licentie biedt (fork), zag ik ruimte voor een sterk verbeterde versie van de betaalde iThemes Security Pro plugin. Aangezien de iThemes Security Pro plugin niets anders is dan de gratis iThemes Security plugin + 10 Pro features zitten alle tekortkomingen van de gratis plugin ook in de Pro versie. Verder bleken er in de Pro versie ook zat Pro specifieke bugs te zitten.

Ik ben eerst begonnen met een Nederlandse vertaling te maken. Toen die af was, bleek dat er een hele rits vertaal bugs in het product zaten. iThemes biedt namelijk zelf 0 (nul) vertalingen voor hun security (Pro) plugin en vertalingen krijgen bij iThemes duidelijk geen prioriteit. Die vertaal bugs blijven dus allemaal in de code van het product zitten omdat niemand (iThemes voorop) de plugin in een niet en_US taal gebruikt. Zo bestaat er ook nu nog een vertaal bug in de plugin waarvoor overigens wel een workaround bestaat. Zonder die workaround zijn bij gebruik van een vertaling alle Ithemes Security plugin tabs in het WordPress Dashboard behalve de Dashboard tab blank/leeg. Maak je je eigen vertaling dan zal deze dus zonder de workaround niet eens goed kunnen werken ! Afijn, voor ik het wist zat ik al op 50+ vertaal bugfixes!
Maar dat was niet het enige. Ook in de functionaliteit van de plugin bleken flink wat bugs te zitten.
Er zit zelfs een ernstige (stored XSS) kwetsbaarheid in de plugin zelf waardoor de veiligheid van de WordPress website in het geding komt !
Ik kon nog maar aan 1 ding denken. Dat kan beter, veel beter ! En zo is de iThemes Security PRO NL plugin ontstaan.

Mag je zomaar een fork van een bestaande premium plugin ontwikkelen en tegen betaling aanbieden en is dit ethisch/juridisch verantwoord?

Het simpele antwoord is ja. De GPL licentie staat dit allemaal toe. Sterker nog: het is handelen volledig in de geest van de GPL ! Met als uiteindelijk doel meer keus voor de consument en belangrijker nog een kwalitatief beter product.
iThemes is zich volledig bewust van de eerder genoemde tekortkomingen. Toch besloten zij een aantal maanden geleden om de UI (zeg maar het uiterlijk) te gaan vernieuwen. Kortom een nieuwe look ipv de inhoudelijke tekortkomingen aan te pakken.
Daarnaast zijn de activiteiten van iThemes op het WordPress.org plugin forum minimaal. iThemes activiteiten worden hoofdzakelijk aangestuurd vanuit marketing beweegredenen en dat mag. Echter WordPress website security staat daardoor NIET bovenaan hun prioriteitenlijst.
Dus wat betreft het ethische aspect denk ik dat hetgeen ik heb gedaan gemakkelijk te verantwoorden is.
Rest mij nog te vermelden dat ik de afgelopen 18 maanden honderden topics heb afgehandeld op het WordPress.org plugin forum.
Tot slot, ook de iThemes Security PRO NL plugin wordt uitgebracht onder de GPL licentie.

Hoeveel tijd is er in het verbeteren van de iThemes Security PRO NL gaan zitten?

Heel erg veel tijd. Ik ben er sinds eind 2014 non stop mee bezig geweest …
Het was inderdaad niet makkelijk maar het resultaat is er inmiddels wel naar.
Als je de hoeveelheid tijd die ik er aan besteed heb afzet tegen de prijs van de plugin dan is er maar 1 conclusie mogelijk: koopje !

Je hebt iThemes Security verbeterd, op welke punten is de plugin anders dan de Amerikaanse versie?

De iThemes Security PRO NL plugin pakt een aantal tekortkomingen aan in de oorspronkelijke plugin.
Op de eerste plaats vertaling (localization)! De plugin is volledig in het Nederlands vertaald. Sterker nog hij bevat zowel een informele als formele Nederlandse vertaling.
Daarnaast zijn er ook flink wat aanpassingen gemaakt op het gebied van internationalisatie. Denk aan koppeling van het datum/tijdformaat zoals ingesteld in de WordPress instellingen aan datums/tijden getoond in o.a. emails en de Logs pagina.
Ook zijn er een groot aantal bugs gefixed. Zowel mbt vertaling als functionele bugfixes.
Veel van deze bugfixes waren het gevolg van meldingen op het WordPress.org plugin forum. Meldingen waar iThemes niets mee heeft gedaan. Ik zie wekelijks problemen gemeld worden die 18 maanden geleden ook al werden gemeld …
Ondertussen heb ik die bugs allang gefixed …
Verder is er betere support voor de Nginx web server en het Windows platform.
Een en ander heeft geresulteerd in een beveiligingsplugin die een WordPress site een stuk beter beveiligd.

Niet geheel onbelangrijk is dat de oorspronkelijke plugin tot en met de laatste release (Free 5.4.0/Pro 2.3.0) een ernstig stored XSS lek bevat.

Je hebt de iThemes Security PRO NL toegankelijk gemaakt voor Nederland, in welk opzicht is de plugin beter dan WordFence, Sucuri en Bulletproof?

Ik ken WordFence, Sucuri en Bulletproof niet voldoende om daar een goed onderbouwde mening over te kunnen geven.
Het enige dat ik zeker weet is dat mits correct geconfigureerd de iThemes Security PRO NL plugin een prima keuze is om je WordPress website mee te beveiligen.

De plugin is exclusief verkrijgbaar op WPbeveiligen, kan ik de plugin ook bij jou kopen? Heb je een website?

Nee, ik heb geen website en ik verkoop de iThemes Security PRO NL plugin op dit moment niet zelf. De plugin is exclusief verkrijgbaar via wpbeveiligen.nl

Welke achtergrond heb je? Ben je programmeur, beveiliger?

Mijn achtergrond is divers. Hoofdzakelijk support bij o.a. Oracle Nederland. Ik ben iemand die door veel zelf te doen en uit te zoeken allerlei IT/website vaardigheden heeft ontwikkeld. Beetje autodidact dus.
Ik heb een sterk analytisch vermogen en ben vooral gedreven in het zoeken naar de root cause van problemen. Pas als de oorsprong van een probleem is gevonden kan er een juiste oplossing voor worden ontwikkeld.
Dit sluit naadloos aan op website security. Ik beheers alle onderliggende technieken.

Kan mijn website ook beveiligd worden met de plugin of kan dat alleen met bepaalde servers of WordPress versies?

Ja, in principe kan elke WordPress website beveiligd worden met de iThemes Security PRO NL plugin. Er zijn slechts enkele beperkingen. Wat betreft web server worden alleen Apache, Nginx en Litespeed ondersteund.
Microsoft IIS wordt dus niet door de plugin ondersteund. Verder is het zo dat de plugin vele features bevat die ten goede komen aan de beveiliging van de website maar die soms ook een ongewenst effect kunnen hebben. In dat geval kun je een dergelijk feature nader tweaken of uitschakelen.
Het idee achter de plugin is om zoveel mogelijk features te gebruiken die het juist functioneren van de site niet in de weg staat.

Verder kan de plugin vanaf WordPress 4.1 tot de meest recente 4.5.2 versie worden gebruikt.

Hoe houden jullie de plugin up to date?

We maken op dit moment nog geen gebruik van een eigen update server. Uitrol van updates zal dus per email geschieden (en/of anderszins). Zodra de installed base voldoende draagvlak heeft, investeren we in een update server.

Hebben jullie updates en hoe installeer ik die?

Ja, de iThemes Security PRO NL plugin wordt regelmatig geüpdatet.
Als je de plugin aanschaft heb je standaard recht op 1 jaar support en updates.
Kwestie van de oude plugin folder renamen/deleten en dan het nieuwe per email ontvangen zip bestand uploaden naar de server en uitpakken.

Ik heb veel klanten met een WordPress website die beveiligd moeten worden, kan ik de plugin vaker gebruiken?

Voor iedere website (per domein dus) moet je een licentie aanschaffen. Wpbeveiligen.nl hanteert daarbij volumekorting welke je kunt raadplegen op de website.

Kan ik de plugin simpelweg activeren of moet ik daarna nog iets doen?

Na activatie van de plugin doorloop je eerst 4 stappen in het “Belangrijke Eerste Stappen” scherm.
Vervolgens kun je op basis van de “Beveiligings Status” 1 voor 1 extra onderdelen van je site beveiligen.

Botst de beveiligingsplugin met andere plugins?

Ja, soms wel. Dat is onvermijdelijk, ondanks dat ik mij zoveel mogelijk conformeer om volgens de WordPress codex richtlijnen te coderen. Vaak ligt het aan de code van de andere plugin. En soms ligt het aan de code van de iThemes Security PRO NL plugin. Meestal is het snel op te lossen.

Ik heb ook WordFence, het lijkt me goed om deze plugin ook te activeren. Of moet ik die verwijderen?

Ik weet dat het kan, maar vaak zit er een overlap in de functionaliteit. Mijn advies is om 1 goede beveiligingsplugin te gebruiken. Dit om onnodige overhead te voorkomen.

Ik heb een blog over mijn kids en familie. De website is niet zo groot, heeft het dan zin om iThemes Security PRO NL te gebruiken?

Websites worden vaak volledig geautomatiseerd (botnets) aangevallen en gehackt. Helaas hebben botnets geen geweten.
ALLE WordPress websites op het internet lopen het risico te worden aangevallen en gehackt!

Wij hebben een bedrijfswebsite op maat laten maken. Wij gebruiken een thema op maat en diverse plugins die ook op maat geprogrammeerd zijn. Gaat dat samen met de iThemes Security PRO NL?

Ja in principe wel, maar het is onmogelijk om de plugin met alle beschikbare plugins en thema’s te testen.
Dus het kan gebeuren dat de plugin botst met een andere plugin of thema. Dit is simpelweg niet uit te sluiten.
Vaak wordt het probleem dan veroorzaakt door de bewuste plugin of het thema. Je moet dan contact opnemen met de auteur van de plugin of dat thema. Soms veroorzaakt de iThemes Security PRO NL plugin het probleem. Het posten van een uitgebreide probleemomschrijving met de te volgen stappen om het probleem te reproduceren op het WordPress.org plugin forum helpt om tot een spoedige oplossing te komen. Soms kan zelfs toegang tot de probleemomgeving nodig zijn om het probleem te debuggen.
Los hiervan is het in zijn algemeenheid gebruikelijk/verstandig om een security plugin eerst grondig te testen in een test omgeving alvorens deze uit te rollen naar de live website.

Ik wil de plugin graag direct kopen en downloaden. Waar kan ik hem downloaden?

Zoals eerder aangegeven is de verbeterde iThemes Security PRO NL te downloaden bij WPbeveiligen.
Klik hier om de plugin te downloaden!

Featured image for Mijn WordPress website toont een andere website!?! in category ANTIVIRUS

Mijn WordPress website toont een andere website!?!

/4 Reacties/in , , ,

Als je dit bericht leest omdat je WordPress website ineens verwijst naar een andere website (netjes vertaald), kun je het beste direct contact opnemen.

Scripts en hackers gebruiken je website voor hun eigen doeleinden

Hackers schrijven scripts waarmee ze binnen kunnen komen om je WordPress website aan te passen zodat die doorverwijst naar hun eigen website.

Dit kan door middel van een link in je website zijn, of door middel van een re-direct; wanneer de bezoeker je website bezoekt wordt die direct omgeleid naar een website van de hacker.

De website van de hacker

Over “de website van de hacker” valt nogal wat te zeggen aangezien hij of zij die website vaak alleen heeft om het grote cash binnen te halen. Vaak verkoopt die websites producten die ze zelf niet eens aan hun eigen vrienden of familie durven te tonen. Maar het gaat immers om geld he?!….

Hou deze hackers buiten je website

Je zit er niet op te wachten om een reclamebord te worden voor de producten van een hacker, en daarom moet je ervoor zorgen dat de hacker je website niet in kan zonder toestemming.

WordPress zich laat hackers niet toe, maar de vele plugins in een WordPress website bevatten vaak wel een opening waardoor een hacker zijn reclame kan plaatsen of bezoekers kan doorverwijzen.

Bescherm je WordPress website

Deze antivirus / beveiligingsplugin zorgt ervoor dat je WordPress website beschermd is tegen hackers.

  • De plugin helpt je om het admin te verbergen
  • Maakt kwetsbare bestanden op de server onbereikbaar
  • Blokkeert herhaalde pogingen
  • Zorgt dat alleen veilige wachtwoorden gebruikt worden
  • Maak backups van je  database
  • Houdt bestandswijzigingen bij
  • Brengt je op de hoogte van aanpassingen
  • En meer..

De beveiligingsplugin beheert je WordPress als een professional en helpt jou de juiste instellingen te gebruiken om je WordPress te beschermen tegen hackers.

Featured image for WordPress beveiliging - De piramide in category BEVEILIGEN

WordPress beveiliging – De piramide

/4 Reacties/in , , , ,

WordPress beveiligen, hoe leg je dat nu uit? Het is zo’n omvangrijk stuk informatie. En om het volledig te begrijpen heb je veel ervaring en kennis nodig.
Om een beeld te schetsen hebben wij het visueel gemaakt!

De beveiliging van een WordPress site, is…

Is als een piramide

de piramide van WordPress beveiling

De basis is uiteraard WordPress
Het topje waar het na de download van WordPress allemaal begint, is de programmeur/vormgever die je WordPress website op gaat zetten.

1 onderdeel beveiligen is nutteloos!

Je kunt 1 onderdeel aanpakken, en denken dat je website veilig is. Neem bijvoorbeeld een goede programmeur/vormgever, of veilige wachtwoorden, of de nieuwste updates.
Maar zoals je aan de piramide kunt zien is dat slechts 1 onderdeel.

Echt een veilige WordPress website

Om echt een veilige WordPress website te krijgen moet je alle onderdelen beveiligen.

Wij gaan je stuk-voor-stuk helpen om alle onderdelen van de piramide goed te krijgen zodat je WordPress echt veilig is!

  • De programmeur/designer
  • Het thema
  • De plugins
  • De hosting
  • De gebruiker
  • WordPress

De programmeur

Een goede WordPress website bouwer zal niet meer dan 8-10 plugins gebruiken. Elke plugin is een nieuwe mogelijkheid voor hackers, aangezien lang niet alle plugin ontwikkelaars verstand hebben van beveiliging.

Hier komt het dus aan op kennis, de programmeur/vormgever moet zich bewust zijn van de gevaren die elke extra plugin met zich meebrengt en moet dus enkele zaken inprogrammeren in plaats van overal een plugin voor te gebruiken.

WordPress is namelijk flexibel en kan op zichzelf al ontzettend veel met custom fields, templates en hooks.

Hou er wel rekening mee dat een programmeur/vormgever langer bezig kan zijn met je website als hij zelf de functies moet aanmaken zonder plugin, dus het budget moet ook omhoog! Je kunt niet verwachten dat een programmeur een website opzet voor een klein bedrag (150-300) en dat die dan ook alle functies kan inprogrammeren.

Het is dus een keuze van jou, of de website top safe gaat worden of dat je voor goedkoop gaat. (ook NIET elke programmeur die veel geld vraagt is goed!!)

Het thema

Premium of gratis, dat maakt niet uit.

Niet?!

Premium themes worden vaker door hackers getest omdat ze het liefst sites kraken waar geld in zit. Premium plugins worden door velen gebruikt en dat weten hackers ook.
Kortom, premium is geen garantie. Doe even research of het thema in deze database staat.

De plugins

Zoals je in de piramide kunt zien, zijn plugins een groot onderdeel van de website, meer dan 36.3% van de veiligheid van je site hangt af van de plugins.
De plugins worden “door derden gemaakt” zoals ze dat noemen. Hier heb je dus te maken met personen die op de zolderkamer een plugin programmeren, of met een team dat een plugin lanceert.

Weet jij wie je plugin heeft gemaakt? En of die verstand heeft van veiligheid?

Er zijn 44,273 plugins die je gratis kunt downloaden op WordPress.org

Dit is een geweldig aanbod! Plugins zoals:

Dit zijn geweldige plugins die WordPress omtoveren tot webshop of marketing machine!

Maar wanneer ze eenmaal aanslaan bij de grote menigte, downloaden hackers de plugins en gaan ze op zoek naar een lek. Wanneer ze die hebben gevonden maken ze een script die websites test op de aanwezigheid van de bewuste plugin en dan een script uitvoert waardoor je website vol komt te staan met reclame. Reclame voor een product dat de hacker verkoopt. Vaak is dit dan ook nog eens viagra aangezien dat duur is en schijnbaar veel verkocht wordt??

De hosting

De hosting is de plek waar je website staat. Dit is een zogenoemde “datacenter”.

Klinkt heel hip, en dat is het ook. Er staan allemaal high tech computers te draaien waar je website op staat.

Nou, high tech.. het zijn eigenlijk hele dure uitgeklede computers!
Krachtige processoren en veel opslag zorgen ervoor dat de websites razendsnel het internet op gaan wanneer een websitebezoeker die website opvraagt.

Wat is de verantwoordelijkheid van de hoster?

De hoster moet zorgen dat de server software up-to-date is. De websites worden getoond via een computer waar Linux of Windows op draaien en die moeten niet geïnfecteerd/gehackt worden.
Dit gebeurd overigens bijna nooit en daarom is dit ook maar 9.09% in de piramide.

Wat doet een goede hoster?

Een goede hoster wil zijn high tech computers snel houden, dat betekent dus dat hij ervoor zorgt dat websites bezocht worden maar de scripts van hackers niet actief zijn.
Dat betekent soms dat een hosting bedrijf je zal vragen om alle WordPress plugins up-to-date te houden.

Of zelfs je WordPress website offline haalt!

Als je website druk bezig is om spam te versturen of aanvallen uitvoert op andere servers/computers van de hoster zal hij je website vaak direct offline halen zodat dit script stopt met het lastig vallen van personen of computers.

De gebruiker

wordpress gebruiker jij

Wat jij als gebruiker kunt doen

  • Je plugins/thema en WordPress up-to-date houden
  • Wachtwoorden kiezen die niet gemakkelijk te raden zijn
  • Geen onnodige plugins of thema’s op de server laten staan
  • Niet op links klikken wanneer je ingelogd bent als administrator van je website

WordPress

De heren die WordPress hebben ontwikkeld en dit nog steeds gratis doen, zijn heel actief. Ze lanceren maandelijks en soms nog vaker nieuwe WordPress updates waarbij ze nieuwe trucs van hackers tegenhouden.

WordPress op zich is een goed en stabiel systeem! Het is in 2003 op mei gelanceerd en dus al meer dan 10 jaar in ontwikkeling.

Wist je dat?!

Er een Nederlandse beveiligingsplugin is die 80% van deze onderdelen voor je regelt!

iThemes Security PRO NL

Deze plugin helpt je de server/hosting in te stellen, dwingt gebruikers goede wachtwoorden te kiezen, houdt hackers buiten, beveiligd mappen, stopt brute force attacks, beveiligt je admin, en geeft je overzicht en controle over je website!

 

 

Featured image for Comment spam verwijderen in WordPress in category BEVEILIGEN

Comment spam verwijderen in WordPress

/7 Reacties/in , ,

Wat is comment spam

Comment spam is de Engelse term voor ongewenste reacties op je blog.
Reacties die niets met het onderwerp te maken hebben en vaak links naar producten van andere website bevatten.

Alle comment spam in 1 keer verwijderen

Alle comments staan in een database, en deze plugin leegt in 1x je gehele comment table in de database.

Let op! Je bent in 1 keer ALLE comments kwijt.

Spam comments selectief verwijderen, zonder plugins

Je kunt de weergave van het aantal reacties in je admin aanpassen, klik hiervoor op “scherminstellingen” als je bij de reactie’s bent in je WordPress admin en zet het aantal dat weergegeven wordt op 50 of 100.

reacties beheren

Dan kun je daarna alle berichten selecteren, (in 1x) en de reacties die je wilt bewaren de-selecteren. Dit ligt natuurlijk aan de verhouding tussen spam en het aantal berichten die je wilt houden.alle reacties selecteren

Comment spam voorkomen via WordPress

WordPress heeft een instellingen pagina voor de reacties.
Hier kun je de drempel wat hoger leggen voor het plaatsen van reactie’s.
Zet bijvoorbeeld ieder bericht met meer dan 1 link direct weg als spam, of verplicht iemand die wil reageren te registeren.

reactie instellingen wordpress

Plugins om comment spam tegen te houden

Er zijn diverse plugins die comment spam tegenhouden, denk aan Akismet die standaard al bij iedere WordPress installatie zit.

iThemes Security PRO NL heeft ook een goede functie om comment spam effectief tegen te houden. De PRO heeft een reCAPTCHA mogelijkheid waardoor je het comment formulier kan voorzien van de vereiste om een captcha aan te klikken.

Teven kun je de reCAPTCHA direct inzetten voor nieuwe registraties en voor het login panel.

Belangrijk!

Klik nooit op een link bij een reactie als je ingelogd bent!

Als je ingelogd bent als administrator heb je namelijk administrator rechten om bepaalde zaken aan te passen in WordPress, en dat weten hackers ook.

Er zijn javascript codes/links die op de achtergrond bepaalde zaken uitvoeren als je erop klikt!

Comment spam, contact spam oplossen via phpmyadmin

Er is ook nog een manier om spam te verwijderen via phpmyadmin, ook zeer effectief en je kunt selectief zijn voor comments die verschillende statussen hebben.

Maak eerst een backup van je database!!

Alle reacties verwijderen:
 DELETE from wp_comments WHERE comment_approved = '1'
Alle reacties die niet toegelaten zijn verwijderen:
 DELETE from wp_comments WHERE comment_approved = '0'
Alle spam gemarkeerde reacties verwijderen:
 DELETE from wp_comments WHERE comment_approved = 'spam'
Alles uit de prullebak verwijderen:
 DELETE from wp_comments WHERE comment_approved = 'trash'

 

Kom je er niet uit? Wij kunnen je helpen bij het oplossen van spam problemen. Zowel preventief als wanneer je eigen website spam verstuurd!

Neem contact op.

Featured image for WordPress onder controle? in category BEVEILIGEN

WordPress onder controle?

/4 Reacties/in , ,

Het blokkeren van hackers om je WordPress website veilig te houden met de iThemes Security PRO NL is belangrijk.
Maar wist je dat de log bestanden van iThemes Security PRO NL veel inzicht geven over je website?

De log bestanden geven je inzicht in de bestandswijzigingen, in de inlogpogingen, de opgeroepen “pagina’s” en meer!

“Waarom is het zo belangrijk om inzicht te hebben in de bestandswijzigingen??” Hoor ik je denken.

De bestandswijzigingen

De bestandswijzigingen tonen je welke bestanden aangepast of bijgeschreven zijn.
Het kan namelijk altijd voorkomen dat je WordPress website door een lekke plugin of door eigen toedoen wordt getroffen door een injectie, door een hack via een plugin of thema wat niet helemaal veilig was. (of waar na jaren een lek in is ontdekt door een hacker, dat komt nogal eens voor..)

iThemes Security PRO NL houdt veel tegen maar ontzegt plugins niet altijd om bestanden te schrijven, anders zouden sommige plugins namelijk niet kunnen werken.

Mocht er dus op een bepaald moment een hack(ers)bestand op je server komen, hoef je geen dagen te zoeken door alle mappen en bestanden en code maar open je gewoon de log bestanden.

Wat je kunt zien in de log bestanden van iThemes Security PRO NL

  1. De datum van wijziging
  2. Welke bestanden aangepast zijn
  3. Welke bestanden bijgeschreven zijn
  4. Het complete pad naar het bestand

Kortom, weten welke bestanden aangepast zijn, voorkomt veel problemen wanneer je toch getroffen wordt door een hack/injectie. Je kunt tijdig actie ondernemen en je weet exact wat er gebeurd is!
Daarnaast kun je ook zien welke pogingen gedaan zijn om in te loggen en naar welke bestanden gezocht wordt. De gezochte bestanden die onder het 404 tab staan zijn vaak aangeroepen door hackbots die op zoek zijn naar een lek in je WordPress.

Dit even wat betreft de weergave die de iThemes Security PRO NL je geeft zodat je WordPress onder controle kunt houden. In diverse andere artikelen op WPbeveiligen kun je lezen hoe je kunt voorkomen dat bestanden aangepast worden en kun je leren hoe je de hackers en bots volledig geautomatiseerd kunt laten blokkeren.