Featured image for Heb jij WordPress onder controle? in category BEVEILIGEN

Heb jij WordPress onder controle?

/1 Reactie/in , ,

De website is voor velen een bron van inkomsten, een bron van bezoekers.

Heb jij je website onder controle?
Weet jij wat er dag-en-nacht gebeurd met je website?
Wat voor bezoekers de website bezoeken?

google-analytics

Als je Google analytics hebt of de Count per day plugin, kun je zien waar je bezoekers vandaan komen, en welke pagina’s ze bezoeken.

Wat dan opvalt is het aantal bezoekers dat slechts 0.0 seconde op je website doorbrengt.
De zogenoemde Bots die je website alleen maar bezoeken om zelf een link achter te laten.
Ze bezoeken je website wel 40x per dag maar lezen geen seconde.

Zo heb je ook bezoekers die niet bij de homepage starten maar bij je admin panel!?

Dat zijn de hackers en hackbots aangezien het voor 99.5% gaat om ge-automatiseerde processen van computers.

Veel pogingen die ze doen om je WordPress website te hacken (want daar komen ze voor) die mislukken gelukkig.

Maar van de 100-1000 pogingen die wekelijks gedaan worden kunnen er ook ge-automatiseerde scripts zijn die een stukje slimmer zijn. En dus in je website of op de server kunnen komen.

De controle terugkrijgen

Het is belangrijk te weten hoeveel pogingen er gedaan worden om binnen te komen via je admin, en waar die aanvallen vandaan komen.

Nog belangrijker is het om een berichtje te krijgen wanneer de hackers in je WordPress website zijn gekomen.
En wat ze gedaan hebben.

Waarom is het zo belangrijk om te weten wat een hacker gedaan heeft?

Als je weet waar een hacker vandaan gekomen is, en hoe hij in je website is gekomen, en welke bestanden hij heeft aangepast.. dan kun je snel actie ondernemen!

Een hacker laat geen visitekaartje achter, hij plaats zijn reclame in je website en probeert zo onopvallend mogelijk te blijven zodat je website zonder dat jij het weet reclame voor hem kan maken.

Ithemes Security PRO zorgt voor je

Ithemes Security PRO,

  • Houdt voor jou bij hoeveel inlogpogingen er gedaan zijn.
  • Wie er succesvol is ingelogd op je admin
  • Welke IP adressen de website overmatig vaak bezoeken
  • Welke IP adressen (computers) vissen naar je admin adressen
  • Wat voor bestanden aangepast zijn, bijgeschreven zijn of zelfs verwijderd zijn
  • De data, tot op de minuut dat het gebeurd is!

En ZO krijg jij de controle weer terug over je website, weet jij wat er gebeurt met je website als jij er even niet op let.

Weten wat er met je website gebeurt, voorkomt veel problemen en kosten. Je kunt de hack eerder verwijderen, en als het aan Ithemes Security PRO ligt krijg je direct een e-mailtje wanneer er verdachte activiteiten op je website plaats vinden.

Wij gebruiken Ithemes Security PRO, u ook?

 

Featured image for Ithemes Security PRO features in category BEVEILIGEN

Ithemes Security PRO features

/2 Reacties/in , , , ,

Ithemes Security kennen velen wel, het is 1 van de beste beveiligings plugins voor WordPress.

Kennen jullie de PRO variant al?

Ithemes Security PRO heeft 10 functies die belangrijk zijn voor het beheren en beveiligen van je website.

  1. De geavanceerde login
    Het login panel is kwetsbaar, maar met de dubbele authenticatie maak je het hackers en bots een stuk moeilijker.
    Het mooie van deze functie is dat je een tijdelijke code kunt laten genereren die nodig is om in te loggen, en die code kun je naar je e-mail laten versturen!
    email wachtwoord
  2. Malware scanning op geregelde basis
    Het scannen van je WordPress website op verdachte activiteiten kun je geautomatiseerd met regelmaat laten doen. Wanneer Ithemes Security PRO iets vindt zal hij je e-mailen, zo ben je er op tijd bij als er iets verandert.
    ithemes-security-scannen
  3. Wachtwoorden laten verlopen
    Het is 1 van de meest voorkomende problemen: wachtwoorden die gekraakt worden of die na 1-2 jaar bekend raken bij de hackers.
    Het laten verlopen van het wachtwoord waardoor een gebruiker deze eens in de 3-6-12 maanden moet veranderen, voorkomt dat probleem.
  4. Tijdelijke privileges
    Je wilt iemand aan je website laten werken, maar niet dat die persoon de rechten blijft houden om alles aan te kunnen passen. Met tijdelijke privileges geef je iemand voor een x aantal uren de rol van beheerder of redacteur. Zo kan je niet vergeten iemand zijn rol terug te zetten!
  5. Re-captcha
    Een van de manieren om Bots bij je login scherm of bij het plaatsen van reacties tegen te houden is door ze een Captcha in te laten vullen.
    Itheme Security PRO maakt hierbij gebruik van de Google Captcha, een mooie manier waarbij je gewoon kan aanklikken dat je “geen robot bent”.
    Met deze mooie Captcha hoef je gelukkig geen ingewikkelde tekens over te typen!
    google recapcha
  6. Gebruikers logboek
    Dit logboek houdt bij wie er inlogt en op welke datum en tijdstip. Zeer handig wanneer er iets onverwachts met de website gebeurt!
  7. Dashboard Widget
    Vanaf je dashboard kunnen zien of er iemand op de blacklist staat, hoeveel aanvallen er geweest zijn en meer. Een stukje gemak!
    ithemes security
  8. De instellingen importeren
    Met 1,2 of 3 sites heb je dit niet nodig. Maar wat nu als je Ithemes Security wilt gebruiken op 50 sites?
    Dan kun je de import & export methode voor alle instellingen toepassen. Dit scheelt je veel werk en je hebt minder kans om een instelling verkeerd te zetten!
  9. Er is meer!
    Er zitten nog meer handige functies in de pro versie van Ithemes Security, maar als ik die uitleg heb je helemaal het idee dat je in de Matrix terecht gekomen bent.Respect dat je helemaal tot feature 9 gekomen bent! Wist je dat wij Ithemes Security Pro gebruiken voor al onze klanten? Voor websites die we herstellen wanneer ze gehackt zijn en voor WordPress sites die we preventief beveiligen?

En we verkopen de Ithemes Security PRO ook aan iedereen die graag een goed beveiligde website wil!

 

Featured image for Het succes van Ithemes Security in category BEVEILIGEN

Het succes van Ithemes Security

/3 Reacties/in , , ,

Ithemes Security kennen de meeste wel, het is 1 van de beste beveiligings plugins voor WordPress.

,,Het is de missende puzzel bij het beveiligen van WordPress”

De gratis versie van Ithemes Security kun je op de officiële WordPress website downloaden.

En de recensies laten niet alleen zien dat het een bekende plugin is maar ook nog eens een hele goede plugin!

3,104 personen geven de plugin het maximaal aantal sterren!

recenties ithemes securityWaarom Ithemes Security zo populair is

Ithemes Security laat als eerste de status van je WordPress website zien. Na de installatie ga je naar het Dashboard waar je in 1 oogopslag ziet hoe het ervoor staat met de beveiliging van je website.

De status van je beveiliging in 1 oogopslag

overzicht ithemes security

Iedereen die nog niet veel aan de beveiliging van zijn WordPress website heeft gedaan, zal zich verbazen hoeveel kansen hackers eigenlijk hebben wanneer de site niet beveiligd is.

Het overzicht laat zien welke punten het meest kritiek zijn, en Ithemes Security helpt je bij het oplossen van deze beveiligingslekken!

De beveiligingslekken oplossen

Bij de tab “settings” begint het echte werk, het configureren van je beveiliging en het oplossen van beveiligingslekken.

Het configureren van deze instellingen moet je heel voorzichtig doen, je kunt de beveiliging namelijk ook te scherp zetten waardoor je website niet meer gaat werken!

ithemes security configureren

Ithemes Security is zeer krachtig.
Enkele zeer essentiele functies die je hier kunt configureren:

  • Brute force pogingen limiteren
  • Server mappen en bestanden beschermen
  • Sterke wachtwoorden forceren voor gebruikers
  • Log bestanden bijhouden van de server
  • Het admin verstoppen
  • Automatiseren van database backups
  • En veel meer!

De gratis versie van Ithemes security helpt veel bedrijven uit de brand, voorkomt veel injecties en problemen.

Wat als je site al gehackt is?

Ithemes security haalt je website niet uit de problemen als die al gehackt is!!
Het is een preventieve plugin om hacks te voorkomen.

Als je website al gehackt is, en er backdoors & hackfiles op de server staan, moeten die eerst handmatig van de server verwijderd worden!

Tevens bestaat de kans dat er dan al injecties in de database gedaan zijn, wat betekent dat je website al ongewenste reclame toont op pagina’s.

De hack kan ook gebruikers aangemaakt hebben met administratie rechten, hier moet allemaal naar worden gekeken en actie voor worden ondernomen, dit zijn punten die de beveiligingsplugin niet kan verzorgen aangezien er menselijk inzicht nodig is om te bepalen of het wel-of-niet thuishoort in de website.

Featured image for Kat en Muis, van 2015 naar 2016! in category BEVEILIGEN

Kat en Muis, van 2015 naar 2016!

/2 Reacties/in , , ,

2015 is weer voorbij, een druk jaar waarbij wij van WPbeveiligen en de hackers niet stil gezeten hebben.

Enkele cijfers

De heren van WPscan hebben de teller op 3979 gevonden lekken staan. Dit zijn lekken in plugins, thema’s en WordPress bij elkaar.

De heren van Sucuri hebben een Brute Force Monitor die bijhoudt hoeveel brute force attacks de websites ervaren die SUCURI heeft beveiligd.
Het gemiddelde hiervan ligt op 15 miljoen per dag.

Zoals je op Brute Force Monitor kunt zien, is het aantal aanvallen maandelijks toegenomen en zien we in November-December enkele pieken van 48 miljoen Brute Force attacks!

De beveiliging: next level

We hebben het afgelopen jaar veel innovaties voorbij zien komen om de brute force attacks tegen te gaan.

Limit Login Attempts standaard via Installatron

Denk aan de plugins die standaard meegeleverd werden door Installatron zoals de Limit Login Attempts. Maar deze is inmiddels al weer 2 jaar niet ge-update wat de plugin onbruikbaar maakt in de snel veranderende wereld van hackers en beveiliging.

plugin niet bijgewerkt

Het WordPress admin “verstoppen”

We hebben ook de plugins voorbij zien komen die de standaard wp-admin url verwijzen via de Htaccess en zo zorgen dat de reguliere url niet te vinden is.

Dat moest nog even door-ontwikkeld worden aangezien de eerste tijd alleen de wp-admin omgeleid werd maar de wp-login.php nog gewoon beschikbaar was en de brute force attacks zo nog door konden gaan.

De hackers begonnen deze truc al snel door te krijgen en benaderde de Htaccess om te kijken waar de brute force attacks dan wel heen konden, en of dit niet gewoon aan te passen was.

Plugins vereisten daarna weer dat de Htaccess onschrijfbaar gemaakt wordt door de schrijfrechten op 444 te zetten wat betekent dat het alleen leesbaar is maar niet aan te passen.

WordPress beveiligings releases

WordPress heeft ook een paar functies toegevoegd die de veiligheid van het CMS bevorderen.

Denk aan de eis om een sterk wachtwoord in te stellen.
Deze functie is geweldig irritant aangezien je een half boodschappenlijstje moet invullen voordat het wachtwoord goed is. Maar het was wel nodig, aangezien velen de voor-of-achternaam met enkele 1234 cijfers gebruikten en dit als eerste getest wordt door een Brute Force Bot.

Wij hebben nog een artikel over wachtwoorden geschreven met tips hoe je een goed wachtwoord kan kiezen en onthouden.

sterk wachtwoord wordpress

De Ithemes Security plugin is nog een stapje verder gegaan en vereiste een andere username met een afwijkende front-end naam.

Het moge duidelijk zijn dat de username “admin” echt uit den boze is.

De beveiliging van servers bij de hosting

Wie nog het meeste last hebben van de gehackte websites zijn de hosters waar de websites staan.

server hosters

Een gehackte website vraagt namelijk het maximale van een server waardoor websites op een gedeelde server traag worden of zelfs tijdelijk niet kunnen laden.

Tevens raakt een gehele server met meerdere websites op de Mail Blacklist waardoor mails mogelijk niet verzonden kunnen worden of niet meer aankomen.

Voor de hosters was 2015 een heel druk jaar waarbij dagelijks WordPress websites offline gezet moesten worden om de server en de andere gebruikers/websites te beschermen.

Wat kan een hoster eraan doen?

Niet veel, ze geven websites namelijk vrijheden die een site nodig heeft.

Het is aan de eigenaar van de website om te zorgen dat de website geen spam gaat versturen. Een server scant wel op bestanden en e-mails maar de hackers hebben hier weer trucs op bedacht. Denk aan de base64 codering en aan het wisselen van scripts.

Kortom: een kat en muis spelScreenshot-93 Jan. 01 20.57

Er zijn op de achtergrond nog tientallen aanpassingen gemaakt aan WordPress, aan beveiligings plugins, hele teams werken dag-in-dag aan updates, fixes en aan preventieve opties om de site, de server en het CMS WordPress te beveiligen.

muis

En aan de andere kant zitten honderden geniale hackers te broeden op scripts om hun reclame mee te kunnen injecteren in websites. Denk aan hackers over de hele wereld die geen werk hebben maar toch een inkomen nodig hebben, ze zijn misschien goed opgeleid en weten alles van servers, van code en exploits.

2015 was een bewogen jaar, in 2016 verwachten wij geen all-in-one solution op het gebied van beveiliging aangezien hackers in de meerderheid zijn.

En daarom gaan wij er in 2016 weer tegenaan om de websites die wij onder handen krijgen te herstellen & te beveiligen.

En wij doen dit vakkundig, volgens een geavanceerd protocol en geven garantie!

2016 – WPbeveiligen staat weer 7 dagen per week tot uw beschikking!

Featured image for Starten met WordPress in category BEVEILIGEN

Starten met WordPress

/2 Reacties/in , , , ,

Als je net start met WordPress kun je verdwalen in alle informatie die beschikbaar is.

Nu willen wij het helder houden en je niet vermoeien met meer informatie. Daarom een korte wegwijzer waar je moet zijn voor het starten van je WordPress website.

Thema’s

De thema’s kun je gratis downloaden van WordPress.org
Uitgebreide thema’s koop je bijvoorbeeld bij Themeforrest.

Wat is een thema?

Een thema is de stijling ofwel opmaak van je website.
Een thema bepaald hoe je pagina eruit ziet, hoe de bovenkant en onderkant van je website eruit ziet. Hoe je sidebar eruit ziet.

Zowel de indeling als de kleur worden door een thema bepaald.

Plugins

Plugins kun je gratis downloaden van WordPress.org

Wat is een plugin?

Een plugin is een aanvulling die je in je website kunt “pluggen”.
Welke aanvulling dat is hangt af van de plugin, zo heb je plugins voor het vertalen van je website, voor het beveiligen van je website, voor het tonen van afbeeldingen, foto-albums en meer.

Let wel op dat plugins de website ook traag kunnen maken en plugins kunnen een veiligheidsrisico met zich meenemen. Zet niet zomaar elke plugin in die je voorbij ziet komen.

Beveiliging

De beveiliging van je WordPress website, van groot tot klein kun je het beste aan WPbeveiligen over laten.

Met meer dan 10 jaar WordPress ervaring, hosting ervaring en het ontwikkelen + programmeren en beveiligen zit je goed bij WPbeveiligen.

Waarom is beveiliging nodig?

WordPress is open-source en gratis te downloaden. Voor iedereen op de wereld.
Omdat WordPress een populair middel is om websites te maken richten veel kwaadwillende hackers zich op de mogelijke zwakheden van WordPress en het gebruik ervan.
Wanneer een hacker een lek gevonden heeft schrijft hij een virus dat binnen enkele uren duizenden websites besmet met malware. Malware is slecht voor de reputatie van je website, zowel voor de bezoekers als voor je reputatie in Google.

Je kunt WordPress beveiligen met een beveiligings-plugin die je goed instelt of je kunt de website laten beveiligen door ons.

Meer informatie nodig, of heb je vragen?

Het WordPress NL forum heeft veel gebruikers die kennis van WordPress hebben en je zo verder kunnen helpen bij vragen.

Maar wij hebben ook een groot aantal artikelen geschreven om je te helpen.
Bezoek onze artikelen-pagina voor een overzicht van onderwerpen en voor de nieuwste artikelen over WordPress.

 

Featured image for WordPress beveiligen: van A-tot-Z in category BEVEILIGEN

WordPress beveiligen: van A-tot-Z

/3 Reacties/in , , , ,

Admin was jarenlang de standaard gebruikersnaam bij nieuwe WordPress installaties. Velen veranderden dit niet waardoor duizenden WordPress websites gehackt zijn.
En nog steeds wordt die username te vaak gebruikt!

Backdoors zorgen ervoor dat een hacker via 1 lijn code weer in je WordPress website kan komen.

Code is vaak geschreven in php en daarna gecodeerd naar base64 zodat de server het niet herkent.

Dagen achter elkaar spam versturen zorgt ervoor dat je website op de spamlist komt

Errors op je site zonder dat je aanpassingen hebt gedaan? Dat kan een hacker geweest zijn maar het gaat ook wel eens verkeerd tussen WordPress, plugins en thema’s tijdens automatische updates

Filezilla is het meest gebruikte programma om je serverbestanden mee te beheren. Zo kun je op wijzigingsdatum kijken om te zien welke bestanden door een hacker zijn aangepast.

Gegevens zoals je wachtwoord gaan gecodeerd de database in, die gegevens kun je niet meer uitlezen. (Wel aanpassen.)

Hackers schrijven scripts en laten die op internet rondgaan, zo worden duizenden websites aangevallen. Ze houden zich nauwelijks bezig met het aanvallen van specifieke websites.

Illegale plugins worden vaak voorzien van backdoors en spamscripts.

Javascript wordt veel gebruikt voor overschrijven van informatie in je website. Bijvoorbeeld zodat alle links ineens vervangen worden door links naar websites waar de hacker geld aan verdiend. Die code is soms maar heel kort en hoeft niet eens in je thema of templates zelf te zitten. Daardoor is de code soms lastig te vinden.

Klanten die reclame zien of een website waar een error te zien is, zullen die website meestal niet opnieuw bezoeken op een later tijdstip. Ze Googlen direct naar een andere site die ook soortgelijke diensten of producten aanbied.

Leren om hacks te verwijderen en WordPress te beveiligen kost maanden. Dit aangezien hackers wekelijks pogingen doen om met slimme scripts in je WordPress website te komen en er duizenden scripts actief zijn en er iedere dag bij komen.

Matt Mullenweg is de oprichter van WordPress. Hij ontwikkelde WordPress op zijn 19e.

Notepad++ en zelfs de standaard versie van Notepad in Windows zijn tools waarmee een hacker een hackscript kan schrijven. Door die eenvoud zijn er zoveel scripts in omloop.

Open source is de reden dat er zoveel WordPress websites online staan. Het CMS is gratis te gebruiken en iedereen mag er plugins en thema’s voor ontwikkelen.

Plugins zijn gratis te downloaden van WordPress.org maar ook te koop bij bedrijven. De plugins die te koop zijn noemen ze Premium plugins.

Queries zijn aanvragen op de server. Met honderden queries op diverse IP adressen wordt een ddos aanval opgezet. Ithemes security blokkeert diverse queries en limiteert ook het aantal queries die een IP adres mag doen.

Reacties op je website kunnen links bevatten met een injectie. Als je daarop klikt terwijl je ingelogd bent als administrator, voer je zomaar een commando uit tegen je eigen website.

Spam die jij in je mail inbox krijgt komt voor 80% van websites af die gehackt zijn.

Templates zoals de page template en de header template worden vaak geïnjecteerd met een reclame-link. Zo is die reclame-link direct op elke pagina van je website zichtbaar.

Uploads mappen zitten vaak vol met spam bestanden.
Dit komt omdat iedere website standaard een upload map heeft die door de server en WordPress beschreven mag worden. Dit is zelfs essentieel als je de website en plugins wilt updaten en afbeeldingen toe wilt voegen. Hackers maken graag gebruik van die mappen. De jaartallen en maanden staan er ook standaard in. Kijk daar eens als je van een gehackte website af wilt komen!

Verwijder plugins die je niet gebruikt. Ook ge-deactiveert zijn ze nog beschikbaar op de server wat voor beveiligingsproblemen zorgt.

WordPress is een zeer veilig en up-to-date systeem. Het gebruik van slechte plugins en thema’s zorgen voor de problemen.

Xss is de afkorting voor Cross Site Scripting, 1 van de grote benamingen voor lekken in websites. Waarom je Cross Site Scripting met X schrijft? Dat is omdat CSS (Cascading Style Sheets) al de afkorting CSS in bezit heeft.

Yoast Seo is een WordPress plugin gemaakt door Joost van der Valk. Een Nederlandse man. Zijn plugin is wereldwijd bekend en wordt door duizenden businessites gebruikt.
Plugins zoals Yoast Seo worden regelmatig geupdate en blijven daardoor veilig.

Zelf kun je de WordPress website beveiligen als je verstand heb van de server, de plugins, updates. Al die informatie is gratis te lezen op WPbeveiligen!

 

Hopelijk heb je meer geleerd over het beveiligen van WordPress, of heb je leuke nieuwtjes geleerd.

WordPress beveiligen gaat nog een stuk verder, dat zullen we je besparen in dit artikel. Wil je meer lezen? Breng dan geregeld een bezoekje op onze WordPress beveiligen artikelpagina.

Vond je dit artikel leuk of leerzaam? Deel het met andere zodat ze ook meer te weten komen over WordPress beveiliging!

Featured image for Onder de loep: All In One WordPress Security in category BEVEILIGEN

Onder de loep: All In One WordPress Security

/4 Reacties/in ,

De titel van de plugin doet ons denken aan de All In One Seo plugin.

Maar laten we kijken of het een ALL in one oplossing is.

Download de plugin op de WordPress.org plugin’s area.

Wat All In One WordPress Security belooft

Een helder overzicht, configuratie mogelijkheden variërend van basic, gemiddeld, ingewikkeld. En meer functies die we bij iedere beveiligingsplugin lezen. We gaan door,

Wat ons opvalt na het installeren

Heel veel mogelijkheden! Ziet er veelbelovend uit.
Zeker als je het vergelijkt met de Acunetix en de falende 6scan die we hiervoor bekeken hebben.

Wel een beetje over-de-top voor als je niet zo ervaren bent met security (80% van de gebruikers).

De Ithemes Security plugin waar wij graag gebruik van maken lijkt op het oog zelfs minder functies te hebben.

De bijzondere features van All In One WordPress Security

Het dashboard toont de sterkte meter die je niet veel bij anderen ziet. Een opvallend kenmerk van deze plugin.

Wat ons betreft een hele goede manier om iets ingewikkelds toch helder te tonen.

all in one security wordpress

De tijdelijke onderhoudspagina die je kunt tonen aan je bezoekers zien we ook niet zo vaak in beveiligingsplugins. Vaak zien wij dan weer een 2e plugin om dit te realiseren. (Al was deze na activatie wel half door het thema heen gelopen. Kan aan het thema liggen.)

Gaaf, een password generator die live toont hoe effectief het wachtwoord is!

password security

Disable the Right-click ability zorgt ervoor dat je tekst minder gemakkelijk kunt overnemen. Dit wordt zo af en toe aan ons als WordPress ontwikkelaars/beveiligers gevraagd, dus handig dat de optie er al inzit.

Wat wij graag anders zien bij All In One WordPress Security

De functies moeten op moment van schrijven stuk voor stuk aangezet worden, om als het ware de meter omhoog te krijgen maar hierdoor is je website na het installeren en de-activeren nog niet goed beveiligd totdat je alle pagina’s van de plugin hebt bezocht. Geen 1 click solution dus.

En er is een WHOIS functie waarbij je normaal gesproken gegevens kunt opvragen over een domein. Deze werkte op dit moment niet in de zin dat de resultaten niets toonde. Maar dit is een luxe die je niet snel nodig zal hebben.

Conclusie All In One WordPress Security

Deze beveiligingsplugin is ook wel echt ALL IN ONE. Ik hoef niet eens te beginnen om op te noemen wat er allemaal mogelijk is.

Tevens is dit ook zijn zwakke punt, er moet enorm veel gelezen en aangevinkt worden voordat je een effectieve beveiliging hebt.

Voor de control freaks onder ons, is dit een bijzondere plugin.

Featured image for Onder de loep: Acunetix WordPress beveiliging in category BEVEILIGEN

Onder de loep: Acunetix WordPress beveiliging

/2 Reacties/in , ,

Wat is Acunetix?

Acunetix is een beveiligings plugin voor WordPress waarmee hackers en schadelijke injecties tegen gehouden kunnen worden.

Acunetix kun je downloaden in de WordPress plugin’s area.

Waar komt de naam Acunetix vandaan?

Op moment van schrijven is er geen heldere uitleg op internet te vinden wat de naam betekent. Acunetix is geen bestaand woord en de Google translator kent het ook niet.

Wat Acunetix belooft

In grote lijnen spreken ze over het verbergen van de WordPress core informatie die hackers gebruiken/nodig hebben voor het hacken.
Denk hierbij aan het verbergen van de WordPress versie, de errors en de admin informatie, wat handig kan zijn als je veel personen hebt die een editor of schrijvers rol hebben.
En over het checken en weergeven van instellingen die veranderd moeten worden.

Ook spreken ze over het beheren van wachtwoorden, schrijfrechten en de database. (Na installatie en onderzoek blijken deze functies erg beperkt te zijn.)

Tot nu toe niet veel anders dan wat Ithemes Security en Wordfence en anderen doen.

De “bijzondere” features van Acunetix

Het idee is niet geheel onbekend maar het is een nette manier om weer te geven hoe het ervoor staat met de website.
Een helder “stoplicht” systeem
stoplicht systeem acunetix

Voor de rest zijn er op moment van schrijven weinig bijzondere functies.

De installatie van Acunetix

Als je WordPress gebruikt en de reguliere plugin installer valt iets op, Acunetix heeft z’n plugin ogenschijnlijk 2x beschikbaar. Met dezelfde functies en dezelfde data.

Tevens hebben ze erg weinig recensies terwijl ik weet dat ze al een lange tijd meedraaien in WordPress wereld.

Acunetix

Hoe Acunetix in de praktijk werkt

Na installatie krijg je het dashboard te zien met de eerder genoemde stoplichten weergave, en opvallend genoeg in de 2e tab mogelijkheden voor het maken van een database backup en het aanpassen van de prefix. Het aanpassen van de prefix is niet aan te raden voor sites die al een tijdje bestaan, aangezien de plugins erg gehecht zijn aan de huidige prefix en er grote kans bestaat dat ze dan niet meer werken.

De volgende tabs tonen een bestandsscan, die weergeeft of er bestanden aangepast zijn.
Er is een “Live traffic” tab waar momenteel geen data in verschijnt. Laten we uitgaan van het positiefste en zeggen dat de users bijgehouden worden en de aanvalspogingen. Al is het nu nog erg leeg en schijnt er volgens de plugin “niets” te gebeuren.

Je hebt een settings tab waar je een stuk of 15 opties kunt aanvinken. En een blog tab.
Het blog tab waar ze de artikelen tonen die ze op hun website hebben geschreven, bevestigen behoorlijk het gevoel dat deze plugin meer reclame is dan een waardevolle beveiligingsplugin.

Wat we graag zouden zien bij Acunetix

Meer mogelijkheden, of meer informatie over de activiteiten die de plugin onderneemt om je WordPress te beschermen.

De settings page is erg minimalistisch momenteel.

Acunetix Settings

Conclusie, Acunetix of een andere plugin?

Acunetix is erg beperkt, wat er in de achtergrond nog gebeurt is niet te zeggen maar zoals het eruit ziet is dit geen aanrader.

Een dikke NEE wat ons betreft.

Featured image for Wat is een hack-bot? Zo bescherm je WordPress tegen hackbots in category BEVEILIGEN

Wat is een hack-bot? Zo bescherm je WordPress tegen hackbots

/4 Reacties/in ,

De kans is groot dat je WordPress website door een bot gehackt wordt.
Of dat je WordPress website gehackt is door een bot.

Wat is een Bot?

Dat is simpelweg de afkorting van roBot.

Bots zijn 1000x sneller dan mensen.

Als je een simpele berekening maakt, waarbij je uitgaat van de mogelijkheid dat een mens handmatig 1 website per uur kan aanvallen door diverse tests uit te voeren op de beveiliging van WordPress… en je ziet dat een bot elke 30 seconden een nieuwe website kan aanvallen met honderden requests.. dan weet je hoe snel het kan gaan.

Een computer kan enkele miljoenen requests (aanvragen-tests) per minuut uitvoeren.

Kortom, je website wordt gehackt door een Bot?!

Wat die bot doet in slow motion:
vanuit computertaal in het Nederlands

Aanvragen van de versie van WordPress

  1. Html generator?
  2. Readme.html?
  3. Version.php?
  4. Plugin output?

Aanvragen van actieve plugins

  1. Directory listing wp-content : plugins
  2. Output in html
  3. Function request

En ga zo maar door.. Miljoenen aanvragen per minuut!

En deze database van requests wordt up-to-date gehouden via jawel… een andere Bot.

Wat doet de bot nadat hij de aanvragen heeft gedaan?

De Bot weet dan welke WordPress versie er op je server draait en welke plugins en welk thema.
Deze informatie gaat de bot vergelijken met de database waarin de lekken staan per plugin en thema.

Hier doen mensen een half uur over maar dit is een aanvraag van enkele milliseconden. (Dank u wel technologie!)

Kennis = macht

Wanneer de Bot weet welke plugins en thema’s er draaien op de WordPress versie, zal het de informatie gebruiken om met de bekende lekken injecties in de database en de server te verrichten.

He bah! Injecties in de database en de server? Dat klinkt vies!

Inderdaad, en dat is het ook. De injecties voegen data toe waaronder bestanden die actief worden en spam versturen, of meer informatie over de gebruikers, of toegang verschaffen tot de server.

Wat doe je tegen bots?

De bots kennen de standaard plugins, de standaard WordPress versie en vergelijken die.
Kortom als ze niet meer weten welke plugins je gebruikt, welk thema en welke WordPress versie kunnen de bots helemaal niets!

Combineer dit eens met de juiste maatregelen tegen de bots:

  1. De correcte schrijfrechten
  2. Mappen op onbekende plaatsen
  3. Onzichtbare mappen
  4. Correcties op injecties via de browser
  5. Correcties op bestanden op de server
  6. Blokkades op gebruikers en IP adressen (bots)

Dan kun je de Bots tegenhouden. Het zijn simpelweg scripts die protocollen volgen! Doorbreek de gewoonte en een Bot weet niet meer wat hij moet doen.

Deze aanpassingen aan je website moet je niet handmatig te verrichten, daar heb je een bot voor 😉
Een script of concreter gezegd: iThemes Security!

 

Featured image for WordPress beveiligings plugins - De introductie in category BEVEILIGEN

WordPress beveiligings plugins – De introductie

/3 Reacties/in , ,

Er zijn diverse beveiligingsplugins die je kunt gebruiken om WordPress te beveiligen.

Ik raad aan om 1 goede uit te kiezen en zie niet allemaal tegelijk te gebruiken. En ja, dat heb ik vaak gezien! Vooral als laatste poging om dan echt van die lastige hack af te komen.

Gebruik 1 goede plugin, niet meerdere tegelijk

De beveiligingsplugins voor WordPress werken in de basis op dezelfde manier, ze oefenen controle uit op belangrijke serverbestanden. En er kan er maar één de baas zijn!

Wat er gebeurt als je meerdere plugins tegelijk activeert

Een website die meerdere backups gaat draaien, meerdere keren alle bestanden evalueert en met 4 logsystemen van alle gebruikers bijhoudt en/of bant is niet bevorderlijk voor de werking van je website.

Ze gaan elkaar uiteindelijk tegenwerken aangezien de schrijvers van de code niet met elkaar om de tafel hebben gezeten om de plugins aanvullend te maken.
Ze proberen allemaal de oplossing te zijn voor alle beveiligingsproblemen.

Welke beveiligingsplugins er zijn

De meest uitgebreide en beste plugins zijn:

  1. Ithemes Securiy
  2. Wordfence
  3. Securi Security
  4. Bulletproof Security

we zullen deze plugins een korte introductie geven

Ze hebben allemaal hun eigen plus & minpunten.

Ithemes security

ithemes wpbeveiligen

Ithemes security staat hier op nummer 1, en dat is geen toeval. Ithemes security is naar onze mening de beste beveiligingsplugin en wel om enkele sterke punten:

  • Een goede file monitor die overzichtelijk laat zien welke bestanden er bewerkt zijn, welke toegevoegd zijn op de server, en welke verwijderd zijn.
    zo spoor je gemakkelijk nieuwe bestanden op als er nog een backdoor is die spamscripts plaatst.
  • De plugin geeft je een overzichtelijke lijst die je af kunt werken met beveiligings issues die gerangschikt zijn naar belangrijkheid.
    Deze kun je stuk-voor-stuk afwerken maar wanneer je weet wat je doet kun je deze ook direct in 1x configureren via de algemene settings page.
  • Ithemes security is 1 van de weinigen op dit moment die de mogelijkheid om php bestanden uit te voeren vanaf de uploads mappen blokkeert. iets wat zeer belangrijk is omdat die mappen het meest gebruikt worden om hacks naar te uploaden.
  • En sinds kort (half 2015) werkt Ithemes samen met de Securi experts om ook een scan uit te voeren!

Maar let op: Ithemes security geeft je ook krachtige mogelijkheden die bij een bestaande WordPress website niet meer aangepast kunnen worden. Het is dus belangrijk dat je weet welke opties je kunt gebruiken en welke niet, voor je het weet heb je de website overbeveiligd en werkt deze niet meer!

De WordFence security plugin
wordfence wordpress security

WordFence heeft een grote bekendheid. Vooral omdat deze ook een scanner heeft waarbij WordFence de bestanden vergelijkt met de Core bestanden van WordPress.
Helaas is deze versie zonder premium versie niet goed genoeg om alle bestanden te scannen. Premium plugins heeft WordFence tot op heden niet in de database staan en zullen dus overgeslagen worden.

WordFence heeft ook een Falcon engine op moment van schrijven. Dit zorgt ervoor dat je WordPress tot wel 50x sneller zou moeten worden (aldus WordFence).
De falcon engine zorgt er in de basis voor dat niet elke map op rechten wordt gecontroleerd of op Htaccess en dus sneller moet zijn.

Ik heb de plugin en de functie wel gebruikt maar merkte geen bijzonder verschil. Wanneer dit bij metingen anders is hoor ik het graag.

De Securi plugin

Securi is een groot bedrijf. Securi heeft een mooie plugin uitgebracht die veel functies heeft, en de mooiste vind ik wel dat hij ook plugins verwijdert en opnieuw installeert.
Plugins moeten namelijk na een geruime tijd opnieuw worden geïnstalleerd als ze tijden niet zijn bijgehouden, aangezien ze dan hack-files kunnen bezitten die de website om zeep helpen.

En NEE, sorry maar een update vervangt enkel sommige nieuwe bestanden maar zal nooit alles vervangen wat wel nodig is!

Bulletproof Security

bulletproof wpbeveiligen

Ik heb de Bulletproof vooral ervaren als over-technisch en niet gebruikersvriendelijk. Maar zijn de echte NERD plugins die goed zijn niet zoals Bulletproof?
Wellicht wel maar ik zie het toch graag iets gebruiksvriendelijker.

Bulletproof heeft de functie die ze wijselijk Bullerproof noemen die de Htaccess beveiligt en vele bestanden. Maar dit doen de gebruikers-vriendelijke beveiligingsplugins ook.

Wat is dan het verschil?

Caching – Maar dat doet WordFence ook.
Login security – Maar dat doen de overigen hier genoemd ook.
Htaccess manager – Dat hebben enkele anderen ook.

En zo zijn veel functies te vergelijken. Bulletproof heeft wel een PRO functie die alle functies nog eens verdubbelt. Hier heb ik weinig ervaring mee aangezien ik toch een Nederlander ben, en ja gratis he.. waarom betalen 😉

Overige kleinere plugins

Er zijn nog veel meer plugins die krachtige functies hebben. Deze zullen we in een ander artikel in de toekomst evalueren, maar we raden je aan om een goede uit te kiezen binnen de meest bekende. Die zijn meestal het beste! Heb je een parel voor ons die we niet kennen? Neem dan zeker contact op met ons,  wij horen het graag!

Conclusie

Zoals je hebt kunnen lezen gaat onze voorkeur uit naar Ithemes security.
Echter hebben de andere besproken plugins goede pluspunten en is het aan jou om te kiezen welke plugin het beste is voor je website.

Het belangrijkste is vooral dat je de plugin goed configureerd!

Geen enkele plugin maakt de website 100% waterdicht. Het hangt van je gebruik af hoe lang de website bestand blijft tegen hacks.
Zo is het belangrijk om nooit zomaar op links te klikken die in je comments geschreven zijn. Die kunnen codes bevatten die je dan als aangemelde beheerder uit kunt voeren, voor je het weet heb je een mysql injectie geaccepteerd.

Als hoofdgebruiker kun je namelijk meer doen dan een beveiligingsplugin zal beperken. Een beheerdersrol heeft altijd het beslissingsrecht boven plugins.