iThemes Security Archives - Pagina 6 van 7

Welke plugins je veilig in 2016 kunt gebruiken

26 augustus 2015/2 Reacties/in Beveiligen, Hackers, iThemes Security, Updaten

Enkele waardevolle plugins die goed up-to-date gehouden worden

Yoast seo – voor het beheren van je Beschrijving en Titel in Google
Ithemes Security – Voor het beveiligen van je WordPress (Deze plugin heeft de afgelopen maand 3 nieuwe releases gelanceerd! Over up-to-date gesproken)
ACF – Advanced custom fields. Hiermee kun je zoveel functies aanmaken en standaarden genereren binnen WordPress en zo voorkom je weer dat je 4 andere plugin nodig hebt voor enkele functies.
Contact form 7 – Voor het maken van contact formulieren met velden op maat

Als beveiliger van websites bij WPbeveiligen zie ik wekelijks WordPress websites die te veel plugins gebruiken waardoor de website traag wordt en het risico loopt om gehackt te worden.

Het installeren van een plugin is zo gebeurd, maar het is niet aan te raden om zomaar van alles te downloaden en te activeren.

Do’s en dont’s met plugins

Wat je niet moet doen met plugins:

Meerdere beveiligingsplugins inzetten in de hoop dat ze allemaal bij elkaar de hackers op afstand kunnen houden.
Meer dan 10 plugins inzetten. Het vertraagt je WordPress website en elke plugin kan nu of later een lek bevatten.
Backups draaien via 3-of-meer plugins. Je dataruimte raakt snel vol en voor je het weet update WordPress niet meer of kun je geen afbeeldingen meer uploaden omdat je datalimiet overschreden is.
Plugins langer dan een jaar niet updaten. Je kunt best even een maandje of langer wachten om zeker te zijn dat de bugs/kinderziektes eruit zijn maar wacht niet te lang!
Schrijfrechten geven waarmee ze alle mappen kunnen gebruiken om bestanden toe te voegen of aan te passen.
Betaalde premium plugins gratis illegaal downloaden van een website (Er zitten vaak backdoors in)

Wat je wel kunt doen op het gebied van plugins:

Plugins gebruiken die je legaal hebt gekocht van bijvoorbeeld de Envato market.
Plugins downloaden via WordPress.org die goede referenties hebben en recent zijn bijgewerkt en tevens getest zijn en functioneren met de door jou gebruikte WordPress release.

Tip voor als je de plugins extreem wilt beveiligen:

Plugins zoals Ithemes en Yoast Seo laten sporen achter in de broncode. Klik maar eens met je rechter-muis-button en kies “broncode” dan kom je die info tegen inclusief versienummer.

Met deze gegevens kan een hacker de exploit (lek) erbij pakken en toepassen. Die beschrijvingen kun je uit de plugin coderen maar er zijn vaak ook functions.php filters voor te vinden zodat je dit niet elke plugin na update moet herprogrammeren.

WordPress beveiligen tegen hackers

17 augustus 2015/3 Reacties/in Beveiligen, Hackers, Hacks, iThemes Security

WordPress is de afgelopen jaren populair geworden bij ondernemers, bij ontwerpbureau’s en ook bij bedrijven waar miljoenen verdiend worden.

Bedrijven laten een ontwerp maken, zetten een marketing team op om de website te vullen en laten dan alles met WordPress online plaatsen.

Omdat WordPress door zoveel grote bedrijven gebruikt wordt, is WordPress ook een interessant doelwit geworden voor hackers.

Hackers kunnen WordPress namelijk gratis downloaden en testen op lekken, ze misbruiken de functies van WordPress en gebruiken upload mogelijkheden en berichten om hun eigen informatie weer te geven.

Om die reden is het erg belangrijk om je WordPress website te beveiligen!

Wat kan er gebeuren als een hacker je website hackt?

Bij 80% van de hacks gaat het om een spam script dat ervoor zorgt dat je website e-mails gaat versturen met jouw domeinnaam.

Het script probeert dan zoveel mogelijk mails te sturen en zo hun producten aan te bieden aan grote groepen mensen.

10% van de hackers is het erom te doen om bekend te worden of gewoon een “stoere” streek uit te halen en dan zal je website zijn logo en tekst gaan vertonen.

De overige 10% helpt je website om zeep en zorgt simpelweg dat je website het helemaal niet meer doet.

Als je website eenmaal gehackt is..

Als je WordPress website eenmaal gehackt is, kom je er helaas niet zo makkelijk meer vanaf.

Als een plugin, thema of je WordPress lek is heeft de hacker of een script vaak een “backdoor” in 1 van de honderden bestanden gezet.

(Een backdoor is even simpel vertaald een achterdeurtje die WordPress open zet door middel van een admin gebruiker, door het versturen van FTP gegevens of door middel van een bepaalde link die toegang verschaft tot de database.)

Wat kan ik doen om mijn WordPress website te beschermen?

Ik heb enkele simpele stappen voor je die je zelf kunt doen om je WordPress website veiliger te maken. Let op, er zijn nog veel meer lekken die gedicht moeten worden maar met deze stappen ben je op de goede weg.

Verander je admin username. Admin is heel standaard en bekend bij iedere hacker en script
Update je WordPress en themes en plugins
Download geen illegale premium plugins
Verwijder plugins die je niet gebruikt
Zet een beveiligingsplugin in zoals WordFence of Ithemes Security

Ik wil een professional die mijn WordPress website beveiligt!

Ik ben Mathieu van WPbeveiligen.nl

Ik werk sinds 2007 met WordPress en ben al jaren actief als programmeur-vormgever.

De ervaring die ik heb opgebouwd in alle jaren gebruik ik sinds 2010 als full-time WordPress beveiliger.

Wil je jouw WordPress website laten beveiligen?

Neem direct contact op! Ook als je website al gehackt is, zorg ik ervoor dat je website weer zo goed als nieuw wordt en goed beveiligd is.

Hier geef ik ook garantie op!

Zelf een WordPress virus verwijderen in 5 stappen

11 augustus 2015/1 Reactie/in Beveiligen, Hackers, iThemes Security

Er worden dagelijks honderden WordPress websites geïnfecteerd met virussen. Denk hierbij aan bestanden of stukken code die SPAM versturen of ongewenste reclame tonen aan je bezoekers.

Voor een bedrijfswebsite raad ik aan om je WordPress te laten herstellen en beveiligen, zo heb je de zekerheid dat je WordPress virus vrij is maar ook garantie waar je op terug kunt vallen, mocht de infectie ingewikkelder en hardnekkiger zijn dan je had verwacht (Ja dit zijn ze vaak!).

Hoe-dan-ook, voor een WordPress blog of WordPress hobby website die gehackt is, wil je niet te veel geld uitgeven en kun je het virus rustig zelf verwijderen en er later nog eens naar kijken als je wat overgeslagen hebt.

We gaan je zo goed mogelijk door het proces heen slepen om je WordPress virus vrij te krijgen!

Er zullen veel links staan achter termen waar je misschien niet bekend mee bent, bezoek die pagina’s en lees je in zodat je zeker bent dat je het virus goed verwijderd.

Maak eerst een backup van alle bestanden en de database!!

Stap 1 – Het WordPress virus verwijderen

Het virus kan uit enkele bestanden bestaan maar ook uit wel 100 tot 5000 bestanden! Denk hierbij aan een virus dat pagina’s aanmaakt op je server.
Om niet je gehele WordPress bestand-voor-bestand te moeten nakijken, kun je beginnen met het verwijderen van de standaard WordPress bestanden in de “root” van je website.

Laat de wp-content map, de htaccess en de wp-config staan. Deze bevatten unieke bestanden die je niet wilt overschrijven met een nieuwe WordPress.

Download de nieuwste versie van WordPress.

Stap 2 – De bestanden nakijken op backdoors

Een virus in WordPress bestaat niet alleen uit bestanden, vaak zijn er ook stukjes code (syntax) in je theme of plugins bijgeschreven. De zogenoemde backdoors.

Om deze te vinden kijk je naar de beschrijvingsdatum, zijn alle bestanden van je theme of plugin op 3-05-2015 geplaatst maar is 1 bestand op een afwijkende datum bewerkt of geplaatst.. dan is de kans groot dat er code bij staat die er niet hoort.
Kijk dit bestand dan na, er zal Base64 of eval code in staan die onleesbaar is en afwijkt van de reguliere php opmaak. Verwijder die lijnen code zorgvuldig.

Enkele trucs waar je op moet letten:

De virus code is vaak in Base64 geschreven maar kan ook 1 simpele lijn php zijn die data doorgeeft of een write-command geeft
De virus code staat vaak aan het begin-of-eind van een bestand, de automatisering zorgt voor die logica
Soms hebben ze eerst veel witruimte overgelaten zodat je bestand in het eerste opzicht leeg lijkt, maar dan staat het rechts en moet je scrollen

Stap 3 – Bestandsrechten aanpassen

Je wilt natuurlijk niet dat bestanden binnen een dag weer aangepast worden als er nog een virus bestandje achtergebleven is, veel mappen kun je daarom ook zo instellen dat ze niet te bewerken zijn door WordPress of een virus dat geen Username en Password toegang heeft via een FTP software. (Nadeel is dan dat updates handmatig gedaan moeten worden.)

De themebestanden kun je bijvoorbeeld op 644 zetten en de mappen op 555 (het gaat er vooral om dat ze NIET op 777 staan!)

Stap 4 – Een beveiligings plugin installeren

Het voorkomen van een WordPress virus hangt van veel aspecten af, maar een belangrijk punt is de preventieve beveiliging.

Installeer en configureer een beveiligings plugin en zorg er zo voor dat een virus bestand niet zo maar terug kan komen via een lek, en dat je bestandswijzigingen direct opmerkt.

Voor het kiezen van een beveiligings plugin kun je dit artikel lezen.

Stap 5 – Maak een backup

Weer een backup maken? Maar ik ben nu toch klaar? De website heb ik virus vrij gemaakt.

Nou, als je een bestand over het hoofd hebt gezien kan het virus zichzelf weer op de server installeren en in de bestanden. Dit gebeurt dan met een ge-automatiseerd bestand dat dagelijks of wekelijks bestanden naar je server schrijft.

Mocht er toch zo iets gebeuren kun je de backup terug zetten van het moment dat je de website ogenschijnlijk 97% schoon had en kun je de laatste procenten nog even fixen.

Wat is XSS? Alles over: Cross Site Scripting

9 augustus 2015/2 Reacties/in iThemes Security

In de basis wordt Cross Site Scripting mogelijk wanneer formulieren niet goed gesloten zijn, niet filteren welke informatie je in kunt vullen.

Waarom heet het XSS als het Cross Site Scripting is?

Deze afkorting is aangepast omdat CSS (Cascading Style Sheets) al bestaat.

Hoe werkt Cross Site Scripting?

Wanneer een formulier geen “htmlspecialchars” gebruikt, en alle tekens in een input field ingevoerd en volledig ge-processed kunnen worden, krijg je de mogelijkheid om php uit te voeren op de website/server.

Via XSS kun je de server opdrachten geven. Bedenk dan eens wat je kunt doen, bestanden aanpassen, opslaan, uitvoeren etc.. zaken die je normaal alleen als beheerder van de website kunt en mag doen.

Wat is het nadeel als iemand een Cross Site Scripting op je website heeft kunnen uitvoeren?

Je website kan grafisch aangepast worden
Er kunnen pagina’s zichtbaar worden gemaakt die je alleen privé of voor betaalde gebruikers had willen tonen
Er kan informatie van jou en je bezoekers worden gestolen (de info in de cookies)
Er kan een phishing code op je site gezet worden (snelle Google ban volgt)
Er kunnen bestanden op de computer van bezoekers worden aangeboden zonder dat je het weet (trojans)
Je toetsaanslagen op het keyboard kunnen opgeslagen worden (denk aan wat je intypt als je naar de site van je bank gaat om in te loggen)
Je browser kan crashen door een geforceerde error-overload
En meer..

Buiten het aanpassen van de website heeft XSS ook invloed op je browser/computer

– Via de browser kan de webcam aangezet worden, en een opname gestart worden.
– Er kan worden meegeluisterd via de microfoon.
– Er kunnen bestanden worden opgeslagen.
Etc..

XSS, daar heb ik nog nooit mee te maken gehad als bezoeker van websites.. toch?

Ken je de popup: “Wilt u deze pagina verlaten?”.
In veel gevallen kun je die weg klikken, [x] maar wanneer dit niet kan en je je op een website bevindt die niet erg netjes is.. Ga er dan maar van uit dat er onder de button “pagina verlaten” en “terug” stukjes code staan die je liever niet uitvoert op je pc.

De browser volledig afsluiten is in dat geval het beste! (taakbeheerder in Windows en browser beëindigen)

Hoe voorkom ik XSS problemen met mijn WordPress website?

Je kunt in de WPscan database controleren of 1 van je plugins een lek heeft.
WordPress kun je het up-to-date houden, zeker als die niet beveiligd is. WordPress update soms wel 2x per maand als er Cross Site Scripting mogelijkheden gevonden worden!

Het beste kun je natuurlijk zorgen dat je WordPress website beveiligd is.
Wanneer je website beveiligd is en een hacker of script niet zomaar bestanden kan plaatsen of aanpassingen kan maken voorkom je al heel veel.

Het verschil tussen WordFence en Ithemes security en Sucuri

8 augustus 2015/4 Reacties/in Beveiligen, Hackers, Hacks, iThemes Security, Malware

De 3 grootste beveiligingsplugins voor WordPress zijn WordFence, Ithemes Security en Sucuri

De overzichtelijke tabel met functies
Uitleg van de functies
Welke plugin onze voorkeur heeft
Je website laten beveiligen

Tip: Wist je dat er naast de gebruikelijke beveiligingsplugins ook online diensten zijn? Malcare is een online dienst die je WordPress website beveiligt, controleert op malware en het gemakkelijker maakt om je website up-to-date te houden.

Het vergelijkende overzicht van Ithemes, WordFence en Sucuri

Ze hebben allemaal hun voor-en-nadelen. Om die reden hebben wij van WPbeveiligen alle functies op een rijtje gezet zodat je kunt zien welke het beste voor jou werkt.

Dit artikel is geschreven in 2015, sommige functies kunnen verwijderd of toegevoegd zijn aangezien de security plugin programmeurs wekelijks aan verbeteringen werken.


	Ithemes	Wordfence	Sucuri
Malware scanner
Database backup
Custom IP blocks
Auto IP blocks
Admin verbergen
Bestanden backup
Meldingen
Caching
Automatisering
Upload map
Readme
Theme editor
Salts aanpassen
Logins view
Site info
Bestands rechten
Data logging

Uitleg van de functies

Malware scanner
Dit betekent dat je plugin de bestanden kan scannen op de server voor hacks.
Database backup
De database bevat de meeste informatie. Informatie over de pagina’s, de themestyling, berichten en gebruikers.
Custom IP blocks
Het handmatig blokkeren van IP adressen zorgt ervoor dat je gebruikers en bots kunt tegenhouden per land of per regio.
Auto IP blocks
Het automatisch blokkeren van IP adressen na een x aantal pogingen of vanaf bekende black-lists.
Admin verbergen
Je WordPress website is te beheren via het “admin” wat standaard te vinden is op de url www.je website.nl/wp-admin, Ervoor zorgen dat deze url niet meer gebruikt kan worden om het admin te benaderen voorkomt brute force attacks en gebruikers die met achtergrondkennis proberen in te loggen op je website.
Bestanden backup
De bestanden zoals je thema, de afbeeldingen en WordPress zelf moet je minimaal 1-3x per jaar downloaden of backuppen.
Meldingen
De plugins hebben momenteel allemaal de optie om je per e-mail te informeren over bestandswijzigingen of gebruikers/bots die uitgesloten worden.
Caching
Momenteel is WordFence uniek met deze optie. Ze noemen het de Falcon engine waarbij ze zorgen met caching en info dat de server en de browsers sneller door de mappen kunnen browsen.
Automatisering
Hiermee doelen we op het automatisch maken van backups op geregelde tijden.
Upload map
De upload map is altijd al een zwakke plek geweest aangezien die schrijfbaar moet zijn en vaak gebruikt wordt door plugins om info naar te schrijven. Het blokkeren van php uitvoer-rechten is dan ook essentieel.
Readme
De readme.html heeft mij altijd al geïrriteerd. Vooral omdat die de versie van WordPress vermeldt en bij iedere update en zelfs bij ge-automatiseerde updates weer in de root geplaatst wordt.
Theme-editor
De theme-editor kan handig zijn bij het ontwikkelen van je website of thema, maar daarna kun je die functie het beste uitschakelen en desnoods met de ftp editor wijzigingen maken.
Salts aanpassen
De salts staan in de wp-config en zorgen ervoor dat je gemakkelijker in kan loggen. Vooral voor bots is het goed als deze salts verwisseld worden.
Logins view
Kunnen zien wie ingelogd is op je admin is handig, je kunt zien of bepaalde gebruikers of zelfs beheerders in je website zijn geweest. Maar ook als een hacker een gebruiker aangemaakt heeft en ingelogd is.
Site info
De informatie van je server en de technische informatie vertelt je welke PHP versie er draait, en hoeveel geheugen je WordPress website heeft om te werken.
Bestands rechten
Het aanpassen van de bestandsrechten voor bepaalde mappen en bestanden is nodig. Denk aan de Htaccess en de wp-config, aan de themes map en de uploads map. Het is ook belangrijk dat de weergave of de schrijfrechten voor de mappen goed staan.
Datalogging
De datalogging laat je zien welke bestanden aangepast of aangemaakt zijn. Enorm belangrijk aangezien een nieuw bestand mogelijk een spam bestand kan zijn. Weten waar de nieuwe bestanden staan en welke bestanden gemodificeerd zijn, is essentieel.

Welke plugin onze voorkeur heeft

WPbeveiligen heeft een groot aantal beveiligingsplugins getest. Waar Wpbeveiligen de beste ervaring mee heeft, is Ithemes Security. Deze plugin geeft een helder overzicht van de punten die beveiligd moeten worden en rangschikt deze op prioriteit. Tevens heeft Ithemes security 1 grote settings page waar alles in 1x ingesteld kan worden. Dit is wel zo fijn als je dagelijks websites beveiligd en dus de securityplugin moet instellen.

Overzicht is het belangrijkste als het gaat om beveiliging. Je website gemakkelijk monitoren en beheren met krachtige tools zorgt ervoor dat je: “door de bomen het bos weer ziet”.

De beveiligingsplugins instellen

Het is belangrijk de plugins voor de beveiliging correct in te stellen.
Als alle mogelijkheden van de beveiligings plugin aanvinkt, krijg je conflicten, errors met de server of meerdere meldingen per uur.

Ik zie bij 2 op de 10 websites die ik voor klanten beveilig, dat ze meerdere plugins hebben geactiveerd in de hoop dat de hackers er dan niet in komen. Dit is niet effectief en helaas geen oplossing tegen hackers. Daarnaast gaan de plugins elkaar deels tegenwerken, zo benadelen ze daardoor de server en dus de snelheid van je website.

Stel je voor wat er gebeurt als 3 plugins elke bezoeker opslaan in een log bestand, als ze alle IP adressen opslaan van elke bezoeker en onafhankelijk van elkaar gebruikers en IP adressen en bestandsrechten gaan blokkeren.

Je website goed laten beveiligen

Als je geen zorgen wilt hebben over het beveiligen van je WordPress website kun je dit door ons laten uitvoeren. Je krijgt standaard een maand garantie die verlengbaar is en WPbeveiligen gebruikt de kennis van tientallen jaren om je WordPress goed af te stellen en de huidige functionaliteiten in tact te houden.

Klik hier om je WordPress website voordelig en professsioneel te laten beveveiligen.

Zo werkt Ithemes security

18 juli 2015/4 Reacties/in Beveiligen, Hackers, iThemes Security

Ik ga er bij het schrijven van dit informatieve artikel er vanuit dat je Ithemes Security hebt geïnstalleerd of hebt laten installeren door WPbeveiliging.

En je benieuwd bent wat de plugin nu doet!

Hoe Ithemes security werkt

Een korte uitleg: Ithemes security zorgt ervoor dat hackers de algemeen bekende functies van WordPress niet kunnen gebruiken. De standaarden waar WordPress bekend om staat, kunnen handmatig via de plugin aangepast worden zodat ze uniek zijn en dus minder gemakkelijk gebruikt kunnen worden door hackers.

Ithemes security geeft je aanpassingsmogelijkheden

Ithemes security helpt je bij het aanpassen van riskante standaarden:

Het aanpassen van de standaard gebruikersnaam (admin)
Het aanpassen van de database ID van de admin gebruiker (standaard 1)
Het aanpassen van de url waarmee je het admin kunt bereiken (standaard wp-admin)
Het veranderen van de Salt’s in je wp-config
Het veranderen van de wp_ prefix die standaard is
En nog veel meer maar niet alles hoeft voor elke lezer bekend te worden!

Let op: je kunt niet alle functies aanzetten want dan staan de instellingen te strak en heb je kans dat de website en de server niet meer goed zal functioneren.
Neem als voorbeeld de wp_prefix die je wel kunt aanpassen als je website net nieuw is, maar niet meer nadat je meerdere plugins in gebruik hebt genomen, die hangen aan de huidige prefix.

Ithemes security blokkeert en beschermd

We hebben net gesproken over de veranderingen die je aan kunt brengen zodat hackers niet meer kunnen inhaken op de standaarden van WordPress. Maar Ithemes security doet veel meer!

Ithemes security blokkeert ook:

Het aantal pogingen wat gedaan mag worden om in te loggen op het admin panel
Het aantal 404 pagina’s dat een IP adres mag bezoeken (wat vaak hackpogingen zijn)
Het uitvoeren van php bestanden in de uploads mappen (want die horen er niet in thuis)
Het bezoek van je admin in de nacht, je kunt instellen dat het dan niet benaderd kan worden
Het aantal tekens dat in een url uitgevoerd mag worden (dit zijn vaak database injecties)
De toegang tot de bestandseditor waarmee een hacker je themebestanden kan aanpassen
Toegang tot bepaalde mappen op de server die verraden welke plugins je gebruikt
Toegang met de mogelijkheid tot het overschrijven van bestanden zoals de Htaccess en de wp-config
En wederom doet Ithemes security meer dan ik hier ga vermelden!

Ithemes security maakt backups

De database is een belangrijke informatiebron waar de meeste data opgeslagen wordt. Denk aan gebruikersaccounts, pagina’s met content.
Ithemes heeft een functie waarmee je periodiek backups van de database kunt laten e-mailen of opslaan in een bepaalde map.

Ithemes security registreert op serverniveau

Op diverse manieren houdt Ithemes security bij welke bestanden aangepast zijn op de server en welke bestanden nieuw zijn.
Als er dan een besmetting plaats vindt weet je snel waar het bestand geplaatst is en als er backdoors in de code bijgeschreven zijn, kun je per datum en bestand zien waar die bestanden zijn.

Ithemes security brengt je op de hoogte per e-mail

Ithemes heeft diverse mogelijkheden om je op de hoogte te houden van bestandswijzigingen, van aanvallen op je admin, van uitsluitingen op user-gebied en meer.

Als je Ithemes goed instelt, is het een geweldige beveiligingsplugin die je helpt kosten te voorkomen als gevolg van de schade die hackers veroorzaken wanneer ze je website besmetten met spam bestanden en ongewenste reclame.
Ook als je gehackt bent en je website is weer schoon, is het goed om Ithemes te gebruiken om een nieuwe hack te voorkomen.

Waarom je niet gemakkelijk van een WordPress hack af komt

8 juni 2015/2 Reacties/in Beveiligen, Hackers, Hacks, iThemes Security, Malware, Updaten

Hackers zijn heel creatief in het maken van scripts die niet worden herkend door de server, WordPress of plugins zoals WordFence & Ithemes security.

Een hackers schrijft zulke scripts om via jouw website reclame te kunnen maken voor zijn eigen website waar hij gesponsorde reclame toont of producten verkoopt.

Jouw website gebruiken om bezoekers te krijgen kan op diverse manieren, als je dit artikel verder leest, weet je direct waarom een beveiligingsplugin gebruiken om je website te scannen niet voldoende is om van een hack af te komen.

WordPress hack 1: de cookie methode

Door middel van een cookie zorgt het hackscript ervoor dat het slechts 1x per gebruiker actief geladen wordt. Door die eenmalige activatie ga je er als website eigenaar bij het testen vanuit dat de hack weg is, als het je überhaupt al de eerste keer opgevallen is. Het script zorgt er ook voor dat het alleen actief wordt wanneer een user agent aangegeven wordt. Kortom, de server die geen Chrome of mobiel is zal geen actief script tegen komen.

WordPress hack 2: de base64/eval methode

De code wordt geschreven in een gecodeerde php taal. Hierdoor merken diverse scanners niet welke functies er uitgevoerd worden in een php bestand. Het zijn cijfers en letters waardoor je de output van de code niet kunt gebruiken om de source op te sporen en aan te passen door middel van een reguliere search & replace.

Voorbeeld van een stuk Base64 code

WordPress hack 3: de admin methode

Als eigenaar van de website is de kans groot dat je ingelogd bent op het afmin panel van WordPress.

Hier houden hacks rekening mee, door zichzelf uit te schakelen wanneer een administrator aangemeld is. Zo werken de beveiligingsscanners dus ook minder effectief of zelfs helemaal niet.

WordPress hack 4: de iframe methode

Door het inzetten van 1 simpele regel code kan een dynamisch iframe geladen worden waar later elke pagina mee opgeroepen kan worden.

Doordat deze via javascript geladen wordt staat deze code niet op de plek waar hij een zichtbare output in de broncode krijgt.

En om het dan nog erger te maken wordt er vaak rekening gehouden met de host user waardoor niet elke browser de iframe toont.

Door middel van wat inline code wordt de iframe aan het zicht onttrokken.

WordPress hack 5: De Htaccess methode

Je zou hem gemakkelijk over het hoofd kunnen zien. In je root staat de Htaccess. Dit is een bestandje die de browser kan doorverwijzen naar andere pagina’s. De truc die vaak wordt gebruik is het doorverwijzen van enkel android toestellen naar een domein waar een bestandje draait die bij elk bezoek doorverwijst naar een andere website uit de lijst met malware sites. Op de pc zie je er niets van en wordt je niet doorgestuurd.

Naast deze 5 methodes die we net besproken hebben zijn er nog veel meer mogelijkheden die de servers toelaten om bezoekers om te leiden naar malafide websites. Voor de gewone programmeur zijn deze methodes onbekend en om die redenen kom je niet zomaar van een hack af.

Als beveiliger van WordPress websites heb ik een groot aantal trucs gezien en gaat er een belletje rinkelen als de reguliere opschoningstechnieken zoals grondig speuren + updaten + verwijderen + scannen niet oplevert.

Op zulke momenten worden de hi-tech trucs gecontroleerd.

Om jezelf wat slapeloze nachten te besparen en dagen research, kun je altijd contact opnemen met WPbeveiligen.

Met standaard garantie en mogelijkheden om de service van WPbeveiligen uit te breiden naar een garantie van 3, 6 of 12 maanden, ben jij zeker van een beveiligde website zonder dat je zelf alle kennis in huis moet hebben om preventief en actief de hackers en virusscripts tegen te houden.

Zou je WordPress nog wel gebruiken als start van een nieuwe website?

23 mei 2015/2 Reacties/in Antivirus, Beveiligen, Hackers, iThemes Security, Updaten

WordPress lekken gevonden in alle versies voor 3.8 – updates nodig, WordPress 3.9 lek nog een update, lekken gevonden in WordPress 4.0, WordPress 4.1…

Deze nieuwsberichten lees je steeds vaker. Zoals ik in eerdere artikelen schreef, neemt WordPress een groot deel van het internet in beslag en richten grote aantallen hackers (lees hier waarom) zich op WordPress wat helaas succes heeft bij veel websites die niet up-to-date zijn.

De vraag die daardoor zowel bij mij en mijn klanten opkomt is daarom terecht:

Zou je WordPress nog wel gebruiken als basis?

Het antwoord is nog steeds: ja

Maar…

De jaren dat iedereen met een beetje lezen een WordPress online kon zetten, er een aantal plugins en een thema voor kon downloaden en klaar was met de site en het onderhoud, zijn voorbij.

Is WordPress slechter geworden?

WordPress is niet slechter geworden. WordPress is nog steeds in handen van de ontwikkelaars die met hart en ziel aan de verbetering van dit systeem werken.

Elke keer wanneer een lek bekend wordt, zorgen ze ervoor dat er een veiligheids- update uitgebracht wordt. Kortom de kwaliteit is nog steeds hoog en de snelheid waarmee WordPress bijgewerkt wordt, is meegegaan met de nood.

Tevens is WordPress is nog steeds voorzien van wachtwoorden, de database en de laagdrempelige manier waarmee je websites op kunt zetten. WordPress stuurt nog steeds bij en zorgt hierdoor dat het 1 van de beste CMS-en blijft dat goed functioneert.

Hoe kun je WordPress dan zonder problemen gebruiken?

WordPress op zichzelf is een goed systeem, waar je echter rekening mee moet houden als je een WordPress website wilt opzetten.

Er zijn enkele “spelregels” die veranderd zijn door de vele pogingen van hackers en de diverse virussen die rondgaan op het internet.

De “spelregels” van WordPress in 2015

Gebruik maximaal 5-8 plugins
Elke plugin is een deur die gebruikt kan worden door hackers. De plugins worden ook door programmeurs ontwikkeld die “het grote geld ruiken” en even snel een plugin maken zonder deze te updaten of te beveiligen wanneer er lekken (exploits) gevonden worden.
Update WordPress op geregelde basis
Niet elke update is gericht op veiligheid, je hoeft daarom ook niet elke update te volgen en kunt soms het beste wachten tot de kinderziektes uit de update zijn.
Er zitten wel eens bugs in, en de plugin ontwikkelaars hebben ook even nodig om hun plugin bij te werken aangezien die wellicht hangen op de code van de vorige WordPress versie.
Kies een unieke gebruikersnaam, wachtwoord en schermnaam
1 van de eerste woorden die een spambot uitprobeert is je schermnaam, websitenaam, variaties daarvan.
Kortom: wees creatief en gebruik geen “woordenboek woorden” en zet er een cijf#r en HooFdletter tussendoor.
Een beveiligingsplugin zoals WordFence, Securi, Ithemes Security is geen overbodige luxe
Deze plugins zorgen ervoor dat je gemakkelijk in kunt stellen of elke bezoeker door de mappen van je server kan bladeren, of de versie van WordPress zichtbaar is, waar het admin panel te vinden is, of bestanden schrijfbaar zijn, of lange query’s via de navigatiebalk gebruikt mogen worden, of tientallen inlogpogingen zorgen voor een ip-ban en meer.
Om je WordPress website nog enigszins veilig te houden heb je 1 van deze plugins nodig.
Let op: je moet deze dan ook goed instellen!
Zorg ervoor dat er geen keyloggers op je pc staan
Via kleine scripts van het internet, een pagina of een add-on in je browser kunnen ze je data opvangen en doorsturen. Zorg ervoor dat je een goede antivirus gebruikt op de pc.
Tip: Avira heeft een goede gratis virusscanner!

WordPress plugins

10 februari 2015/2 Reacties/in Hackers, iThemes Security, Oplossen

Velen zien de duizenden plugins van WordPress als een groot voordeel van dit populaire CMS. Echter, op het gebied van de veiligheid van het CMS kunnen de WordPress plugins een probleem vormen. Meer over de veiligheid van WordPress op het gebied van WordPress plugins, lees je in dit artikel. Zo lees je in dit aritkel hoe plugins van WordPress voor problemen kunnen zorgen, hoe je kunt voorkomen dat je in de problemen komt door WordPress plugins en hoe je de WordPress beveiliging van jouw website kunt verbeteren met specifieke beveiligingsplugins van WordPress.

Waarom zijn sommige plugins slecht voor de WordPress beveiliging?

WordPress bevat ongeveer 35.000+ verschillende plugins. In tegenstelling tot de techniek en het systeem achter WordPress, worden deze duizenden plugins niet volledig door WordPress doorgelicht en gecontroleerd op veiligheid. Zo kan het voorkomen dat je een WordPress plugin installeert die jouw website niet beter of mooier maakt, maar juist voor problemen zorgt op het gebied van WordPress beveiliging. Zo kan een WordPress plugin een virus (hack bestand/backdoor) bevatten, en kun je ook te maken krijgen met aanvallen van hackers door een specifieke plugin van WordPress. Hoe je dit kunt voorkomen en hoe je de veiligheid van jouw WordPress website juist kunt verbeteren met bepaalde plugins, lees je in onderstaande alinea’s.

Hoe voorkom ik problemen met WordPress plugins?

Omdat WordPress de duizenden plugins van het CMS niet controleert op het gebied van veiligheid en betrouwbaarheid, heb je als gebruiker van WordPress de verantwoordelijkheid om dit zelf te doen of te laten doen door Wpbeveiligen. Voor je een plugin installeert voor jouw WordPress website, kun je dan ook enkele zaken te controleren om de WordPress beveiliging van jouw website niet in gevaar te brengen. Dit betreft de volgende zaken:

De waardering van een plugin: als een plugin goed is beoordeeld met vier of vijf sterren, weet je dat andere gebruikers van de plugin tevreden zijn en de plugin dus hoogstwaarschijnlijk niet schadelijk is.
Het versienummer van een plugin: als een plugin een uitgebreid versienummer heeft, zoals 3.8.7.6.2, weet je dat deze plugin meerdere keren vernieuwd en verbeterd is.
De datum van ‘laatst bijgewerkt’: heeft een plugin recentelijk een update gehad, dan betekent dit dat de plugin verbeterd is ten opzichte van enkele maanden geleden.
De beschrijving van een plugin: als een plugin uitgebreid, duidelijk en goed omschreven wordt, is deze betrouwbaarder dan wanneer er geen beschrijving staat of slechts een korte beschrijving wordt gegeven.
De installatie-beschrijving van een plugin: heeft een plugin een duidelijke, verzorgde installatie-beschrijving, dan hebben de makers van de plugin aandacht besteed aan deze tekst en is de kans groter dat deze plugin betrouwbaar is.

Door plugins te controleren voor je deze installeert op basis van bovenstaande punten, heb je als gebruiker van WordPress meer grip op de WordPress beveiliging van jouw website. Er zijn helaas veel gevallen bekend van gebruikers die een bepaalde plugin installeerden en hun website hierna helemaal opnieuw op moesten bouwen, dus zorg ervoor dat jij hier niet mee te maken krijgt en controleer altijd bovenstaande zaken voor een betere WordPress beveiliging.

Welke plugins kan ik installeren voor een betere WordPress beveiliging?

Hoewel plugins een gevaar kunnen vormen voor jouw WordPress website, zijn er ook plugins beschikbaar die de WordPress beveiliging van jouw website juist kunnen verbeteren. Dit betreft de plugins iThemes Security, Wordfence Security en BulletProof Security. Deze beveiligingsplugins zorgen er niet alleen voor dat je de middelen hebt om de WordPress beveiliging van jouw website te verbeteren, maar leggen je ook uit hoe je dit het beste kunt doen en maken in sommige gevallen zelfs backups van je website. Het wordt dan ook ten zeerste aangeraden om één van deze plugins te installeren om de veiligheid van jouw WordPress website te verbeteren. In combinatie met bovenstaande tips om alleen de juiste plugins te downloaden, is dit namelijk de beste manier om de WordPress beveiliging van jouw website te bevorderen door op een slimme manier om te gaan met WordPress plugins.

WPbeveiligen houdt zich wekelijks bezig met het beveiligen van websites en kent daardoor de werking en veiligheid van vele plugins. Ook weet WPbeveiligen welke beveiligingsplugin momenteel het beste werkt.

Voor een stukje zekerheid en garantie kun je de beveiliging van je WordPress website het beste overlaten aan Mathieu van WPbeveiligen.

De backup – een stille redder in nood

30 januari 2015/1 Reactie/in Hosting, iThemes Security

Voor je het weet heb je binnen enkele maanden een groot aantal uren in je website geinvesteerd. Even een berichtje schrijven in het weekend, een update op maandag en woensdag wat fotos uploaden, enkele pagina’s delen op facebook en linked-in.. Kortom voor je het weet zit er zo 100 uur aan arbeid in je website. En je website krijgt een leuk aantal bezoekers!

En dan kom je op een dag op je website en zie je alleen een stuk code die erop duidt dat je website gehackt is en de data gewist is uit de database.. Weg pagina’s! Weg bezoekers die naar die pagina’s geleid werden via Google, social media en andere websites.

Pas als je data weg is, besef je hoeveel je kwijt bent. En denk je “had ik maar”.. Een backup!

Met een beetje geluk lees je dit artikel op tijd en kun je nog een backup maken!

Wat is een backup?

Een backup is een kopie van al je bestanden op de server die je terug kunt zetten voor als er in de toekomst iets met je bestanden gebeurd. En bij een WordPress website moet je er op letten dat je de database ook opneemt in de backup want die staat namelijk niet tussen de standaard data!

Dus, welke bestanden moet je opnemen in de backup?

Het gaat met name om de database. In de database zet WordPress alle tekst voor de berichten en pagina’s en de instellingen van je thema + plugins.

Na de database is het belangrijk de data veilig te stellen, de afbeeldingen, het thema en de plugins die je gebruikt.
Deze vind je in de wp-content map op de server.

Hoe vaak moet ik een backup maken?

Het is aan te raden dit minimaal iedere maand te doen zodat je niet al te veel data kwijt bent na een hack.

Hoe maak ik een backup van de website?

Dit kan op diverse manieren, de gemakkelijkste methode als je weinig ervaring met de server of ftp hebt is het installeren van een plugin die de backups voor je maakt.

Plugins als IThemes Security, BackWPup en diverse andere plugins doen dit op verschillende wijze.

Let erop dat je de plugin niet alleen installeert maar dat je deze ook goed configureert.

Er zijn vaak diverse keuzes om de gemaakte backup te downloaden of op een andere locatie te laten zetten.
Het spreekt voor zich dat je de back-up NIET tussen de gewone data moet laten opslaan (uploads map) aangezien deze bij een server of hack mogelijk ook beschadigd raken.

Als je handig bent met FTP e.d.

Als je handig bent met ftp, kun je de bestanden ook handmatig via Filezilla of andere software naar de computer kopiëren. Neem dan minimaal de wp-content map mee, maar het liefst de gehele WordPress installatie inclusief de hoofdmap waar belangrijke bestanden zoals de Htacces en de wp-config staan.

De database kun je vaak via phpmyadmin bereiken. Dit is een beheertool voor de database die bij vrijwel iedere hostingpartij beschikbaar is.
Ga naar de juiste database en klik het tabje export in phpmyadmin en download een sql file of een ge-zipte database.

Maakt WPbeveiligen backups van de websites?

Ja, de server maakt automatisch iedere 7 dagen een backup. En geregeld wordt er ook een backup apart gezet aangezien deze wekelijkse backups iedere week overschreven worden.
WPbeveiligen host al jaren websites en weet hoe belangrijk het is om een backup te bewaren. Als je contact opneemt kun je ook een hostingpakket op maat aanvragen bij ons.