Featured image for Waar is de hack begonnen? in category BEVEILIGEN

Waar is de hack begonnen?

/0 Reacties/in , , , ,

Wij krijgen tegelmatig de vraag. Waar is de hack nu begonnen?

Het liefst ziet iemand dan een screenshot met een van de eerste bestanden, stukken code, en dan nog waar die vandaan kwam.
En hoeveel ervaring wij ook hebben, ook al weten we meestal precies waar het begonnen is. We kunnen dat niet tonen.
Hoe komt dat? Dat komt omdat de hacker zijn script zo programmeert dat het zichzelf opruimt.

Dus, in volgorde uitgelegd vanaf het echte begin:

  1. De hacker schrijft een script.
    Dat script draait vanaf een computer, of server.
  2. Het script controleert websites die het op Google vindt op lekken.
    (in bekende en verouderde plugins, thema’s en WordPress installaties)
  3. Als het script een bepaald lek vindt, injecteert die zijn payload zoals ze dat noemen.
    Een reeks aan code en server aanvragen richting de website/server.
  4. Eenmaal succesvol uitgevoerd installeert het script een nieuw script, malware op de server.
  5. Die malware heeft de taak om zich te verspreiden, en daarna zijn eigen script te verwijderen.

Kortom, wat valt er aan te wijzen?

NIETS!

Ja, maar de serverlogs dan?

Als je weet waar je naar moet zoeken kun je soms nog sporen vinden, dan zie je bijvoorbeeld de aanvragen om het eerste script te activeren.

Maar, tegen de tijd dat jij erachter bent dat je website gehack is.. zijn die logs al lang verlopen, overschreven met nieuwe logregels.

En hackers weten ook dat ze aanvragen doen (POST  / GET requests) die de eerste 24 tot 48 uur te zien zijn. Dus noemen ze die scripts en functies hetzelfde als reguliere WordPress functies.

Zie dan maar eens te ontdekken wat er gebeurd is!

Wat je kunt doen

Je website goed laten beveiligen.
Extra logging en vooral scriptpreventie aanbrengen in je website.

Dat is natuurlijk een vak apart, je kunt dit het beste aan ons overlaten. Wij doen dit al jaren en weten hoe we je website goed moeten beveiligen tegen hackers en hacks, scripts en hoe we payloads kunnen voorkomen.

Vraag nu nog beveiliging aan voor je website!

 

Featured image for Onthullingen van de WordFence security whitepaper in category HACKS

Onthullingen van de WordFence security whitepaper

/1 Reactie/in ,

WordFence is 1 van de grootste op het gebied van malware bescherming, ze hebben een uitstekende firewall waarmee ze aanvallen van miljoenen ongewenste IP adressen mee tegenhouden.

Nu hebben ze een whitepaper geschreven (die je hier kunt lezen) met nieuwe onthullingen op het gebied van beveiliging en ook waar de meeste problemen ontstaan.

  1. Websites die niet bijgehouden worden
  2. Plugins die niet meer door programmeurs ge-update worden
  3. Nog steeds worden er Nulled plugins gebruikt
    Dit zijn plugins die eigenlijk gekocht moeten worden maar door criminelen gratis verstrekt worden. Gratis is niet het goede woord, aangezien je betaald middels de malware die de criminelen via de Nulled plugin op je website zetten.
  4. De meeste succesvolle hacks komen nog steeds voort uit het brute-force raden van de gebruikersnamen en wachtwoorden

Ben jij al op de hoogte van de bovenstaande 4 punten? Er staan er nog veel meer in het whitepaper!

Featured image for Behoren aanvallen op WordPress websites tot het verleden? in category ANTIVIRUS

Behoren aanvallen op WordPress websites tot het verleden?

/0 Reacties/in , , , ,

Iedere WordPress website wordt ondergebracht bij een webhostingbedrijf, een bedrijf met diverse server- beveiligingsspecialisten. Bij grote webhosters werken ICT-ers met 30-50 jaar ervaring in de cybersecurity.

Veel mensen met een WordPress website nemen daardoor aan dat het binnen de mogelijkheden – en zelfs verantwoordelijkheden – van de webhoster ligt om de website hack & malwarevrij te houden.

Immers, de aanvallen worden gedaan op de website richting de server toch? En malware + hacks komen uiteindelijk terecht op de server van de hoster. Toch?

In de video hieronder (engels) legt Mark Maunder, de Founder & CEO van WordFence – 1 van de grootste WordPress antivirusdiensten – uit dat het door de versleuteling van verbindingen (TLS) nauwelijks mogelijk is voor hostingbedrijven om aanvallen te identificeren en/of direct tegen te houden. Alleen de uitwerking kan worden geïdentificeerd. Maar dat is in veel gevallen al te laat.

Aangezien aanvallen continu veranderen & de uitwerking (payload, hack, malware) continu veranderen & er nog een stuk klantprivacy en zelfbeschikking over de website is & de server ervoor gemaakt is om taken uit te voeren en niet te blokkeren.. is het voor webhosters niet haalbaar om alle malware te herkennen, te blokkeren, en te verwijderen.

Om die reden heb ik als WordPress beveiligingsspecialist nog werk 😉

Maar WordFence heeft nu een interessante dienst gelanceerd.

WordFence Intelligence

De beveiligingsexperts van WordFence zien middels de WordFence plugin miljoenen aanvallen, en de uitwerking ervan.

Op basis van die informatie kunnen ze vrij snel bepalen welke hacks & IP adressen afkomstig zijn van gehackte of malafide servers. Die informatie van die adressen en hacks gaan ze via een WordFence Intelligence API beschikbaar stellen voor webhosters.

Zal dat een oplossing zijn die alle aanvallen en malware op de server van webhosters voorkomen in de toekomst?

Er zal altijd een “wachttijd” van 30 tot 60 minuten zitten tussen de aanvallen, de verwerking ervan en de blacklisting/informatieverstrekking.

100% beschermen kan deze tool voor webhostingbedrijven dus ook niet, maar het kan wel de grootste gevaren aanpakken. Het kan ervoor zorgen dat duizenden websites niet meer aangevallen worden!

En beter nog, dat duizenden aanvragen op de server via wisselende ip’s sneller geblokkeerd worden wat de servercapaciteit ten goede komt en de stroomkosten omlaag brengt.

Een goede ontwikkeling dus!

Maar wie weet gaan we stapsgewijs naar een tijd toe waarbij massale aanvallen op miljoenen websites wel tot het verleden gaan behoren.

Tot die tijd, zorg je er zelf als website-eigenaar voor dat je website minimaal beschermd is met een antivirusplug-in met firewall, of beter nog.. laat je website beveiligen!

Featured image for Reputatie monitoring in category ANTIVIRUS

Reputatie monitoring

/0 Reacties/in , ,

Wist je dat Google de websites in de zoekresultaten dagelijks scant op de malware? Dit is om de bezoekers de beste & veilige zoekresultaten aan te bieden.

Google kijkt naar:

  • Phishing – scrips die betaalgegevens proberen te stelen
  • Malware – scripts die ongewenste opdrachten aan bezoekers geven
  • Spam/ongewenste reclame – voor discutabele producten of diensten
  • Url redirects – het doorsturen van bezoekers
  • En meer..!

Wanneer Google 1 van de bovenstaande problemen op een website aantreft zal het een waarschuwing tonen in de zoekresultaten:

Deze website is mogelijk gehackt

google notitie
Je kunt je voorstellen dat bezoekers dan 2x nadenken voordat ze je website aanklikken..

De chrome webbrowser
Als een websitebezoeker Chrome als webbrowser gebruikt (van Google) gaat het nog een stapje verder:

Dan krijg de bezoeker bij het openen van de website een rood scherm te zien dat aangeeft dat het een onveilige website is

Antivirus programma’s
Veel antivirus programa’s hebben ook zo’n functie, waarbij het bezoekers tegenhoudt als een website volgens hun onveilig is.

Safesearch, Phishing protection, die dienst gaat onder verschillende namen.
Het spreek voor zich dat het niet goed is als bezoekers ervan weerhouden worden om je website te bezoeken.

Reputatie monitoring voorkomt onwetendheid
Wat als je niet weet dat je website als onveilig wordt beschouwd door grote partijen zoals Google en andere antivirus programma’s (Eset, Norton, McAfee)?
Dan je weken of zelfs maandenlang bezoekers, klanten of kopers mis.. die vaak niet meer terugkomen.

Wij monitoren de reputatie van je website bij de 10 meest toonaangevende bedrijven zoals Google, Norton, Eset en meer!

Dit doen wij dagelijks en geautomatiseerd zodat we kunnen garanderen dat bezoekers niet tegengehouden worden.

Wat als je website als onveilig aangemerkt wordt?
Als we ontdekken dat je website geblokkeerd wordt – ofwel een slechte reputatie heeft, op een blacklist staat – lossen we dat zo snel mogelijk op en vragen we een herkeuring aan bij de dienst totdat de website weer als veilig beschouwd wordt en de bezoekers je website weer zonder problemen kunnen bezoeken.

En weet je wat? Deze dienstverlening kost je geen fortuin!
Deze dienst bieden wij standaard aan bij onze beveiligingspakketten.

Featured image for Shared webhosting in category BEVEILIGEN

Shared webhosting

/1 Reactie/in , ,

Shared webhosting zegt je misschien niet zoveel, totdat we het in t’ Nederlands vertalen. Simpelweg: Gedeelde webhosting.

Eigenlijk is ieder hostingpakket gedeeld, het huren van een server kost al snel honderden euro’s per maand en dat wil niemand uitgeven.

Wat doet de webhoster dus? Die knipt de server-capaciteit op in delen.

Belangrijk is om te beseffen bij Shared webhosting

Het aantal websites waarmee je de server deelt kan impact hebben op de laadsnelheid van jouw website. Bij de goedkoopste hostingpakketten deel je een server mogelijk met 100-250 andere websites!

Het risico van een Shared server

  1. Als 1 van die websites in een “loop” beland – het oneindig herhalen van een servercommando kan de server traag worden waardoor de laadtijd van je website zomaar omhoog schiet naar 10-15 seconden. Een loop wordt niet altijd even snel ontdekt en kan weken doorgaan.
  2. Als een website op de server aangevallen wordt met een DDOS aanval kan jouw website onbereikbaar worden. Dit is meestal met 1, maximaal 2 dagen opgelost doordat de webhost de aangevallen website offline haalt of verhuisd van server.
  3. Als websites campagnes starten, advertising kan dat zorgen voor bezoekerspieken waardoor je website tijdelijk traag wordt. Dit kan meerdere keren per maand/jaar voor blijven komen.
  4. Als een website door malware geïnfecteerd raakt kan die gaan spammen, dat betekent dat er honderden e-mails vanaf de server verzonden wordt waardoor de server na enkele dagen tot een week op de blokkade-lijsten komt te staan van veel internetdiensten zoals internet-providers, e-maildiensten. Daardoor word e-mail van jouw website ook geblokkeerd!

De overweging, wel of geen shared hostingpakket?

keuze hostingpakket kosten

Kleine informatieve website

Als je een kleine informatieve website hebt zal zo’n Loop of DDOS aanval niet veel uitmaken, de webhoster zorgt er meestal voor dat de server binnen 4-48 uur weer werkt en je website weer goed bereikbaar is.

De Shared hostingpakketten heb je vaak al voor 3-10 euro per maand, die worden vaak “Basic, Standaard of Starter” genoemd. Daar staan meestal veel andere websites op.

Webshop

Als je een webshop hebt met veel bezoekers kun je het beste een hostingpakket kiezen waar minder andere websites op staan.

Voor een webshop pakket betaal je zomaar tussen de 25-50 euro per maand. Zo’n pakket wordt dan een Webshop, Zakelijk of Premium pakket genoemd.

Grote bedrijfswebsite of drukbezochte website

En als je écht zeker wilt weten dat je geen last van andere websites hebt, als je bijvoorbeeld een drukbezochte website hebt met duizenden bezoekers, neem dan een Dedicated pakket. Dan heb je een toegewezen capaciteit van de server dat los staat van andere pakketten.

Voor een DDS, die je dan het beste Managed (beheerd) kunt afnemen betaal je al snel 55-150 euro per maand.

Samenvatting: kies niet het goedkoopste hostingpakket van 1-2 euro per maand wanneer je website een belangrijke inkomstenbron voor je is die je geen dag kunt missen en neem een pakketje hoger wanneer je een webshop hebt.

LET OP: Vaak zie je een pakket dat geen 10-50 euro per maand kost maar slechts 1-5 euro per maand. Dat is vaak alleen de eerste maanden!! Daarna ga je de volle prijs betalen. Let daar dus op voordat je een pakket van 50+ euro aanschaft wat je maandelijks moet gaan betalen.

Featured image for Gehackt voordat je zelf ingelogd bent! in category BEVEILIGEN

Gehackt voordat je zelf ingelogd bent!

/0 Reacties/in , , ,

Dat je website kwetsbaar is als je goed te vinden bent op Google weten we, dat meer plugins het risico vergroten dat je gehackt kunt worden ook.. Maar dat je nu al gehackt kunt worden VOORDAT je zelf ook maar 1 keer ingelogd bent?

Dat overkwam een aantal websites die de installatie niet snel genoeg afmaakte.

Hoe dan?!

Bij een nieuwe WordPress installatie moet je als eerste een gebruikersnaam en wachtwoord kiezen. Je zou zeggen, een nieuwe installatie daar komt niemand tussen. De domeinnaam is soms nog maar net geregistreerd.. niemand die daar vanaf weet.

Niets is minder waar, de Letsencrypt dienst die gebruikt wordt om gratis SSL certificaten aan te vragen blijkt informatie gelekt te hebben waardoor hackers & scripts wisten welke domeinnamen & websites net nieuw zijn.

1, 2 ,3 malware

Hackers zijn daar meteen mee aan de slag gegaan en als de installatie niet snel genoeg afgemaakt werd vulden zij of een scriptje een gebruikersnaam en wachtwoord in.

Installeerde ze een bestandsmanager (plugin)

En uploaden ze hun eigen malware.

Goede gewoontes

Het is een goede gewoonte om een installatie direct af te maken, en niet alleen het gedeelte waarbij je een gebruikersnaam en wachtwoord kiest maar ook door een beveiligingsplugin te installeren en te configureren.

Heb je geen tijd of mis je de kennis om je website te beveiligen? Laat dat aan ons over!
Vraag op tijd een pakket aan, dan zorgen wij dat we klaar staan en je nieuwe website direct beveiligen.
Laat je WordPress website beveiligen.

Bron: Security.nl

Featured image for Wordfence installeren in WordPress in category BEVEILIGEN

Wordfence installeren in WordPress

/0 Reacties/in ,

WordFence kun je op 3 manieren installeren.

  1. Via de plugin installer in je admin. Je haalt Wordfence hiermee op van de betrouwbare WordPress.org plugin database.
    Ga in je admin naar “plugins > nieuwe plugin” en typ “Wordfence” in het zoekveld.
    let op dat je NIET de assistant installeert maar de plugin “Wordfence – Firewall & Malware scan“.
    Klik op “Nu installeren” en nadat de plugin geinstalleerd is klik je op “Nu activeren”.
    wordfence installeren
  2. Mocht de installatie via de bovenstaande “punt 1” niet werken kun je Wordfence handmatig downloaden op WordPress.org en uploaden in je admin.
    wordfenceGa in je admin naar “plugins > nieuwe plugin” en klik daar op “Uploaden” waarbij je het gedownloade zip bestand van de computer/mac aanwijst.
    Klik vervolgens op “upload/install” en daarna op “activeren”.
  3. Als punt 1 & 2 beide niet werken kun je de plugin downloaden zoals in punt 2 genoemd is en handmatig uploaden naar de server.
    Hiervoor heb je servertoegang nodig en een FTP programma. Gebruik hiervoor bijvoorbeeld Filezilla.
    Upload de Wordfence plugin (Uitgepakt met winrar of winzip) naar de wpcontent/plugins map.
    Eenmaal ge-upload ga je in je admin naar “plugins” en klik je bij de Wordfence plugin op “activeren”.
Verzeker je er altijd van dat je Wordfence installeert van WordPress.org en NIET van een andere partij. Voer GEEN zoekopdracht in Google in om Wordfence te downloaden aangezien betaalde advertenties met malafide programma’s bovenaan de zoekresultaten kunnen verschijnen!
Featured image for Wie heeft Wordfence gemaakt? in category BEVEILIGEN

Wie heeft Wordfence gemaakt?

/0 Reacties/in , ,

De kracht van Wordfence ligt natuurlijk bij de personen die het ontwikkeld hebben. Dat is het team Defiant.

teeam defiant

Defiant is het bedrijf achter Wordfence, het team bestaat op moment van schrijven uit 35 ontwikkelaars met allen zo’n 5-20 jaar ervaring met websites, programmering, communicatie.

Team defiant heeft diverse analisten (Ram Gall, Giles Wright, marco Wotschka, Gregory Bloom, Matt Sinagra, Charles Sweethill) die de online dreigingen monitoren en in kaart brengen.

Tevens hebben ze specialisten die malware van websites halen. Veel wordt natuurlijk gedaan door een goede routine, de juiste en op maat gemaakte software maar doordat hackers steeds nieuwe trucs bedenken blijft het nodig om handmatig werkzaamheden uit te voeren en controles te doen.

 

Featured image for Wat is Wordfence? in category BEVEILIGEN

Wat is Wordfence?

/0 Reacties/in , , , ,

Wordfence is een plug-in die WordPress websites beschermt tegen malware & hackers. Wordfence heeft een pro-actieve werking middels een firewall en heeft een bestandsscanner waarmee je WordPress kunt controleren op hacks, backdoors en bijvoorbeeld een virus. Wat doet Wordfence? Wordfence maakt gebruik van een firewall om aanvallen op je website tegen te houden Wordfence heeft […]

Lees meer
Featured image for Een hack in de uploads mappen van WordPress vinden in category ANTIVIRUS

Een hack in de uploads mappen van WordPress vinden

/0 Reacties/in , , , ,

De kans is groot dat je tijdens je zoektocht naar een hack of malware in je website niet eens gedacht hebt aan de uploads mappen.
Maar wist je dat dit 1 van de meestgebruikte plekken is voor hacks?

De uploads mappen zijn beschrijfbaar

De uploads mappen zijn namelijk beschrijfbaar, en het is een goede verstopplek.
Zowel plugins als het thema en WordPress hebben rechten om daar bestanden te plaatsen.

Een hack vinden in de uploads map van 2015

Hoe snel kun je een hack vinden die in de map 2015 / 07 zit?!Je verwacht het niet, daar zitten namelijk de uploads die je in 2015 hebt ge-upload..? toch?!

Reset van de uploaddatum

De truc die ze gebruiken is het re-setten van de uploaddatum.
Scripts kunnen die datum manipuleren zodat jij denkt dat ze er al jaren staan..
Dat betekent dat ze de hack, de backdoor deze week of maand uploaden  maar een schrijfdatum manipuleren zodat je hem niet zo snel zult ontdekken.

Ze doen op die manier net alsof het bestand er al jaren stond!

Oke, oke waardeloos al die trucs van hackers en hun scripts, maar met deze kennis in gedachten rest de vraag:

Hoe kan ik een hack, malware of backdoor vinden in de uploads mappen?

Zoeken op php
Een hackbestand vervult meestal een functie. En dat kan alleen als het een phpbestand is.
Een htmlbestand of txt bestand kan namelijk alleen informatie bieden, gelezen worden maar is geen uitvoerend bestand op de server.

Je neemt dus een ftp programma zoals Filezilla en je drukt op F3, je ziet dan het zoekvenster en zorgt ervoor dat je in de uploads mappen zoekt naar een bestand met de naam of extentie PHP.

Is een php bestand alles waar je op moet letten?
Nee, helaas weten de hackers ook dat jij en scanners zoeken naar php bestanden. Tevens zijn beveiligingsplugins ook achter die truc en beperken die de uitvoer van php in de uploads mappen.
Wat ze dus doen is een bestand uploaden met de naam server-att.php.jpeg (voorbeeld)

Wat denkt de scanner dan? Dat het een JPEG is, want dat is de laatste extentie-naam.
Ondertussen laadt een ander script dit bestand wel als php in en wordt de hack alsnog uitgevoerd.

Ook ICO’s, JPEGS met een php extentie in de naam vereisen dus aandacht.

Extern scannen

Het kan nodig zijn om de bestanden te scannen op Trojans, op Malware, Backdoors.
De geavanceerde hacks zijn zoals je net kon lezen verstopt.

Download je uploads mappen daarom naar de pc/mac en haal die eens door je virusscanner.
Je kunt de bestanden ook uploaden naar virustotal.com
Die haalt de bestanden door een grote database van antivirus software waarmee je meer kans hebt dat een hackbestand ontdekt wordt.

Let op: de website virustotal accepteerd geen gigabytes aan informatie, die zul je dus even moeten inpakken en/of delen om ze te kunnen scannen.

Een hack gevonden in de uploads map, wat nu?

Eenmaal ontdekt, gewoon verwijderen. En dan checken of de rest van je website niet geïnfecteerd is. Want zo’n hackbestand vervult meestal een functie en staat niet op zichzelf..

Ja maar, geen tijd, ingewikkeld

Heb je het te druk, is het te ingewikkeld? Dat begrijp ik heel goed. Het is een vak apart.
Je kunt dit werk ook aan ons overlaten.

Wij verwijderen hacks, wij beveiligen WordPress websites en zorgen er zo voor dat JIJ geen zorgen hebt.

Neem onze dienst af of neem contact op voor vragen!