Featured image for Een verouderde php op de server, is dat echt onveilig? in category BEVEILIGEN

Een verouderde php op de server, is dat echt onveilig?

/9 Reacties/in , , , , ,

Ter info: Op moment van schrijven is de PHP 7.3 engine de nieuwste PHP versie. We spreken in dit artikel niet over de code op zich, maar spreken specifiek over de engine die de PHP uitvoert.

Diverse beveiligingsdiensten, online scanners en zelfs WordPress springen direct in op de komst van de nieuwste php release door de PHP 7.2 engine en vorige releases van de PHP engine onveilig te noemen. Maar, is dat ook zo?

waarschuwingsbord
Met rode letters en iconen maken diverse diensten je erop attent dat je een verouderde en mogelijk onveilige versie van PHP gebruikt.

 

Ook WordPress doet zijn deel door PHP 5.6 niet meer te ondersteunen en waarschuwingen in je dashboard te tonen.

De sitediagnose van WordPress geeft een kritische noot bij het achterlopen op PHP. Niet alleen als het gaat om een verschil van versie maar ook bij tussenliggende update’s.


Hoe serieus moeten we een verouderde PHP nemen? Wat verouderd er aan PHP?

De ondersteuning, ontwikkeling en het beveiligen van lekken is bij PHP 5.6 en 7.0 eind 2018 gestopt.

Het ontbreken van ondersteuning en het oplossen van lekken bij de oudere PHP versies is dus een serieus probleem als het gaat om de veiligheid van je website en zelfs de webserver.

Wanneer hackers een lek ontdekt hebben kunnen ze die keer-op-keer blijven gebruiken!

Hackers en met name geautomatiseerde scripts besmetten, bewerken of voorzien website na website van virussen. Het is een kwestie van tijd tot ze jouw site tegenkomen op Google en uittesten en besmetten als je website draait op de verouderde PHP engine.

Oke, verouderde PHP versies zijn dus onveilig?

Zijn er dan al problemen, hacks of lekken bekend voor de oudere PHP versies?

Tijdens onze research leek het erop dat er maar weinig lekken bekend zijn.

We zijn bekend met het feit dat een lek uitgebuit wordt door hackers en hoogstens onderling gedeeld wordt dus veel lekken zullen niet publiekelijk bekend zijn..

Maar we vonden een website die zwakheden, lekken en problemen van PHP versies registreert.
Dat zijn er niet 2 of 20…

Deze website toont een GROOT AANTAL zwakheden, problemen en lekken – op moment van schrijven zijn er 600+ geregisteerd en dat aantal zal alleen maar groeien door het gebrek aan ondersteuning voor de oude PHP versies!

Het updaten naar de nieuwste PHP versie is geen luxe maar een belangrijke sleutel om je website en de server veilig te houden.

Extra informatie

De rol van je webhoster bij de update naar de nieuwste PHP release

Je webhost is verantwoordelijk voor de huidige PHP, echter is niet elke hoster even vlot met het updaten van de server naar de nieuwere PHP versies. Kortom, soms zul je erom moeten vragen.
Let wel op: wanneer je een unmanaged server hebt.. ben jij of je serverbeheerder verantwoordelijk voor het update van de php engine.

Jouw rol bij het updaten naar de nieuwste PHP release

Als je website verouderde plugins, of thema’s bevat loop je het risico dat de website niet meer werkt na de PHP update.
Hoe vaak komt dat voor? Onze ervaring is dat 1-3 op de 100 sites niet meer werkt na een PHP update. (wij of onze klanten ervaren die problemen overigens niet, want die zijn behoorlijk up-to-date)

Wat te doen als je WordPress website niet meer werkt na de update van PHP

De oplossing om je website weer werkend te maken is simpel als je gewend bent om met ftp software te werken. Je moet je WordPress en plugins namelijk handmatig updaten. Nieuwe updates zijn vaak wel klaar voor de nieuwere PHP versies.

Waarom handmatig via de ftp software?
Omdat je website niet meer werkt, kun je dat niet via het admin doen 😉

Wat je dus moet doen is WordPress of je plugins handmatig vervangen via de FTP/direct op de server. (Maak eerst een backup)
Ps: hernoem de oude plugin, zet er een – voor en upload dan de nieuwe plugin. Bij een WordPress core, zet die even in een andere map en upload de nieuwste WordPress release.

Featured image for WordPress gebruiken met de oude editor - Gutenberg uitzetten in category BEVEILIGEN

WordPress gebruiken met de oude editor – Gutenberg uitzetten

/4 Reacties/in , ,

De Gutenberg editor is nu alweer een tijdje in gebruik, de nieuwe manier van schrijven heeft diverse voordelen maar niet iedereen vindt de Gutenberg editor prettig.

Voor sommigen is de Gutenberg editor een reden om WordPress niet te updaten naar 5.0+
Je kunt namelijk NIET kiezen tussen de oude en de nieuwe editor, dat is omdat de makers van WordPress willen stimuleren dat iedereen gebruik blijft maken van de nieuwe manier van werken met de Gutenberg editor.

Op zich begrijpelijk, ze willen eenheid in de WordPress community en een standaard waardoor WordPress voor iedereen werkbaar is.

Helaas ontkom je niet aan het updaten naar WordPress 5.0+ omdat er diverse lekken in de oude WordPress releases zitten.

Maar mijn fijne vertrouwde oude editor dan?!

Gelukkig zijn er diverse plugins waarmee je de oude teksteditor van WordPress kunt terughalen.
Je zult niet de enige zijn die Gutenberg inruilt voor de oude bekende teksteditor van WordPress, op moment van schrijven zijn er 5 tot 8 miljoen websites die gebruik maken van de Classic editor, een van de plugins die Gutenberg eruit haalt en de oude editor terug plaatst.

3 plugins om de oude tekst editor mee terug te krijgen

Gutenberg omruilen voor de classic editor

“Klassieke editor” is een van de bekendste, hij doet exact wat het moet doen: Gutenberg wegtoveren en de oude editor tonen.

Download de classic editor

Wisselen tussen de classic editor en Gutenberg

De Klassieke editor is leuk, maar stel je wilt toch af en toe een pagina of bericht schrijven met de Gutenberg editor, dan kun je deze onderstaande plugin installeren. Bij de instellingen > lezen kun je de werking van de plugin aan/uit zetten.

gutenberg uitzetten

Download de plugin hier

De Gutenberg editor soms-wel-soms-niet gebruiken

Maar wat als je veel berichten hebt geschreven met een andere editor, denk aan de Visual Composer. Dan wil je die berichten kunnen blijven bewerken, en dan wil je de classic editor voor die oude berichten niet forceren. Je bent dan namelijk je hele layout kwijt.

Daarvoor heeft deze plugin ook mogelijkheden om de klassieke editor soms-wel-soms-niet te gebruiken. Op basis van gebruiker, op basis van post ID’s, etc!

De functie om Gutenberg specifiek wel-of-niet aan te zetten kun je vinden bij Instellingen > Disable Gutenberg waar je de Complete Disable uitvinkt zodat je kunt kiezen.

gutenberg specifiek

Download de plugin hier

 

 

Featured image for Plugins, "het snoepgoed" van WordPress in category BEVEILIGEN

Plugins, “het snoepgoed” van WordPress

/9 Reacties/in , , , ,

54 DUIZEND gratis plugins!

WordPress.org biedt 54.826 plugins aan op dit moment.

Plugins waarmee je jouw blog of bedrijfswebsite naar een hoog niveau kunt tillen.

Maar, het is net als snoep: je moet er niet te veel van nemen, anders gaat het tegen je werken. Ook al is dat lastig, want het is zooo verleidelijk om ze allemaal te proberen.

En nu zou je zeggen, dat hebben we vaker gelezen. We weten het nu wel, niet te veel plugins, veiligheid, snelheid van de website bla bla bla..

Wij beheren veel websites,  al 10+ jaar.. we kunnen je vertellen: er wordt een potje van gemaakt!

Professionele webbureau’s

Professionele webbureau’s gooien nog steeds te veel plugins in de website. En niet alleen te veel, maar ook plugins die niet met elkaar samenwerken.

Voorbeeld: Je kunt 1 seo plugin inzetten, maar kunt kiezen uit tientallen op WordPress.org

Je hebt een plugin om Google te sturen, je hebt een plugin om xml sitemaps mee te maken, je hebt een plugin om data gestructureerd weer te geven voor Google.. etc
Nadeel: ze doen allemaal een beetje van alles. Ze overlappen elkaar ook in functies. Ze werken NIET samen! Dat merk je vanzelf als je onverwachtse resultaten krijgt of problemen met indexering in Google.

Installeren van plugins kan iedereen, maar goed instellen is een studie op zich.

De overbeladen website sneller maken met nog meer plugins?!

trage website door cachingOok zo’n mooie. We zien wekelijks websites die snel moeten zijn, en dus voorzien zijn van meerdere caching plugins.

1 voor  de speedtest, 1 voor Google, 1 voor het lazy loaden van afbeeldingen, 1 voor het cachen van Html & Css en natuurlijk 1 die de query’s samenvoegt waardoor je website nog sneller wordt! En om het allemaal weer in balans te brengen een super caching om statische pagina’s te leveren..

Dat kun je vergelijken met het nemen van Energy drink voor de energie, een paracetamol tegen de hoofdpijn van de energy drink om daarna met een maagbeschermer en een anti-misslijkheidspil aan de slag te gaan.
Gekkenhuis, niet doen!

NATUURLIJK kun je 1 plugin voor de snelheid gebruiken en 1 plugin voor de seo, maar doe wel eerst je research. Kijk welke functies ze hebben, hoe ze werken en of je ze naar wens in kunt stellen.

Nog een valstrik, premium plugins

Premium plugins zijn professioneel, dus dat is in orde!

plugins met te veel functiesFOUT! Ook als je plugins koopt van 199 dollar heeft daar een team aan zitten werken dat de plugin tot een vliegtuigcockpit ombouwt.

Want de klant wil alles kunen doen! Alles kunnen beheren zonder ook maar 1 letter code te schrijven, alles moet klik and play zijn.
Heel leuk maar de impact die dat op de website heeft, dat wil je niet weten. Complete teams schrijven maanden aan code met een groot aantal functies en aanpassingsmogelijkheden waar jQuery databases voor uitgeladen worden, inline code in de html wordt gesmeten.. alles voor de verkoop van die dure plugin en voor de wensen van de klant.

Wees dus ook erg voorzichtig met premium plugins.

Houdt het bij 5-15 plugins max!

Eis van je webbouwer dat hij niet elke functie met plugins inzet.
We weten het, t’ scheelt hem werk en tijd, de kosten blijven laag maar op de lange termijn brengt het vrijwel altijd problemen met updaten en de werking van de website.

Gooi als website-eigenaar ook niet zomaar plugins in je website.

Maar ook jij als eigenaar van je website, smijt niet zomaar plugins in je website 😉
Ik weet het, je loopt tegen een probleem aan en ziet dat dit met 1-2 muisklikken opgelost is. Maar je helpt mogelijk de structuur van je website om zeep met de plugins die je inzet.

Leuk verhaal WPbeveiligen!

Van de snoepwinkel naar een verhaal over wat je allemaal NIET moet doen. Daar worden we lekker vrolijk van!

Nu je weet wat je niet moet doen, helpen we je op weg om het wel zo goed mogelijk te doen.

Plugins, wat wel te doen:

  1. Zoek uit welke plugin het beste werkt door middel van wat research.Voorbeeld: je wilt een cachingplugin inzetten?
    Zoek dan: best 5 caching plugin for wordpress in Google of duckduck 😉
    Maaaaar, let op de 1e en 2e zijn vaak reclame. Zowel in Google als op de website in het artikel zelf. Dan krijgen ze commissie als je de plugin koopt. Dus kijk gerust naar een gratis versie en neem niet de “allerbeste” waar je alleen met een betaling of abonnement aan kunt komen. Een gratis plugin is geregeld net zo goed als een betaalde.
  2. Bekijk de reviews
    Plugins hebben een “star rating”, kijk naar het aantal personen wat de waardering heeft gegeven en dan naar het aantal sterren dat de plugin verdiend heeft.
    Kijk of de plugin nog recent geupdate is, en dus bijgehouden wordt door de ontwikkelaar.

Nu nog een lijstje met gratis plugins die zich de afgelopen jaren bewezen hebben:

  • Autoptimize – Voor de snelheid van je website.
  • WooCommerce – Van WordPress zelf, voor een webshop
  • Yoast SEO – De beste plugin voor het optimaliseren voor Google
  • iThemes Security – Beveiliging is onmisbaar!
  • Count per day – Ontdek hoeveel bezoekers je website krijgt
  • UpdraftPlus – Voor de backups, je hoster bewaard beperkt

Allemaal te vinden in de geweldige plugin-bibliotheek van WordPress.org

Heb jij nog top-plugins? Of vragen? Laat het weten in de reacties!

Maar onthoud, niet te veel plugins tegelijk he!

Featured image for Wat valt binnen de service? in category UPDATEN

Wat valt binnen de service?

/0 Reacties/in

Enkele voorbeelden:

  • Het corrigeren van wijzigingen die ontstaan zijn door updates
  • Het corrigeren van wijzigingen die ontstaan zijn door de beveiliging (komt weinig voor)
  • Het updaten van WordPress, plugins binnen een abonnement
Featured image for Zijn premium / pro plugins veiliger dan de gratis versie? in category HACKERS

Zijn premium / pro plugins veiliger dan de gratis versie?

/8 Reacties/in , , , ,

Het hoort niet uit te maken of je een premium of gratis versie van een plugin gebruikt. Ook de gratis versie moet veilig zijn! Dat is de verantwoordelijkheid die de pluginbouwer heeft.

Dat is hoe wij erover denken.

Maar…

Helaas zijn wij diverse voorbeelden tegengekomen in die uitwijzen dat een premium / pro plugin eerder ge-update wordt bij een lek dan de gratis variant.

Bij diverse plugins worden de lekken maandenlang niet opgelost in de gratis versie!!

Enkele voorbeelden waarbij de premium / pro versie veiliger is dan de gratis versie:

WordFence Security

WordFence is een plugin die je WordPress website beveiligt. En ja, de gratis versie is ook behoorlijk veilig en up-to-date.
Maar..

ze updaten de gratis versie eens per maand

Zoals ze het zelf zeggen “every thirty days“.

De premium / pro versie waar je voor betaald krijgt live updates. Dus direct wanneer het nodig is. Zowel de bestanden als de firewall die hacks tegenhouden wordt live up-to-date gehouden.

iThemes Security

Ook een plugin waarmee je WordPress beveiligt. iThemes Security geeft de betaalde versie veel meer aandacht dan de gratis variant. Een beveiligingsupdate wordt vrij vlot doorgevoerd in de premium versie maar..

soms blijft een exploit weken tot maanden hangen in de gratis versie

Diverse andere plugins

Er zijn veel voorbeelden van plugins waar lekken ontstaan die de pluginbouwers gemeld krijgen.
De patch (fix tegen de hack) wordt dan na 5-10 dagen doorgevoerd in de premium / pro versie maar de gratis versie blijft achter.

Soms blijft een lek maanden in de plugin zitten nadat een lek bekend is waarbij die zelfs uit de WordPress plugins database verdwijnt

Het goede nieuws

Wanneer gratis plugins op WordPress.org staan worden ze verwijderd totdat het lek gemaakt is.
Er zijn diverse partijen die de lekken melden bij WordPress en er is een zero tolerantie beleid wat betreft lekke plugins.

Een lek / exploit, wat moet ik me daarbij voorstellen?

Enkele voorbeelden van recente lekken in plugins:

  1. De administrator lek
    Het komt geregeld voor dat een lek in een plugin toestaat dat er een administrator account aangemaakt wordt.
    Als een hacker of script toegang heeft met administrator-rechten, kan die alles doen wat hij wil.
    Meestal wordt er reclame in je website gezet, of een script ge-upload waarmee reclame via je website verzonden kan worden naar duizenden adressen..
    En daarna worden de overige administratoren verwijderd. Kortom, je komt niet meer in je website om de hack ongedaan te maken.
    Het spreekt voor zich dat dit lek bij bekend raken zo snel mogelijk opgelost moet worden en niet weken tot maanden in een website moet zitten.
  2. De database injectie
    Plugins hebben vaak invoervelden op de front-end (Voorkant) van je website. Denk aan review plugins, contact formulieren e.d.
    Als die velden niet goed beveiligd zijn, kan een hacker of script die simpelweg misbruiken om data in je database te zetten.
    Binnen 1 seconden kan zo’n script dan administratoren aanmaken in de database, tekstwijzigingen doorvoeren in je gehele website met alle gevolgen van dien.
  3. De nieuwsbrief hack
    Heb je een nieuwsbrief formulier? Waar bezoekers zich in kunnen schrijven? In het verleden zijn er lekken in zulke plugins gevonden waardoor de hacker zijn e-mailadres kon toevoegen als aanmeldadres. Dat betekent dat iedere aanmelding van een bezoeker ook bij hem bekend werd. Je vraagt je af wat een hacker daarmee moet, maar grote aantallen e-mailadressen met namen zijn geld waard. Daar wordt reclame naar gestuurd. Er zijn personen die lijsten met e-mailadressen en voor+achternamen opkopen.
    Ook weer een lek waarvan je niet wilt dat die misbruikt wordt. Je hebt het niet snel door maar je gebruikers hebben er veel last van aangezien die de spam binnenkrijgen.
  4. Het WooCommerce lek
    Plugins die je webshop verbeteren hebben vaak toegang tot de database. In je database staan alle accounts van je klanten. Er zijn diverse lekken voorgekomen in het verleden waarbij plugins hackers toegang gaven tot de database en alle klant-informatie.
    Het behoeft geen uitleg dat zo’n hack direct of z.s.m gefixt moet worden wanneer die eenmaal bekend wordt!

Wie test mijn website op lekken?

Je verwacht natuurlijk dat jouw webshop niet vaak getest wordt. En dat een lek daardoor niet zo snel misbruikt kan worden.

Helaas werkt dit niet zoals je denkt.

Wanneer een lek bekend wordt, schrijven hackers scripts die als volgt werken:
1. Het script zoekt op Google naar webshops (Daar sta jij ook tussen)
2. Het script doet aanvragen op de websites naar de bekende lekke plugins
3. Wanneer de lekke plugins gevonden wordt, gebruik het script dat bekende lek om een hack uit te voeren

Veilig met een beveiligingsplugin, toch?

Zelfs wanneer je website beveiligd is, kan zo’n lek nog misbruikt worden. Beveiliging staat namelijk de (uit)werking van plugins toe, anders zou je website niet kunnen functioneren! De plugins up-to-date houden zodat er geen lekken in zitten is daarom erg belangrijk.

Conclusie

Nu je weet dat de bouwers van plugins de premium / pro versie eerder veilig maken.. kun je overwegen om een premium te kopen. Zeker als je afhankelijk bent van je website voor inkomsten, of als je een webshop hebt met veel klanten.

Premium is nog altijd geen garantie voor 100% veiligheid, maar uit de voorbeelden is gebleken dat het wel een verschil maakt.

 

Featured image for PHP update vereist, wat nu? in category BEVEILIGEN

PHP update vereist, wat nu?

/4 Reacties/in , ,

Zit je lekker met je bakkie koffie of thee achter de computer om je website van een nieuw stukje tekst te voorzien, staat er ineens een bericht in je admin dat je de php moet updaten.

Erger nog, je ziet een waarschuwing: WordPress heeft gedetecteerd dat je site een onveilige versie van PHP gebruikt…

Hoe moet ik PHP dan updaten?
Welke PHP versie heb ik nu?
Kan ik deze melding negeren?

Lees verder en kom het te weten!

Hoe moet ik PHP dan updaten?

Het is aan je webhoster om php bij te werken naar een nieuwe versie.
Kortom, stuur je hoster een bericht met de vraag of je website op php 7+ gezet kan worden. (Let op: de vereisten zullen hoger worden in de toekomst)

Welke PHP heb ik nu dan?

De PHP versie die nu gebruikt wordt, kun je zien door de plugin Display PHP Version te installeren. Dat kan gemakkelijk via de plugin management van WordPress.
Na installatie en activatie verschijnt er een stukje tekst (Zie omlijnde onderstaande afbeelding) in je dashboard met de php versie.

de php versie

Een hogere PHP versie gebruiken, kan dat zomaar met mijn website?

Het is belangrijk dat je plugins, thema en WordPress up-to-date is. Dan heb je de grootste kans dat je website er klaar voor is.
Maak daarom een backup van je website voordat je aan de slag gaat met updaten als je dat al een tijdje niet gedaan hebt.

PHP wordt dus door mijn hoster geregeld, is mijn hoster nalatig?

Nee, het is geen nalatigheid als je hoster de php nog niet op de nieuwste versie heeft gezet. Bij het aanpassen naar een nieuwe php, lopen websites namelijk wel eens in de soep omdat ze niet goed bijgehouden worden door jou of je webbeheerder.

Ik heb er geen tijd voor, de update komt wel een keer

WordPress wordt steeds strenger. Om te garanderen dat websites veilig zijn voor de gebruikers en bezoekers.
Nu geven ze een waarschuwing op het dashboard, maar binnenkort worden de minimumvereisten voor php ook doorgevoerd in plugins.
Dat betekent dat plugins of thema’s niet eens geïnstalleerd kunnen worden als je website nog op een oude php draait.

Oké eerst moest mijn website ineens https hebben, nu dit weer!

Https, php, beveiliging.. dat was voorheen allemaal niet nodig

De tijden dat je een website maakte of liet maken waar 5 jaar niet naar om hoefde te kijken is voorbij. (was een mooie tijd 🙂

allemaal onlineHet internet heeft zoveel kracht en invloed gekregen omdat iedereen er dagelijks gebruik van maakt dat de tijden veranderd zijn.

We shoppen online tegenwoordig, we leren online, we gebruiken het internet als handleiding voor veel dingen in ons leven.

Veel apparaten kunnen niet eens meer functioneren zonder internet!

Het is enorm belangrijk dat hackers daar niet tussen kunnen komen. Dat je smartphone, tablet of computer niet gekaapt wordt door een hacker of besmet wordt met een virus.

Ik heb geen tijd en zin om te updaten en om WordPress bij te houden!

Laat het aan ons over. Wij zijn fulltime actief met het bijhouden van WordPress websites. Wij zorgen ervoor dat je website up-to-date is, dat je backups hebt als er iets gebeurt en dat de hoster zonder problemen naar de nieuwste php kan upgraden.

Klik hier om je WordPress website door ons te laten beveiligen en onderhouden.

Featured image for Gutenberg, de nieuwe standaard tekstbewerker in WordPress in category BEVEILIGEN

Gutenberg, de nieuwe standaard tekstbewerker in WordPress

/5 Reacties/in , ,

Gutenberg, de nieuwe standaard tekstbewerker in WordPress Het goede  nieuws Voor iedereen die houdt van eenvoudig, gewoon 1 blok tekst zonder toeters en bellen heeft WordPress alsnog de reeds bekende editor. Het is nu simpelweg 1 blok geworden. De verleiding & vooruitgang Je zult zien dat je na het schrijven al snel op het plusje […]

Lees meer
Featured image for WordPress onderhouden doe je zo! in category BEVEILIGEN

WordPress onderhouden doe je zo!

/8 Reacties/in , , ,

WordPress onderhouden? Is dat nodig?

Het is toch geen brommer!

Het roest niet, sinds wanneer moet je digitale data onderhouden?

Wij zullen je in het onderstaande artikel uitleggen waarom je de WordPress website moet onderhouden èn we loodsen je in 5 stappen door het updaten van je website heen.

Updaten is 80% van het onderhoud dat WordPress websites nodig heeft.

WordPress onderhouden tegen cybercrime

WordPress en met name de plugins worden continu door hackers getest op lekken. En met succes 🙁

Hackers kunnen al enkele jaren leven van de inkomsten die komen uit de reclame & producten die ze promoten via gehackte websites.
wordpress onderhouden tegen hackers
De reclame is een miljoenenindustrie, kijk maar naar de reclames op YouTube, de televisie, kranten.. ze staan er vol mee!

En de cybercrime zoals ze dat hip noemen is nog steeds groeiende!
Hoe dat komt? Dat komt omdat het internet overal bereik heeft, van kantoor tot op de bank met de smartphone.
Jong en oud is zo te bereiken, en voornamelijk online te vinden.

Notitie: het gaat hier om ge-automatiseerde hacks. Deze worden 1 keer geprogrammeerd en dan duizenden keren per dag uitgevoerd door een computer.

1) WordPress onderhouden: de backup

Maak als eerste een backup van je volledige website.

Je kunt dit simpel doen met UpdraftPlus, met een klik op de muis heb je een backup! De gratis versie is goed te gebruiken, en premium biedt nog meer luxe.
backups maken voor wordpress

2) WordPress onderhouden: WordPress updaten

Begin als eerst met het updaten van WordPress zelf.

Dat kan meestal in WordPress zelf, maar mocht het niet lukken door schrijfrechten of andere error’s kun je WordPress handmatig vervangen op de server met een FTP programma zoals Filezilla.

3) WordPress onderhouden: Plugins bijwerken

Update de plugins, en controleer of je website nog werkt.
wordpress plugins onderhouden
Als je extra voorzichtig wilt zijn, update je plugins 1-voor-1. Dit kan wat langer duren zijn maar voorkomt veel moeite als er problemen ontstaan met een nieuwe update van een plugin.

Wist je dat wij de updates maandeliiks voor je kunnen doen?! Dat scheelt je helemaal veel moeite. Tevens updaten wij nog vaker wanneer er lekken in plugins bekend worden.

4) WordPress onderhouden – Het thema bijwerken

Het thema bijwerken, dat ontregelt wel eens de opmaak van je website.

PRO TIP: kijk eerst in de release log van het thema, het komt vaak voor dat er alleen updates verschijnen van het thema met visuele aanpassingen. Die hoef je natuurlijk niet elke keer door te voeren.

Update je thema alleen als er veiligheidsupdates zijn.

Voor meer informatie kun je ook het artikel WordPress updaten, de ultieme gids raadplegen.

5) WordPress onderhouden: Geef hackers geen kans

Niet alle plugins en thema’s worden voldoende bijgewerkt door programmeurs.
Dat zorgt ervoor dat hackers de plugins kunnen gebruiken om je website te voorzien van ongewenste reclame en andere virussen.

Gratis plugins worden soms niet ge-update doordat de programmeur het te druk heeft met zijn werk.
Premium plugins worden niet altijd op tijd ge-update omdat de programmeurs niet altijd op de hoogte zijn van het lek in de plugin.

Wat je kunt doen tegen hacks

Lekken in plugins en thema’s komen nu eenmaal voor. Het is belangrijk om de hackers zo min mogelijk ruimte te geven.

Dit doe je met een goede beveiligingsplugin voor WordPress.

De beveiligingsplugin doet het volgende:

  1. De schrijfrechten beperken in gevoelige mappen en bestanden
  2. Injecties via lekke plugins filteren
  3. Meldingen sturen wanneer je website onverwachts veranderd is
  4. En meer!

Een beveiligingsplugin is geen luxe, het is noodzaak om je website te beschermen tegen hackers en hack-bots.

WordPress onderhouden: De gemakkelijke manier

Wij werken 7 dagen per week met WordPress. Wij hebben de expertise, passie en de kennis om hackers tegen te houden en WordPress websites veilig te houden.

Voor een klein maandelijks bedrag onderhouden, updaten en beveiligen wij je WordPress website.

Gemak en veiligheid voor alles!

Featured image for 9 beveiligingsproblemen verholpen in WordPress 4.8.2 in category BEVEILIGEN

9 beveiligingsproblemen verholpen in WordPress 4.8.2

/0 Reacties/in , ,

WordPress 4.8.2 lost 9 beveiligingslekken op.

Enkele nieuwe features in WordPress hebben ook weer wat mogelijkheden voor hackers gebracht. Daar kwamen verschillende “white hat hackers” achter die het netjes aan WordPress gemeld hebben.

WordPress heeft die problemen direct opgelost in deze nieuwe 4.8.2 update. Het team achter WordPress heeft ook potentiële toekomstige problemen die door plugins konden ontstaan aangepakt.

Veiligheid voor alles!

Updaten dus 😉

Onderstaand zie je de 9 lekken die opgelost zijn. Het gaat hier om potentiële mogelijkheden voor hackers om injecties te doen op de database, om de paden van de server te benaderen en er zitten updates bij om WordPress te beschermen tegen plugins met onveilige codering.

5 van de 9 problemen zijn XSS lekken. Weet je niet wat een XSS is? Lees dan meer over XSS.

  1. $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability. Reported by Slavco.
  2. A cross-site scripting (XSS) vulnerability was discovered in the oEmbed discovery. Reported by xknown of the WordPress Security Team.
  3. A cross-site scripting (XSS) vulnerability was discovered in the visual editor. Reported by Rodolfo Assis (@brutelogic) of Sucuri Security.
  4. A path traversal vulnerability was discovered in the file unzipping code. Reported by Alex Chapman (noxrnet).
  5. A cross-site scripting (XSS) vulnerability was discovered in the plugin editor. Reported by (Chen Ruiqi).
  6. An open redirect was discovered on the user and term edit screens. Reported by Yasin Soliman (ysx).
  7. A path traversal vulnerability was discovered in the customizer. Reported by Weston Ruter of the WordPress Security Team.
  8. A cross-site scripting (XSS) vulnerability was discovered in template names. Reported by Luka (sikic).
  9. A cross-site scripting (XSS) vulnerability was discovered in the link modal. Reported by Anas Roubi (qasuar).

En voor de klanten met een beveiligings abonnement bij ons, wij maken zoals altijd een backup en updaten je website naar de nieuwste en weer veilige WordPress 4.8.2

Featured image for WordPress plugins, het thema en de beveiliging onderhouden in category BEVEILIGEN

WordPress plugins, het thema en de beveiliging onderhouden

/2 Reacties/in , , , , , ,

WordPress is een gratis Open Source software wat je moet onderhouden om te zorgen dat hackers geen kans krijgen. Denk hier niet aan hackers die zich persoonlijk op je website richten maar aan de geautomatiseerde scripts die met Google speuren naar verouderde plugins en thema’s met lekken.

In dit artikel leggen we uit welke onderdelen van WordPress onderhouden moeten worden en hoe je dat onderhouden geregeld kunt doen zonder het risico te lopen dat je meer problemen veroorzaakt dan dat je voorkomt.

WordPress plugins onderhouden

Zorg ervoor dat je zo min mogelijk plugins gebruikt en verwijder plugins die je niet gebruikt, ook al staan ze ge-deactiveerd!

inactieve-plugin

Niet alle plugin updates zijn direct nodig

Er komen maandelijks, wekelijks en soms zelfs dagelijks nieuwe updates uit voor plugins.
Maar het betekent niet dat alle updates even belangrijk zijn. Veel plugin updates brengen alleen nieuwe mogelijkheden of bufixes en zijn dus niet van direct belang voor het veilig houden van je WordPress website.

Update de plugins geregeld, denk aan elke 3 maanden. Tenzij je leest dat er een lek gevonden is is bij een specifieke plugin die je gebruikt.

WordPress thema’s onderhouden

wordpress thema

Als eerste moet gezegd worden je alleen het actieve thema op je server moet laten staan. Niet alle thema’s die je ooit een keer geprobeerd hebt 😉 Hackbots checken de server namelijk op thema’s met lekken en gebruiken die als ingang om je website te vullen met Malware.

Zeker de thema’s die standaard bij WordPress meekomen, kun je verwijderen (mits niet in gebruik).
Denk hierbij aan het twentyten, twentyeleven, twentytwelve.. etc

Je kunt de thema’s via de FTP verwijderen maar ook door op de themadetails van het thema te klikken De Themadetails knop verschijnt als je met de muis op de thumbnail gaat staan, daarna zie je rechtsonder een link “verwijderen”.

WordPress “core” onderhouden

Er komen maandelijks, soms zelfs wekelijks updates uit. Niet elke update is relevant voor de veiligheid. Wacht even een dag met updaten aangezien er soms bugs/fouten in de nieuwe releases voorkomen.

Lees hier op WordPress.org wat voor update het is, een beveiligings-update of een upgrade van nieuwe mogelijkheden.

De server onderhouden

Als je een Shared pakket hebt
Dit is het instap-model voor enkele euro’s per maand. Je staat met diverse anderen op 1 server en wanneer die gehackt worden, zal de snelheid van jouw website er ook onder lijden. Tevens kan het gedeelde IP adres op de Blacklist komen wat ervoor zorgt dat je mails niet meer aankomen.

Voordeel is wel dat de hoster de software up-to-date houdt. Je hoeft zelf dus niets te onderhouden.

Als je een Managed VPS hebt
Met een Managed VPS zit je doorgaans goed. De server wordt dan door de hoster ge-update en voorzien van belangrijke veiligheids-patches.

Een un-Managed VPS
Als je een “unmanaged” VPS hebt, betekent dit dat er geen onderhoud aan zal worden gedaan door de webhoster. Je bent zelf verantwoordelijk voor het onderhouden en updaten van php, centos etc.
Kies dit pakket alleen als je verstand van Linux of ISS hebt inclusief shell.

Een goedkope webhoster
Sommige budget-hostingpartijen zijn traag met updaten, en zo kunnen bekendgemaakte lekken op de server gebruikt worden om virussen in je website te zetten. Dat wil je voorkomen aangezien die lastig te vinden zijn en het verwijderen veel werk kan zijn.

De beveiliging onderhouden

De beveiliging van je WordPress website is enorm belangrijk. Cybercrime is 1 van de grootste veroorzakers van problemen met WordPress – het is een wereldwijd probleem dat zelfs grote banken zoals de ING en de Rabobank treft, maar dat terzijde.

De beveiliging van je website start met 1 goede plugin. We leggen de nadruk op 1 plugin aangezien we geregeld zien dat er meerdere plugins tegelijk ingezet worden wat alleen maar zorgt voor problemen.

Als de beveiliging goed ingesteld is kun je de updates van die plugin het beste zo snel mogelijk doorvoeren.

Tevens is het belangrijk de logboeken geregeld na te kijken om te zien of alles nog goed gaat.
Schrik hier niet van alle aanvallen, dat is standaard bij elke WordPress website die op Google te vinden is.

Een goed onderhouden beveiligingsplugin hoort 99% van alle aanvallen tegen te houden.

Tot slot

backupAls je alles goed onderhouden hebt kan er altijd nog iets gebeuren, maak daarom backups!