Featured image for CronJobs beheren in WordPress in category BEVEILIGEN

CronJobs beheren in WordPress

/4 Reacties/in , , ,

Wat een Cronjob is volgens Wikipedia: Een Cronjob of crontab is een Unix commando dat een programma of script op een ingesteld tijdstip uitvoert. Cronjobs worden gebruikt in Unix-achtige systemen als Linux, BSD en Apple Macintosh. Het woord ‘cron’ is afkomstig van het Engelse woord chronograph, dat een soort stopwatch is.

Wat doen CronJobs in WordPress

Door middel van Cronjobs wordt periodiek gecontroleerd of er updates zijn. Tevens gebruiken veel plugins CronJobs om taken uit te voeren zoals het updaten, verwijderen van informatie. Je kunt de Cronjob functie dus niet zomaar uitzetten in WordPress.

Enkele plugins die werken met Cronjobs:

  1. WooCommerce – voor het opslaan en verwijderen van gebruikersdata. De bekeken producten worden opgeslagen of na een bepaalde tijd verwijderd.
  2. UpdraftPlus – Voor het maken van periodieke backups
  3. Yoast SEO –  Voor het ophalen van linksuggesties bij berichten en pagina’s

Kortom, elke website heeft enkele Cronjobs draaien op de achtergrond.

Wil je weten welke Cronjobs actief zijn?

CronJobs bekijken en beheren in WordPress

De WP Crontrol plugin geeft je de mogelijkheid om de werkende Cronjobs in je WordPress website te zien.

Je kunt zien welke Cronjobs actief zijn, en ze bijwerken of verwijderen.
Doe dit na de installatie van de plugin in je Admin » Extra (Tools) » Cron Events

cron events

Cronjobs en hackers

Hackers kunnen Cronjobs inzetten om periodiek bepaalde werkzaamheden uit te voeren.
Daarom is het belangrijk om te zien welke Cronjobs actief zijn!

Denk bijvoorbeeld aan de onderstaande nadelige Cronjobs:

  1. Een Cronjob die een beheerders account registreert.
    Als zo’n cronjob dat ieder uur doet, kun je verwijderen wat je wilt.. maar zo komen hackers toch weer binnen.
  2. Een Cronjob die je logboeken verwijdert.
    Zo kan een hacker zijn gang gaan zonder sporen achter te laten.
  3. Een Cronjob die accounts verwijdert.
    Als je account verwijderd wordt kun je de website niet beheren, en heeft de hacker je website in handen.
  4. Een Cronjob die je wachtwoord opnieuw genereert.
    Ontzettend vervelend als je elke keer een nieuw wachtwoord krijgt, je kunt dan wel een reset doen maar om dat nu elke keer om het uur te moeten doen…
  5. Cronjobs om data door te sturen.
    Als er een taak aangemaakt wordt om elke 5 minuten de informatie van jou en je gebruikers door te sturen.. dan weet een hacker sneller dat je een bestelling of wijziging in je website hebt dan jij zelf!

 

Featured image for Is deze WordPress plugin nog veilig? in category BEVEILIGEN

Is deze WordPress plugin nog veilig?

/4 Reacties/in , , ,

Als je plugins toevoegt zie je wel eens een melding dat de plugin meer dan 2 jaar niet bijgewerkt is.

Betekent dit per definitie dat de plugin onveilig is?

Sommige plugins hebben simpele functies met enkele lijnen code die niet bijgewerkt moeten worden.
Het updaten van een plugin is alleen noodzakelijk wanneer deze lekken bevat die door hackers misbruikt kunnen worden.

Te weten komen of een plugin nog veilig is

wordpress plugin database

1 manier om erachter te komen of een plugin lek is via www.wpvulndb.com
Op het moment van schrijven heeft die website meer dan 8000 lekken geregistreerd in plugins en thema’s.
Gebruik de zoekbalk om je plugin te controleren.

Mocht je een programmeur zijn, kun je ook nog eens een check doen via WPscan.
Dit is een stuk ingewikkelder en vereist wat kennis van diverse software en besturingssystemen.

zoeken in google

Nog een methode om te controleren is door de plugin in te vullen in de zoekmachine van Google.
Google dan op de naam van de plugin + hack, hacked of malware, injection. Doe dit voornamelijk in het Engels aangezien je dan de grootste kans hebt op resultaten.

Wat te doen als een plugin verouderd of lek is?

WordPress heeft op moment van schrijven meer dan 51.000+ plugins.
Er is een grote kans dat je gemakkelijk een alternatieve plugin kunt vinden waarmee je dezelfde rol kunt laten vervullen.

Neem vooral geen risico als de plugin op de lijst van www.wpvulndb.com staat!

Geautomatiseerde scripts testen dagelijks duizenden websites op lekke plugins.
Binnen korte tijd hebben die scripts je website gevonden via Google en injecteren ze reclame of malware in je website.

Featured image for Wat is de nieuwe REST API in WordPress 4.7.2 in category BEVEILIGEN

Wat is de nieuwe REST API in WordPress 4.7.2

/3 Reacties/in , ,

De nieuwe REST API zorgt ervoor dat je berichten en pagina’s kunt lezen, schrijven, updaten en verwijderen vanaf een andere plek dan het reguliere admin.
Dat betekent bijvoorbeeld via een andere website, een applicatie.

Als je er zo over nadenkt lijkt het een leuke nieuwe feature die je niet snel zal gebruiken.
Maar als je even out-of-the-box denkt kun je enorm veel met deze nieuwe API!

Je kunt WordPress vanaf nu gaan gebruiken als basis-server/host voor data. Denk aan een agenda, een nieuws app, en veel meer!

De REST API, niet alleen maar voordelen

De nieuwe mogelijkheden om berichten en pagina’s aan te passen vanaf een andere locatie gaf ook een opening voor hackers.
Sucuri kwam daar al snel achter en meldde het aan Automattic (het bedrijf achter WordPress).

Die onderzocht de informatie waarbij ze concludeerde dat het echt een groot risico met zich mee bracht. Daardoor hebben ze een geforceerde update doorgevoerd met een paar belangrijke veiligheidsfixes.

De REST API gebruiken

De API staat standaard aan, je hoeft niets in te stellen. Het enige wat je moet doen is je website updaten naar WordPress 4.7.2+
Vanaf die release is de REST API actief en ontvangt je WordPress website specifieke commands via de navigatiebalk of via jQuery/Ajax commands.
Je kunt vanaf nu informatie op vragen zonder de pagina te herladen. De informatie zoals berichten- pagina’s- reacties en meer zijn dynamisch op te vragen, aan te passen en wanneer gewenst te verwijderen.

 

 

 

Featured image for WordPress voert geforceerde update door in category BEVEILIGEN

WordPress voert geforceerde update door

/2 Reacties/in , ,

In WordPress 4.7.0 is een nieuwe API toegevoegd die onveilig blijkt te zijn.
De nieuwe REST API die standaard aan staat bij alle WordPress 4.7.0 releases kan worden gebruikt om berichten aan te passen, zonder dat je administrator rechten hebt.

Dit is de droom van iedere hacker! Het aanpassen van berichten zou er met geautomatiseerde injecties voor kunnen zorgen dat miljoenen sites ongewenste tekst, reclame en links gaan tonen.

Zwijgen is goud

De makers van WordPress kregen het lek te horen van een groot beveiligingsbedrijf. Vanaf dat moment hebben de ontwikkelaars achter WordPress overuren gedraaid om het lek te testen en op te lossen.
Om de hackers geen voorsprong te geven hebben ze de wetenschap van het lek stil gehouden en een geforceerde update doorgevoerd. Pas een week na de update van miljoenen sites is het nieuws naar buiten gekomen.

Wat is een geforceerde update?

Deze geforceerde update is anders dan iedere reguliere update. Je kunt er normaal gesproken voor kiezen of je WordPress automatisch wilt updaten of niet.
Deze update naar 4.7.2 is gefoforceerd doorgevoerd, ook bij website waar “automatisch updates” uit staat.

Wie zet automatische updates uit?

Je zou verwachten dat het automatisch updaten alleen maar voordelen heeft. Je hoeft zelf niet op te letten of er een update is en je website loopt nooit achter.

Maar soms.. zijn de plugins die je gebruikt niet up-to-date of worden er zelfs geen updates meer geleverd voor de plugins.

Op zo’n moment kan de nieuwe WordPress release botsen met je plugin waardoor de plugin niet meer werkt of errors op je website gaat tonen.
En als je dat niet doorhebt omdat de update automatisch gedaan is..

Wat doet WPbeveiligen met updates?

Bij websites met 2-5 plugins is het relatief veilig om updates automatisch door te laten voeren, maar als je spreekt over een website met 8-20 plugins.. Dan doen wij de updates liever handmatig, vooral in het geval van de plugins. Tussen het updaten checken wij de website om te zien of alles nog werkt, en wanneer er dan een error optreedt weten we direct waar het door komt!

Featured image for WordPress beveiligen in category BEVEILIGEN

WordPress beveiligen

/4 Reacties/in , , , , ,

Wij gaan je uitleggen hoe je WordPress kunt beveiligen, deze tips zijn door ervaring met honderden websites ontstaan. Het is geen geheim, maar vereist wel wat werk en discipline.

Als eerste – De plugins

Iedere plugin is een mogelijk lek of inhaakpunt voor hackers!
Waarom? Plugins worden gemaakt door programmeurs die misschien lekker kunnen coderen. Maar elke plugin wordt ook door hacker getest en gebruikt als er lekken in zitten. En hier staan de programmeurs niet altijd bij stil. Ze hebben niet altijd de tijd om de plugins te updaten of hebben zelfs niet eens door dat hun website lek is.

Kortom, gebruik maximaal 5 tot 8 plugins!

Dat lijkt gemakkelijk maar als je een webshop hebt die op WooCommerce draait, zit je al snel aan die 5 plugins.

Het thema

Als je een gratis te downloaden thema gebruikt hebben hackers dat vaak al getest op lekken. En wanneer je een betaald premium thema gebruikt wat veel verkocht wordt.. ja dan hebben de hackers er vast ook al naar gekeken.
Update het premium thema dan geregeld want bij die thema’s worden geregeld updates gelanceerd om die problemen tegen te gaan.
En heb je het illegaal gedownload.. tja.. dan hopen we dat je graag reclame maakt voor de uploader van de illegale premium thema’s want er staat vaak een backlink of backdoor in.
– Alleen de zon komt voor niets op –

WordPress zelf

WordPress krijgt soms een slechte naam door alle hackers die zich op dit populaire cms richten. Maar WordPress wordt heel goed bijgehouden door de ontwikkelaars. Er worden veel beveiligingsupdates gelanceerd en er werken veel personen aan het systeem om het te testen en veilig te houden.

Het enige zwakke punt is het feit dat iedere hacker WordPress gratis kan downloaden en er tests op kan doen om een lek te vinden.
WordPress heeft ook een standaard waar al jaren aan vast wordt gehouden, en dit is ook een zwak punt.

Het is goed om een beveiligingsplugin te gebruiken om de zwakke punten en de standaarden van WordPress aan te passen zodat hackers daar niet op in kunnen haken.

Jij als gebruiker

Het is belangrijk om een unieke gebruikersnaam en wachtwoord te gebruiken. Dus niet simpelweg inloggen met je naam of de naam van je website.
Een wachtwoord moet minimaal 8 tekens/cijfers bevatten met hoofdletters ertussen. Dat zijn overigens ook aspecten die gestuurd worden door de beveiligingsplugin.

De server

Meestal heb je zelf geen invloed op de server, dat is iets wat je hostingpartij regelt. Maar je kunt er zelf wel op letten dat je niet meer dan 1 website per hostingpakket installeert.
Hacks kunnen namelijk op de server komen via 1 van de sites en dan de 2e website besmetten.
Laat zeker geen oude WordPress installatie op je hostingpakket staan als je er niets mee doet.

Featured image for Plugins updaten of plugins niet updaten? in category BEVEILIGEN

Plugins updaten of plugins niet updaten?

/5 Reacties/in ,

Plugins updaten.. dat kun je met 1 muisklik doen, maar als je website een conflict krijgt met andere plugins, het thema of met WordPress kun je dat niet met 1 muisklik terugdraaien!

Wat je kunt doen als de plugin update een error veroorzaakt

  1. Je kunt de oude release van die plugin opzoeken, en de oude release met behulp van een FTP programma in de plaats zetten voor de nieuwste plugin.
  2. Je kunt een backup terugzetten, en als je die zelf niet hebt, je webhoster benaderen. Die heeft soms ook nog een backup van een week of langer geleden.
  3. Je kunt kijken of er al een topic over is geopend op het officiële WordPress NL forum.
  4. Of de paden en aanwijzingen volgen die een error weergeeft en de code induiken om het te fixen. (Voor gevorderden)

Weet je vooraf of een plugin een error GAAT veroorzaken?

Dat weet je alleen als je research doet op Google c.q. het WordPress forum. Je typt de naam van de plugin in en dan typ je erachter “update error” of “update bug”.
Maar dat is zoeken naar problemen. Eigenlijk is het checken of een plugin problemen veroorzaakt veel werk waar weinigen zin in hebben.

Hoe weet je welke plugin de oorzaak is van de error?

Als de plugin(s) geupdate zijn en je ziet een error op je website kun je de plugins 1-voor-1 deactiveren net zolang totdat de error weg is.
Wanneer de error verdwijnt weet je genoeg.

Als je website een “witte pagina” zonder error-melding toont, kun je die error weergave aanzetten in de wp-config.php bij de DEBUG MODE, zet die op TRUE

Het gemak van een backup

Had je maar een backup! Dan kan je namelijk met enkele muisklikken je oude plugins terugzetten.
Een backup is essentieel als je geregeld updates van plugins uitvoert. Backups maken kan op vele manieren, zowel handmatig via de FTP als via een Cpanel-Directadmin als door middel van een backup plugin.

Psst: Niet doorvertellen

Wij raden aan om de plugins niet elke week/maand te updaten wanneer er een nieuwe release uit is, maar eens in de 4-6 weken.
Vaak zijn het releases voor nieuwe functies die geregeld bugs (codeconflicten) met zich mee brengen.

Alleen wanneer het noodzakelijk is zoals bij een beveiligingsupdate is het direct updaten aan te raden.

Gebruik verstand en inzicht wanneer je update, klik niet direct op de “bijwerken” link wanneer een nieuwe update verschijnt!

 

Featured image for Plugins? Doe maar niet! in category BEVEILIGEN

Plugins? Doe maar niet!

/5 Reacties/in , , ,

Dat plugins open deuren zijn voor hackers weten we al lang. Toch? En dat plugins aan de lopende band gehackt worden is bij iedere WordPress gebruiker bekend.

Niet?

Dan is dit een wake-up call..

5 populaire plugins die vaak gehackt zijn

  1. WP Super Cache
    In 2 jaar tijd 10x lek gegaan!
    Screenshot_29 Jun. 09 14.20
  2. All in one SEO pack
    Doet goed mee met 5x in 2 jaar tijd.
    Screenshot_29 Jun. 09 14.19
  3. BB-press
    Doet ook ieder jaar mee: 2014, 2015, 2016.
    Screenshot_29 Jun. 09 14.21
  4. WooCommerce
    De lijst is te lang om neer te zetten, 21x in enkele jaren.
    Screenshot_30 Jun. 09 14.24
  5. Nextgen Gallery
    Wie heeft hem niet gebruikt voor foto-albums?
    Screenshot_30 Jun. 09 14.25
  6. Bonus: Jetpack
    Door miljoenen websites gebruikt maar geregeld lek!
    Screenshot_32 Jun. 09 14.30

En de lijst met gehackte plugins gaat door..

Er zijn veel plugins die gehackt zijn, zie WPvulndb.com

Zowel onbekende als de meest populaire plugins moeten eraan geloven. De hackers richten zich op de populaire plugins omdat ze weten dat ze op die manier veel websites kunnen treffen.

Let op: de hackers schrijven een script die geautomatiseerd websites op internet afspeurt op de lekke plugins. Dit gaat met 100-en websites per uur, de hacker is natuurlijk niet zelf website-voor-website aan het hacken.

Wat betekent dit voor mijn WordPress website?

Gebruik zo min mogelijk plugins, en laat ze niet ge-deactiveerd op de server staan!

Hou de plugins up-to-date of zorg voor een goede beveiliging.

Zorg dat je een backup hebt! Zo kun je de website terugzetten naar het moment dat de hackers nog niet binnengekomen zijn en de plugins alsnog updaten of verwijderen.

Ben je al gehackt?

Dan kun je WordPress en alle files op de server volledig uitkammen om de backdoors en scripts te verwijderen waarna je hard aan het werk moet om de website te beveiligen.

Of je laat het aan ons over:
Laat je gehackte WordPress website herstellen.

Featured image for WordPress herstellen na een mislukte update in category BEVEILIGEN

WordPress herstellen na een mislukte update

/2 Reacties/in ,

WordPress updates zorgen er wel eens voor dat bepaalde plugins niet meer werken. Dit kan komen doordat de plugins niet met de nieuwe WordPress release kunnen werken maar het komt ook voor dat de WordPress update niet helemaal goed gegaan is.

Wat doe je als de WordPress update niet werkt?

Dan zet je de oude WordPress terug. Simpel!

Of toch niet? Er is geen knopje voor het terugdraaien van een update.

WordPress herstellen na een mislukte update – in 4 stappen!

  1. Je maakt eerst een backup van de huidige staat (voordat er meer mis gaat!)
  2. Download een oudere release van WordPress (de laatste die wel werkte)
  3. Je start een FTP programma waarmee je de data van je site kunt zien en bewerken
  4. Je verwijderd WordPress, en upload WordPress handmatig (Zie onderstaande afbeelding)

wordpress maken repareren

Featured image for Statistieken over de veiligheid van websites in category ANTIVIRUS

Statistieken over de veiligheid van websites

/0 Reacties/in , , , , ,

Met meer dan 1 biljoen websites (lees: 1,000,000,000!!) kun je begrijpen dat het een enorme markt is voor zowel websitebezoekers maar ook voor hackers.

Stel je eens voor, dat je 1% kunt infecteren met je eigen reclame!

Dat wordt veel geprobeerd. In de wetenschap dat 1/3e van alle websites gemaakt zijn met WordPress, Joomla en Magento, zijn deze systemen ook een groot doelwit van hackers.

De rapportage van Sucuri laat zien dat de cybercriminaliteit de afgelopen jaren sterk is toegenomen.

Lukt het de hackers om websites massaal te hacken?

De vraag of het hackers lukt om websites massaal te hacken hangt vooral af van de manier waarop met websites om wordt gegaan.

Een grafiek op Sucuri laat zien dat WordPress het meeste geupdate wordt van alle bovengenoemde systemen.

Tevens lanceren de ontwikkelaars achter WordPress met rap tempo beveiligingsupdates met nieuwe en verbeterde methodes om websites veiliger te maken. Ook zijn er diverse artikelen waarmee ze gebruikers op de hoogte te stellen van de risico’s die bepaalde gewoontes met zich meebrengen en hoe de website goed beschermd kan worden tegen hackers en hackscripts.

Toch spreekt Sucuri over meer dan 11000 gehackte websites in het eerste kwartaal van 2016. Dit zijn alleen al de websites die bij hun zijn aangemeld of in beheer zijn.

Het updaten van de plugins en CMS-en blijkt niet genoeg om de hackers en scripts te stoppen!

Plugins, de zwakke schakel

De plugins blijven een zwakke schakel. Hoewel de heren van WordPress alles doen om een veilig CMS online te zetten, zorgen plugins met XSS lekken ervoor dat de website alsnog open staat voor injecties.

De Timthumb, Revslider en Gravityforms zijn krachtige plugins die veel gebruikt worden, maar niet vaak genoeg bijgewerkt worden door gebruikers. (Samen zijn ze goed voor 25% van alle lekke websites!)

Wat doen deze plugins:
Revslider  wordt gebruikt om mooie sliders te maken met call-to-action content en de Gravityforms om formulieren op te zetten met een groot aantal flexibele mogelijkheden.

De meest voorkomende problemen bij gehackte websites

In de top 3 problemen die veroorzaakt worden door gehackte websites staat de “backdoor” op nummer 1. Dit lijkt onschuldig maar de “open deur” geeft hackers ieder moment de gelegenheid om met je website te doen wat ze willen!

Nummer 2 van de problemen die een hack(er) veroorzaakt is natuurlijk de malware. Kortom: de reclame die je website gaat tonen via spam of links in je website. Of erger nog, de bestanden die je computer besmetten en zo reclame gaan tonen die de hacker wenst. (Dit maakt maar weer eens duidelijk hoe belangrijk en goede antivirus is voor je computer)

Op nummer 3 staat de SEO spam, dat zijn de links naar producten die de hacker of een betalende partij verkopen.

1-op-de-5 sites wordt na een hack voorzien van een script dat via je website gaat e-mailen (zeer schadelijk voor de reputatie van je website).

En ook het verbouwen van het uiterlijk van je website en het direct doorsturen van een bezoeker, zijn de grovere methodes die 1-op-de-10 websites treffen.

Wat kun je doen tegen hackers?

De informatie die we net hebben beschreven, laat zien dat plugins, verkeerde gewoontes en de populariteit bijdragen aan het hoge aantal gehackte websites.

Dit kun je helaas niet simpel verhelpen door op tijd de updates te doen. Er is meer voor nodig.

Hackers moeten tegengehouden worden in hun pogingen en geautomatiseerde scripts moeten beperkt worden. Zelfs als een lekke plugin de website open zet voor hackers.

Een antivirus plugin voor WordPress die meer dan 100+ bekende lekken dicht en veel methodes van hackers opvangt, is geen luxe meer maar noodzaak om te voorkomen dat je website een gemakkelijk doelwit wordt!

Download de Nederlandse antivirus voor WordPress nu!

Meer over het beveiligen van je WordPress website vind je ook in het artikel ‘Serieus, je moet je WordPress website nu echt beveiligen‘.

 

 

Featured image for Kennis èn ervaring kost jaren in category BEVEILIGEN

Kennis èn ervaring kost jaren

/0 Reacties/in , , ,

Ik kom veel programmeurs tegen die een hack in hun website hebben, of in de site van de klant en dan op Google opzoeken hoe ze die hack kunnen verwijderen.
Ze vullen hun programmeerkennis aan en proberen met die informatie de site te herstellen en te beveiligen.

Maar hoeveel ze ook op internet lezen en toepassen, de hacks blijven geregeld terugkomen.

Denk aan het terugzetten van een oude backup, het verwijderen van bepaalde plugins, het updaten van WordPress.
Slimme programmeurs die echt wel weten hoe WordPress werkt, en hoe de server werkt, en welke code er wel-of-niet in WordPress thuis hoort.

Ondanks hun kennis kunnen ze de website niet veilig houden.

Waar ik dan vaak aan moet denken, is dat kennis en ervaring jaren kost.

En dat heb ik ervaren… 

Toen ik jong was had ik een oldtimer, een schakelbrommer.
Die reed niet helemaal naar behoren en behaalde niet de snelheid die hij hoorde te halen.
Veel research op internet gedaan, heel veel aan gesleuteld, maar niets leek het probleem op te lossen.

Tijdens 1 van de testritten liep er een oude man, rond de 80+ voorovergebogen en riep: Je mengsel is te vet, je verbrand te veel olie.

Ik zei: nee dat zit wel goed ik weet wat in de tank zit!

De oude man zei: ik hoor dat hij te vet loopt. Je moet minder olie in je benzine doen.

Later bleek dat er mengsel in de tank was gegaan die er niet in hoort voor dat specifieke type brommer.
(Er zat nog een los oliereservoir op de brommer waar een klein beetje olie in moest.. en de brommer kon daardoor op andere benzine rijden)

Diverse mensen om mij heen (incl de vorige eigenaar van de brommer) wisten het niet op te lossen, deze man hoorde het aan het motorgeluid!

Dàt is kennis en ervaring!