Featured image for Is mijn premium plugin veilig? in category HACKERS

Is mijn premium plugin veilig?

/4 Reacties/in , ,

Het wordt vaak aan mij gevraagd, of een premium plugin veilig is.

Een korte uitleg over premium plugins

De premium plugins kosten eenmalig of jaarlijks een bepaald bedrag. Voor dat bedrag zou je verwachten dat de plugin veiliger is.

Maar dat ligt helemaal aan de instelling van de programmeur van de plugin. Sommige steken veel tijd in de veiligheid van de plugin en sommige alleen in de ontwikkeling om zo veel mogelijk geld te verdienen.

Een premium plugin is dus niet per definitie veiliger dan een gratis te downloaden plugin.

1 nadeel dat de premium plugins hebben is dat hackers meer tijd nemen om lekken te vinden in zulke plugins. Ze weten namelijk dat websites met betaalde plugins vaker bedrijfswebsites of andere belangrijke websites zijn. Er is immers in geïnvesteerd.

Het gaat een hacker er niet om de website plat te leggen maar om reclame (spam) te versturen via het domein of reclame op de site te plaatsen. (Linkbuilding en bezoekers)

Belangrijk als je premium plugins gebruikt

  • Koop ze netjes, de gratis te downloaden illegale versies bevatten vaak hacks en backdoors voor de hackers.
  • Update de plugin regelmatig.
  • Laat de updates en de licentie na een jaar niet verlopen wanneer dat beperkt dat je kunt updaten.

 

Featured image for Snelcursus: Je WordPress om zeep helpen in 10 stappen in category ANTIVIRUS

Snelcursus: Je WordPress om zeep helpen in 10 stappen

/2 Reacties/in ,

Je WordPress om zeep helpen is niet zo heel moeilijk, wij leren je in 10 stappen hoe je dit kunt doen:

  1. Zoveel mogelijk plugins installeren, hoe meer hoe beter. En niet updaten!
  2. Gebruik je voornaam als gebruikersnaam om in te loggen
  3. Je wachtwoord kan toch best je domeinnaam zijn met wat c1jf3rs
  4. Thema’s uitproberen, en ze allemaal bewaren
  5. Als er reacties (comments) op je site staan met vreemde links, log dan in en ga er op klikken!
  6. Je ftp gegevens delen met iedereen op een forum! (ja echt het gebeurt….)
  7. Update WordPress nooit
  8. Gebruik geen antivirus op je computer, en klik JA bij elke popup op het internet
  9. Laat je website installeren door een tiener, want die ken zoveel met Windows!
  10. Neem de goedkoopste webhoster, die van 1 euro per maand heeft vast een up-to-date server

Het lijkt overdreven, maar deze bovenstaande 10 punten komen wij dagelijks tegen.

Doe er je voordeel mee!

Featured image for Updates, direct doorvoeren? in category UPDATEN

Updates, direct doorvoeren?

/2 Reacties/in ,

Updates zijn belangrijk. Dat zullen wij niet ontkennen!

Maar..

Je wilt problemen voorkomen, in het algemeen. Hoeveel kans maak je om gehackt te worden door een verouderde plugin en hoeveel kans heb je dat een nieuwe plugin botst met andere plugins of met WordPress en daardoor errors veroorzaakt waardoor je website niet meer werkt..

De kans is groter dat je plugin een error krijgt en je WordPress niet meer werkt doordat het botst met een plugin of WordPress dan dat je website om zeep geholpen wordt door een hack.

Voorbeelden

Wij maken ontzettend veel mee dat WordPress websites niet meer werken, bijvoorbeeld doordat themes met WooCommerce templates code gebruiken die ineens niet meer werken in de nieuwste WooCommerce update. Dan werkt je shop ineens niet meer!

Of dat de plugins die 2 jaar geleden gecodeerd zijn niet meer werken bij de nieuwste versie van WordPress.

Plugins onderling, zoals vertaalplugins die gecodeerd zijn om samen te werken met thema’s, WordPress en de plugins die op dat moment gebruikt worden maar waar na 1 jaar code in zit die niet meer samenwerkt..

Plugins moeten wel geupdate worden

Wij zullen nooit zeggen dat je de plugins niet moet updaten. Maar als tip geven we wel mee, doe dit geregeld waarbij je eerst een backup maakt en update ze dan allemaal tegelijk.
Niet elke release maar geregeld.

Tenzij je elke release een backup wilt draaien van de data en de database, zodat je die terug kunt draaien als er ongeregeldheden zijn.

Een nieuwe release

Een nieuwe release of update is van tevoren getest, maar kan nooit op alle platformen getest worden met elke php versie die er bestaat. En wanneer die dus niet in orde is zullen de berichten op de forums worden geplaatst waarna de ontwikkelaar een nieuwe release online zet. Wacht daarom minimaal 3-5 dagen voordat je een plugin of WordPress update. Zodat je niet in die testfase zit.

Is een tip, doe ermee wat je wilt 😉

 

Featured image for 10 manieren om WordPress veilig te houden in category BEVEILIGEN

10 manieren om WordPress veilig te houden

/2 Reacties/in , , , ,

WordPress is als basis een redelijk veilig cms. Er worden geregeld updates gelanceerd waarbij de programmeurs achter WordPress samen werken met de community om beveiligingslekken op te sporen en op te lossen.

Nu is het aan jou om WordPress veilig te houden, als webdesigner of als eigenaar van de website heb je de verantwoordelijkheid diverse stappen te ondernemen en te onderhouden om hackers geen kans te geven.

Wij hebben een lijst samengesteld van 10 manieren hoe je WordPress veilig kunt houden.

  1. Update geregeld

    Met geregeld doelen we minimaal op de updates van WordPress die te maken hebben met de beveiliging.
    Security releases noemen ze dat.
    In het changelog kun je zien welke aanpassingen gedaan zijn. Als het gaat om beveiligings issues kun je het beste updaten.
    Bekijk de changelog hier.

  2. De wachtwoorden

    WordPress vereist nu al een goed wachtwoord voordat je het kunt opslaan.
    Maar nog kun je namen gebruiken zoals de domeinnaam of cijfers zoals 12345.
    Doe dat niet!! Het is 1 van de eerste dingen die bij brute-force aanvallen worden geprobeerd.

  3. Maximaal 1 website per hosting pakket

    Je kunt meerdere WordPress installaties op 1 hosting pakket zetten. Dit kan middels een MultiSite maar ook door mappen met WordPress te vullen en daar websites op te bouwen.
    Maar vergeet niet dat 1 besmette WordPress website zo gemakkelijk over kan springen naar andere mappen met WordPress installaties.
    Heel vaak worden bij een lek direct alle sites voorzien van hack bestanden. Dat bezorgt je veel werk en problemen.

  4. Pas je CMS aan

    Elke standaard installatie van WordPress is hetzelfde. Dat weten hackers ook! Het admin is te vinden onder /wp-admin of op wp-login.php
    En ook de author/administrator is meestal gemakkelijk te vinden.
    Tevens zijn de beschrijfbare uploads mappen evenals de theme en plugin mappen algemeen bekend.
    Installeer niet zomaar elke plugin

  5. Kijk eerst na of er recenties van een plugins zijn, hoeveel stemmen een plugin positief of negatief heeft.
    Elke plugin is een nieuwe open deur voor hackers!
    LESS IS MORE in dit geval.

  6. Backups

    Als er wat gebeurt, ben je bijzonder blij als je een backup terug kunt zetten.
    De backup bevat vaak nog niet de besmette bestanden en dit scheelt je veel herstellen.
    Beveiligen na het terugzetten van een backup is nog altijd nodig!

  7. De schrijfrechten goed zetten

    Als alle mappen open staan en zelfs beschrijfbaar zijn door anderen heb je een groot risico.
    Zo moet de wp-config en de .htacces op CMOD 444 staan.
    Het lezen en uitvoeren maar NIET schrijven zorgt ervoor dat veel hacks buiten de deur blijven of zich niet kunnen verspreiden.

  8. Toegang tot de server ontzeggen

    Als je de server niet goed configureert, staat die toe dat alle mappen bekeken kunnen worden door iedereen. Door middel van de HACCESS (Linux), NGINX.conf of in het geval van een windows server de WEB.config te configureren kun je instellen dat diverse mappen niet door te lezen zijn door anderen. Zeer belangrijk aangezien hackers en bots anders je theme en plugin mappen door gaan bladeren naar mogelijke lekken.

  9. Koop premium plugins en themas

    Het illegaal downloaden van thema’s en plugins is erg makkelijk en lijkt goedkoper, maar uiteindelijk is het duurkoop aangezien de criminelen die deze aangekochte thema’s en plugins aanbieden met een backdoor of reclamescript waarmee ze je WordPress website op ieder willekeurig moment kunnen aanpassen of doorlinken naar hun eigen sites.

  10. Een beveiligingsplugin gebruiken

    Een beveiligingsplugin zorgt ervoor dat veel van de bovenstaande punten geregeld worden.
    Een goede beveiligingsplugin voor WordPress zorgt bijvoorbeeld voor de meest belangrijke punten
    * Dat je servermappen afgeschermd worden voor hackers
    * Dat er log bestanden bijgehouden worden van je website
    * Dat gebruikers die proberen in te breken op de blacklist komen
    * Dat bestanden gecontroleerd worden op hacks
    * Dat verdachte aanvragen en injecties worden geblokkeerd
    * Dat de database geregeld gecontroleerd
    * En nog 100+ functies

    Maar let wel op, een beveiligingsplugin werkt preventief, en is geen oplossing als je WordPress al gehackt is.

Slot

Preventief kun je veel doen om het een stuk moeilijker te maken voor hackers en hackbots. De eerste punten uit onze top 10 kun je zelf doen, de overigen kun je over laten aan een goed ingestelde beveiligingsplugin.

Een oud Nederlands gezegde wat hier zeker voor spreekt: voorkomen is beter dan genezen

Featured image for WordPress is gehackt! Wat nu? in category BEVEILIGEN

WordPress is gehackt! Wat nu?

/7 Reacties/in , , , ,

Als je WordPress website gehackt is, kom je in een wereld terecht waar je als gewone WordPress gebruiker geen zicht op hebt.

95% van de WordPress ontwikkelaars die jaren lang websites ontwerpen en programmeren, staan voor raadsels als het gaat om beveiliging en hacks in WordPress.

Hoe komt dat?

De hacks die ontwikkeld worden komen niet allemaal uit de handen van een tiener op een zolderkamertje.

In landen zoals Rusland, Azië, China, America waar briljante mensen wonen worden veel hacks geprogrammeerd.
Die hacks worden via het internet verspreid en gaan daarna van server naar server, van website naar website.

Welke personen hacks maken:
✓ Programmeurs die geen werk meer hebben
✓ Teams uit voormalige webbureau’s die zonder werk zitten
✓ Sociaal geïsoleerde personen die 14 uur per dag achter de computer zitten
✓ Huisvrouwen die hun kinderen te eten moeten geven

hackers

Personen die weten hoeveel geld er te verdienen valt als je WordPress sites “voor je laat werken” door reclame te versturen of te linken naar websites met producten.

WordPress is gehackt: Wat was de motivatie?

Zoals je hierboven al hebt kunnen lezen zijn er diverse landen waar wel een computer beschikbaar is en internet maar niet voldoende werk. De motivatie is dus geld.

Maar een heel klein deel van de hacks is geprogrammeerd uit eerzucht, de wens om een “beroemde” hacker te worden.

WordPress is gehackt: Hoe vaak komt dat voor?

Als je bedenkt dat een hack van de Revolution Slider binnen 1 week meer als 100.000 lekke websites opleverde en er jaarlijks het 100 voudige aantal websites lek gaan en gehackt worden.. kun je concluderen dat websites redelijk vaak gehackt worden.

In een release bericht voor de 4.4 van WordPress org deze maand stond het volgende:
WordPress versions 4.4 and earlier are affected by a cross-site scripting vulnerability that could allow a site to be compromised.

Kortom weer een lek gevonden in WordPress, snel updaten dus! En wachten tot de hackers weer een nieuw lek hebben gevonden in de nieuwe release?

De Securi Brute Force Monitor toont:

Het aantal gemelde Brute Force aanvallen (Alleen al op de securi beveiligde sites) piekte het laatste half jaar van 2015 op 35-50 miljoen aanvallen per dag.
securi brute force

WPscan database van plugin & WordPress lekken

De teller van lekke plugins en WordPress releases staat nu op 4054. Helaas ook een groeiend aantal.

wpscan teller

WordPress is gehackt: Zeker weten?

Als er onverwachtse wijzigingen in je WordPress website te zien zijn, denk je wellicht direct: Mijn WordPress is gehackt!

Maar soms komt het door een plugin update of door een botsing tussen 2 plugins, of een collega heeft een aanpassing aan de website gedaan zonder dat te zeggen.

Het is dus belangrijk vast te stellen of de website echt gehackt is.

Vaststellen of je WordPress website gehackt is

Een goede scanner voor WordPress hacks is de Securi Malware scanner.
De Securi Malware scanner controleert je WordPress website op veel punten en geeft het vaak aan wanneer je WordPress gehackt is.

Maar 100% garantie geven ze niet en code op de server wordt niet allemaal gescand, daarom is het altijd belangrijk om ook deze onderstaande 4 punten te controleren.

  1. Er staan links in je website die er niet horen, denk aan reclame voor producten of datingdiensten
  2. Je website verstuurt spam naar onbekende adressen
  3. Je website verwijst op de mobiel of tablet naar een andere website
  4. Er zijn gebruikers aangemaakt met administrator rechten die je niet kent

WordPress is gehackt: de schade in kaart brengen

voorbeeld hacken

Het is belangrijk dat je erachter komt waar de hack allemaal invloed op heeft gehad, kijk hiervoor op de:

  1. Pagina’s
  2. Nieuwsberichten
  3. Database
  4. Admin gebruikers
  5. Code van het thema
  6. Bestanden op de server

Toelichting: Soms heeft een hack een injectie gedaan in de database waardoor elke pagina reclame toont, soms wordt het in de theme gezet en daardoor op elke pagina geladen.

In enkele gevallen worden er nieuwe gebruikers of backdoors aangemaakt.

Kijk hiervoor naar de wijzigingsdatum van de bestanden op de server, en voor de overige punten in je administratie panel van WordPress.

WordPress is gehackt: de website herstellen

Maak voordat je aanpassingen aan je website gaat verrichten altijd eerst een backup van alle bestanden op je server en de gehele database!!

Voor het herstellen van de website is het belangrijk dat je weet waar de hack te vinden is.

Als je de stappen hebt doorlopen voor het in kaart brengen van de schade, kun je beginnen met het herstellen van je gehackte WordPress.

Het herstellen van je WordPress website kun je op de volgende manier doen

  1. Zet de core bestanden van WordPress opnieuw op je server. Zo ben je er zeker van dat de hacks eruit zijn en dat je website up-to-date is.
  2. Probeer zoveel mogelijk plugins te vernieuwen.
  3. Vernieuw je thema indien mogelijk, let hierbij op dat je thema misschien codering op maat bevat en dat een nieuwe release van hetzelfde thema ook wel eens aanpassingen bevat.

Even tussendoor, een stukje positiviteit!

Wij van WPbeveiligen willen dit momentje even pakken om een positief punt van WordPress te belichten, te midden van alle ellende die je meemaakt als je dit leest wanneer je website gehackt is.

Het is namelijk zo dat WordPress gratis te downloaden is, en tevens meer dan 42.509 gratis plugins biedt!

Met de gratis en premium plugins die ontwikkeld zijn voor WordPress kun je als bedrijf tot ongekende grootte groeien zonder ongekende bedragen te betalen!

wordpress plugins

En vergeet ook niet de artikelen niet die WPbeveiligen schrijft om je op de hoogte te houden, je te behoeden voor de problemen van WordPress en om je te helpen je WordPress website te beheren.

Maar nu weer even verder tot de orde van de dag:

WordPress is gehackt: de gevolgen terugdraaien

Als je WordPress website gehackt is, heeft dat niet alleen gevolgen voor de weergave van je website maar ook op de status in Google en bij Blacklists.

Google kan je website weergeven als schadelijk.
google gehacktWanneer je website helemaal vrij is van hacks kun je de “Google webmaster tools” gebruiken om je website weer als veilig te laten markeren. Het kan dan nog enkele uren duren voordat je website weer als veilig in Google verschijnt maar het is de snelste manier.

Op de blacklist staan, verhindert het verzenden van mail.
geen mailHet is belangrijk dat je bij een dienst zoals de “mxtoolbox blacklist check” controleert of je op een lijst staat.
Als je op een blacklist lijst staat, komt je mail namelijk vaak niet bij anderen aan, veel mail filters gebruiken de blacklists als referentie of een verzender en de mails veilig zijn.
Als je op de blacklist staat, kun je een de-listing aanvragen.

WordPress is gehackt: Herhaling voorkomen

 

Voorkomen dat je WordPress gehackt wordt is het aller belangrijkste. Je WordPress website laten herstellen kost veel meer tijd en geld.

Een goede anti-virus voor je WordPress website en je server is belangrijk. De anti-virus houdt aanvallers tegen, houdt bij welke bestanden aangepast worden en kan injecties en hackpogingen voorkomen.

Featured image for Moet ik WordPress update bijhouden? in category BEVEILIGEN

Moet ik WordPress update bijhouden?

/4 Reacties/in , , ,

De heren die WordPress ontwikkelen zijn zeer actief en houden WordPress soms wel maandelijks up-to-date.

En dan hebben we het alleen al over de updates voor “mogelijke” veiligheidsproblemen die ontdekt zijn door de community.

Hoeveel WordPress updates we hebben gehad?

Veel! Kijk maar eens in het release log.

WordPress laat er geen gras over groeien als ze te weten komen dat er een nieuwe mogelijkheid is om het systeem te hacken.
En dit is goed!

Vanzelfsprekend?

NEE, wij draaien al een jaar of 10 mee en wij zien al jaren plugins en thema’s die zeer zeker niet goedkoop zijn maar niet ge-update worden terwijl de lekken al maanden bekend zijn!
We hebben het niet over lekken die ze in hun mailbox krijgen, nee over lekken die op het forum gemeld worden en dus door iedere hacker gelezen kunnen worden…

Moet ik iedere WordPress release updaten?

Het is aan te raden om je WordPress geregeld te updaten. Maar direct na iedere release heeft ook zo zijn risico’s.
Soms sluipen er fouten in de nieuwe release en gaat er wat mis in je WordPress, het is niet onverstandig om even enkele dagen te wachten voordat je update of eerst te kijken of het een veiligheids update betreft of dat er alleen “fancy” nieuwtjes inzitten voor de blogger.

Help! Ik krijg een foutmelding na het updaten!

Dat komt ook geregeld voor, wellicht is je serverruimte niet voldoende of is de nieuwe release niet helemaal ge-update door een serverstoring.

Wat je dan kunt doen is WordPress handmatig via de FTP uploaden.

Mijn website is in gevaar!

Je kunt verontrustende e-mails krijgehelp wordpress is niet veilign van je hosting dat er iets mis is met je WordPress site. Dat er bestanden staan die een risico vormen.
Deze mails worden soms gegenereerd door software van de hosting die niet alleen hack files detecteren maar ook de nieuwste potentiële lekken.

“Een mogelijk lek” hoeft niets te betekenen als je WordPress goed beveiligd is.
Maar aangezien ze niet rekening houden met de beveiliging van je WordPress maar simpelweg welke bestanden ze zien kan het soms verontrustend zijn.

Zorgen dat je geen zorgen hebt

Als je de volgende regels aanhoudt hoef je niet te schrikken als er een melding komt dat je WordPress alweer “verouderd” is of een mogelijk lek bevat.

  1. Maak geregeld backups
    Die kun je terugzetten mochten er toch problemen komen door een lek.
  2. Update je WordPress geregeld
    Vooral als er een veiligheidsrelease is.
  3. Gebruik niet te veel plugins
    Iedere plugin is een extra mogelijkheid tot een lek, een mogelijk injectie-punt of XSS
  4. Beveilig je Website met een professionele security plugin
    Een goede security plugin is Ithemes Security.
Featured image for 10 manieren om WordPress open te zetten voor hackers in category BEVEILIGEN

10 manieren om WordPress open te zetten voor hackers

/4 Reacties/in , , ,

Er zijn 10 dingen die je absoluut niet moet doen als je WordPress veilig wilt houden.

  1. Je gebruikersnaam “admin” laten staan. Hier worden de meeste scripts voor opgezet, om in combinatie met de username admin een brute force attack te doen wat inhoud dat er duizenden wachtwoorden op je admin page worden afgevuurd.
  2. Brengt ons direct bij puntje 2, je admin op de wp-admin link laten staan zonder een maximaal aantal login pogingen in te stellen. Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.
  3. Je gebruikersnaam boven elk bericht zetten. Kies voor het publiceren van berichten een andere naam!
  4. Je comment area open laten staan zonder anti-spam plugin. Als je de comments niet gebruikt of er reageert haast niemand, sluit die dan af!
  5. Je inlog gebruikersnaam of wachtwoord hetzelfde noemen als de website naam. Wordt door scripts als eerste geprobeerd!
  6. Tientallen plugins inzetten. Hoe meer plugins hoe groter de kans dat er 1 tussen zit die een lek heeft. Via een lek in 1 van je plugins is het gemakkelijk om een MySql injectie te doen of bestanden op de server aan te maken.
  7. Je versie nummer van WordPress in de broncode laten staan. Dit zorgt ervoor dat een hack script direct de exploits (lekken) van die versie op kan zoeken.
  8. WordPress 3 jaar niet updaten. Dit kon nog toen WordPress net enkele jaren uit was, maar door de populariteit van WordPress gaat het niet meer. Er zijn tegenwoordig veel meer scripts voor geschreven die het internet afzoeken op WordPress sites.
  9. Illegaal plugins en premium themes downloaden en gebruiken.
    Sites die illegaal thema’s aanbieden hebben vaak hun reclame of backdoor in de website gezet. Een simpele lijn code die informatie weergeeft of zelfs doorgeeft aan de hacker.
  10. De goedkoopste hosting gebruiken. De server is ook doelwit van hackers. Via lekke WordPress websites proberen ze de server te bereiken om die aanvallen op andere sites te laten doen. Goedkope webhosts die niet bekend zijn met WordPress en niet veel tijd besteden aan beveiliging hebben vaak vertraagde servers waardoor je website traag laadt.

Dit waren ze alweer, de 10 punten die je kunt veranderen zodat de hackers het wat moeilijker hebben om je WordPress website te hacken.

Of.. je laat WPbeveiligen je WordPress preventief beveiligen waarbij deze 10 en nog 30+ andere punten worden aangepakt!

Featured image for Een handige functie van Sucuri in category BEVEILIGEN

Een handige functie van Sucuri

/4 Reacties/in , , , ,

Sucuri heeft een WordPress plugin die je in de bibliotheek van de WordPress plugins kunt vinden onder de naam: Sucuri Security

Het is geen all-in-one oplossing tegen hacks want hij heeft wat gebreken.

Maar, er is 1 hele gave functie die je veel tijd kan besparen als je veel plugins hebt.

De plugin her-installer

Het komt voor dat je website 20-30 plugins gebruikt,
(wat natuurlijk veel te veel is en een enorm veiligheids risico oplevert.)

Maar dat even terzijde, als daar eenmaal hackers bestanden tussen zitten is het een hele klus om elke plugin te verwijderen en een schone installatie te downloaden en dan weer naar de plugins map te uploaden.

Securi heeft hier een functie voor waarbij je in 1x alle plugins kunt aanklikken en kunt laten verwijderen en her-installeren!

Dat scheelt je veel tijd en moeite!

Je vind de functie bij “Post hack > Reset plugins”

securi plugins installeren

Je vraagt je misschien af, kan ik een plugin niet gewoon updaten? Het komt vaak voor dat plugins die gehackt zijn ook verouderd zijn dus dan hoef je alleen op bijwerken te klikken.

Antwoord: Nee, het updaten past alleen enkele bestanden aan maar daardoor blijven de hack files staan.

Kortom, even de Securi plugin downloaden en de reset plugins functie uitvoeren!

En daarna?

Een goede beveiligingsplugin installeren zoals Ithemes Security PRO

 

Featured image for WordPress toont een wit scherm, wat nu? in category BEVEILIGEN

WordPress toont een wit scherm, wat nu?

/3 Reacties/in , , , , ,

Als er problemen optreden met code van plugins of het thema’s of WordPress zelf, zie je niet altijd een error. Soms zie je alleen een wit scherm!

Ontzettend onhandig omdat je dan niet weet wat er mis gaat! Maar het is niet voor niets dat je alleen een wit scherm ziet.

De lege pagina zonder error is een veiligheidsmaatregel aangezien de error met gedetailleerde informatie door hackers en scripts gebruikt kan worden om de website te hacken.

Een wit scherm, op alle pagina’s of alleen in het Admin

Het kan zijn dat je website nog wel werkt aan de voorzijde voor je bezoekers en alleen je administratie panel een wit scherm geeft, waardoor je de website niet meer kunt beheren. Waar het ook voorkomt, het is een probleem dat opgelost moet worden!

Betekent het witte scherm soms dat de website gehackt is?

Meestal NIET. Veel voorkomende oorzaken voor een wit scherm zijn botsingen tussen code in plugins.

Waarom heb ik een wit scherm zonder aanleiding?

  1. Een wit scherm in WordPress kan spontaan optreden wanneer je de “automatische updates” aan hebt staan. Daar ben je zelf op dat moment niet bij maar er gebeurt een hoop in de code wat kan botsen.
  2. Soms zie je een witte pagina als de hosting een probleem heeft met de server, maar dit komt zeer weinig voor. Dan staat er meestal een “error 500”.
  3. Soms wordt er een injectie gedaan door een hacker om je admin onklaar te maken.

Het witte scherm probleem oplossen

Er zijn diverse manieren om het op te lossen, enkele veel voorkomende problemen en oplossingen zullen we hier documenteren.

Het tonen van error’s

Begin als eerste eens met het “laten tonen van de errors”.

Dit doe je door met de wp-config.php met een editor/FTP programma te openen, in de wp-config.php vind je een regel met de debug_mode die je op true moet zetten.

Vaak toont dit direct één of meerdere errors op de pagina waardoor je (met wat googlen en puzzelen) weet wat er aan de hand is. De error toont vaak ook in welk script de error voorkomt en zelfs op welke lijn!

Ps: Wij als programmeurs van WPbeveiligen hoeven vaak niet te Googlen om te weten wat er mis is, we kunnen dit probleem meestal direct verhelpen. Kies daarom voor gemak en zekerheid en stuur ons een berichtje.

Blijft het scherm nog steeds wit na het aanzetten van de errorweergave?

Ga dan voor de trial-en-error methode via de onderstaande opties.
Trial-en-error betekent simpelweg het elimineren van de mogelijkheden die problemen opleveren totdat je het probleem het gevonden.

Mogelijkheid #1: Een wit scherm door plugins

Plugins botsen wel eens door code waardoor de website niet wil laden. Als je nog in je admin kunt komen, kun je ze 1-voor-1 uitzetten tot je de boosdoener hebt gevonden.

Als je niet in je admin kunt komen, kun je dit via de FTP doen, je hernoemt ze stuk-voor-stuk waardoor ze de-activeren.

Mogelijkheid #2: Een wit scherm, door het thema

Als je thema of template niet wil laden zie je een wit scherm op je website maar doet je wp-admin het nog wel. Probeer eens tijdelijk een ander thema. Mocht dit het oplossen kun je proberen een schone versie van je gebruikte thema te plaatsen of je laat iemand naar de code in je thema kijken om het op te lossen.

Mogelijkheid #3: Een wit scherm door gehackte code
hacker-wordpress-wit-scherm

Heel soms heeft een hackscript een botsing veroorzaakt of een error in je pagina’s. Meestal zijn hackers en hackscripts erop uit om zo stiekem mogelijk te werk te gaan zodat het spamscript zo lang mogelijk kan werken voordat het opvalt.

1 techniek van hackers is dan weer het admin onbruikbaar te maken middels een wit scherm, maar de “voorkant” van je website willen ze meestal onaangetast laten.

Echter een reclame injectie geeft wel eens problemen waardoor ze door de mand vallen.

Tip: Een backup terugzetten

Als je website geregeld backups maakt, kun je die terug zetten. Dat scheelt enorm veel zoeken en coderen!

Het probleem laten oplossen door ons

Wij werken al jaren met WordPress en kunnen een wit scherm vaak binnen 1 uur oplossen. De kosten zijn dan niet zo hoog maar het gemak wel!

Klik hier en laat het probleem nu oplossen!

Featured image for Feiten & fabels over het beveiligen van WordPress in category BEVEILIGEN

Feiten & fabels over het beveiligen van WordPress

/2 Reacties/in , , ,

Er zijn veel WordPress gebruikers en zelfs website programmeurs, en zelfs hosting bedrijven die dit nog niet weten:

Feit: Het terugzetten van een oude backup is GEEN blijvende oplossing bij een gehackte website

Dit lijkt voor velen de oplossing, de redenatie is vaak dat het hackbestand van de server af is. Velen zijn verbaast als er binnen 1-7 dagen weer tekenen zijn dat de site gehackt is. Hoe kan dat?

Vaak is alleen het bestand wat spam of gegevens verstuurt is weg. Het lek is er nog, dit kan een oude versie van WordPress zijn, een thema of een plugin.

Wat je moet doen

Na het terugzetten van de backup kun je niet achterover leunen, dan begint het pas!

  1. Alle plugins updaten/vernieuwen
  2. WordPress updaten/vernieuwen
  3. Kijken of er een theme update beschikbaar is
  4. De website beveiligen
  5. De server beveiligen
  6. Wachtwoorden van de database, gebruikers veranderen

Feit: Het updaten van plugins lost de hack niet op

Als je op update klikt in je WordPress plugin area zullen (op moment van schrijven) alleen de bestanden ge-update worden en niet de gehele plugin.

plugin updaten wordpress

Kortom hack bestanden blijven er nog in staan en worden niet verwijderd.

Fabel: Eens beveiligd is altijd beveiligd

Was het maar zo. Hoe goed je de website nu ook beveiligt, de plugins die je nu gebruikt worden door veel hackers getest op mogelijkheden om te misbruiken. Wanneer ze een lek gevonden hebben wat de regels van WordPress kan omzeilen, is er geen beveiliging die dat kan tegenhouden. Simpelweg omdat een plugin, administrator rechten heeft die het toelaten om bestanden te schrijven in mappen die daarvoor bedoeld zijn.

Fabel: Er zit een bekende of ingehuurde hacker die persoonlijk bezig is om mijn site te hacken

wordpress hacker

Nee, er is niemand bezig met je website. Tenminste in 99% van de gevallen niet. Tenzij je Porsche, Nike, of de koning bent.

Het zijn programma’s die duizenden WordPress sites uitproberen en binnen komen bij de WordPress sites die niet goed beveiligd zijn of niet up-to-date zijn.

Hoe komt het dan dat mijn WordPress website gehackt is?

Iemand heeft een tijd geleden een script geschreven wat WordPress websites opzoekt en daar reclame op plaatst door de bekende lekken te gebruiken.

Feit: Een hacker kan de website manipuleren, hoe dicht de server ook zit

De hacker hoeft geen bestanden op de server te zetten of aan te passen om de website te hacken.

Ook al staat je gehele server geblokkeerd zodat elk bestand alleen maar leesbaar is en niet aan te passen..

De hacker geeft bestaande bestanden opdrachten via lekke formulieren (XSS) of via de navigatie balk van je website. Op die manieren kan hij informatie in de database zetten waardoor je site open komt te staan of waardoor er ongewenste teksten & links in je website komen te staan.

Fabel: Een dure hosting provider biedt meer garantie op een veilige website

Je kunt het zien als een Ferrari dealer, hoe goed de auto ook ontwikkeld en onderhouden wordt.. ze hebben geen invloed op de manier hoe je ermee rijdt en kunnen geen ongeluk of diefstal voorkomen.

Fabel: Betaalde premium plugins zijn veiliger dan gratis plugins

Wij maken veel mee dat juist betaalde plugins gehackt worden, dit zijn plugins die namelijk veel gebruikt worden omdat ze op diverse sites betaald/gesponsord  worden en onder de aandacht gebracht worden bij grote doelgroepen.

Tevens hebben makers van betaalde plugins het vaak net zo druk of zelfs drukker dan de hobby-ist die een plugin maakt. Wat betekent dat veiligheidsupdates op zich laten wachten.

Fabel: Meer geregistreerde leden, betekent meer risico om gehackt te worden.

Elk extra lid is een extra regel in de database, maar leden met de rol abonnee, schrijver of editor hebben bepaalde rechten en beperkingen waardoor ze geen toegang hebben tot plugins of instellingen.