Featured image for Een WordPress Multisite beveiligen in category BEVEILIGEN

Een WordPress Multisite beveiligen

/2 Reacties/in , ,

Een WordPress multisite beveiligen, is dat nu anders dan het beveiligen van 1 enkele WordPress site?

Je hebt meer data, wat voor zich spreekt. Onder andere meer tabellen in 1 database. Alle reguliere tabellen van 1 enkele site verdubbelen zich voor elke site die je toevoegt.

Wanneer je bijvoorbeeld de gebruikelijke tabellen heb zoals wp_options, wp_posts, heb je deze nu met een andere prefix erbij. Denk aan wp1_options, wp1_posts.
Zo ook met de users, de user_meta etc.

multisite in wordpress database

Wat gebeurt er op server niveau wanneer je een Multisite gaat inrichten?

In de map uploads krijg je nu een map “sites” met een gelijknamig nummer als in de database. Bij je eerste site zal er simpelweg een map aangemaakt worden die “1” heet. Hier worden alle bestanden gezet die je als gebruiker van die site upload.

wordpress multisites

Even tussendoor, de wp-config krijgt enkele extra regels wanneer je start  met een Multisite waaronder:
define(‘WP_ALLOW_MULTISITE’, true);
(Verwijder deze dus niet!)

Wat gebeurt er met de users?

Belangrijk om te vermelden, een gebruiker die zich inschrijft als abonnee is direct geabonneerd op alle sites binnen je Multisite.

En de admin’s van een site binnen de Multisite kunnen geen plugins installeren, ook geen thema’s. Dit moet de zogenoemde “Super Admin” van de Multisite doen.

De voordelen van een Multisite

Je hebt meerdere websites maar gelukkig 1 WordPress die je kunt updaten. Je hoeft niet alle WordPress sites langs te lopen. Zo ook met de plugins, de plugins uit de hoofdmap worden gebruikt en je hoeft dus niet alle plugins langs te lopen van iedere site.

Is een Multisite minder veilig dan 2-3-4 losse WordPress websites?

Het hangt er geheel vanaf hoe je met de sites omgaat.

Het risico dat je hebt met losse sites is dat je niet alles op tijd update.
Het nadeel van een Multisite is het probleem dat ontstaat wanneer ze eenmaal in je database kunnen, dan kunnen ze direct bij de content van alle sites.

Bij de keuze voor een Multisite moet je tevens rekening houden met meer aanvallen op de database, aangezien die gekoppeld is aan meerdere websites.

Het gebruik van goede wachtwoorden, unieke usernames, up-to-date plugins is bij elke setup de sleutel tot een goede veilige website.

 

 

Featured image for Help! Mijn hosting provider heeft mijn WordPress offline gezet in category BEVEILIGEN

Help! Mijn hosting provider heeft mijn WordPress offline gezet

/4 Reacties/in , ,

Van de 1-op-de-andere dag hoor je van je webhoster dat je WordPress website spam verstuurde en dus offline is gezet totdat dit opgelost is.

Dit gebeurd wekelijks met WordPress websites en het is de enige manier voor de webhoster om de server en alle andere klanten te beschermen tegen de problemen die een website veroorzaakt die spam verstuurt.

Waarom een Webhoster de website offline heeft gezet

Als je website spam verstuurt, krijgt het IP adres waar de spam-mails vandaan komen een rapportage op de zwarte lijst van bedrijven die de mail filteren.

Op het moment dat het IP adres gerapporteerd is, komen e-mails vanaf dat IP adres dan ook niet meer aan.

Wat betekent dat alle klanten die op de server staan met dat IP adres hier last van kunnen hebben.

Daarom handelt een webhoster snel en zet hij een website offline totdat je alle spam bestanden hebt verwijderd.

De stappen die je moet ondernemen

Je wilt je website natuurlijk zo snel mogelijk online hebben. Dit betekent dat je de spambestanden van de server moet verwijderen.

Maar het verwijderen is alleen het oplossen van een resultaat. De oorzaak die heb je nog niet verholpen.

Daarom zul je al de mogelijke plugins moeten updaten, je thema, je WordPress zodat die mogelijke lekken dicht zijn en de spam bestanden niet snel meer op je server komen te staan.

In veel gevallen is het helaas nog een stukje ingewikkelder om de server goed schoon te krijgen omdat de lekken gebruikt zijn om backdoors in je uploads mappen te zetten die je dus ook moet verwijderen. Je kunt hiervoor alle php bestanden uit de uploads mappen verwijderen aangezien er alleen media zoals afbeeldingen, video, pdf’s horen te staan.

De database

Sommige lekken geven toegang tot de database waar dan ook backdoors in komen. Denk aan nieuwe beheerder-accounts of javascripts die in de content verschijnen.

De database moet je daarom ook goed nakijken.

WPbeveiligen, de oplossing voor alle zorgen

Zoals je hebt kunnen lezen, zijn er nogal wat zaken die je moet regelen voordat een webhoster je website weer online kan zetten.

Voor velen is het gemakkelijkste gebleken om ons te bellen en ons al deze zaken te laten regelen.

Wij zorgen er tevens voor dat je website van de zwarte lijst af komt en communiceren met je webhoster zodat je website zo snel mogelijk weer online komt.

Laat je WordPress website herstellen en beveiligen!

Featured image for WordPress beveiligen: van A-tot-Z in category BEVEILIGEN

WordPress beveiligen: van A-tot-Z

/3 Reacties/in , , , ,

Admin was jarenlang de standaard gebruikersnaam bij nieuwe WordPress installaties. Velen veranderden dit niet waardoor duizenden WordPress websites gehackt zijn.
En nog steeds wordt die username te vaak gebruikt!

Backdoors zorgen ervoor dat een hacker via 1 lijn code weer in je WordPress website kan komen.

Code is vaak geschreven in php en daarna gecodeerd naar base64 zodat de server het niet herkent.

Dagen achter elkaar spam versturen zorgt ervoor dat je website op de spamlist komt

Errors op je site zonder dat je aanpassingen hebt gedaan? Dat kan een hacker geweest zijn maar het gaat ook wel eens verkeerd tussen WordPress, plugins en thema’s tijdens automatische updates

Filezilla is het meest gebruikte programma om je serverbestanden mee te beheren. Zo kun je op wijzigingsdatum kijken om te zien welke bestanden door een hacker zijn aangepast.

Gegevens zoals je wachtwoord gaan gecodeerd de database in, die gegevens kun je niet meer uitlezen. (Wel aanpassen.)

Hackers schrijven scripts en laten die op internet rondgaan, zo worden duizenden websites aangevallen. Ze houden zich nauwelijks bezig met het aanvallen van specifieke websites.

Illegale plugins worden vaak voorzien van backdoors en spamscripts.

Javascript wordt veel gebruikt voor overschrijven van informatie in je website. Bijvoorbeeld zodat alle links ineens vervangen worden door links naar websites waar de hacker geld aan verdiend. Die code is soms maar heel kort en hoeft niet eens in je thema of templates zelf te zitten. Daardoor is de code soms lastig te vinden.

Klanten die reclame zien of een website waar een error te zien is, zullen die website meestal niet opnieuw bezoeken op een later tijdstip. Ze Googlen direct naar een andere site die ook soortgelijke diensten of producten aanbied.

Leren om hacks te verwijderen en WordPress te beveiligen kost maanden. Dit aangezien hackers wekelijks pogingen doen om met slimme scripts in je WordPress website te komen en er duizenden scripts actief zijn en er iedere dag bij komen.

Matt Mullenweg is de oprichter van WordPress. Hij ontwikkelde WordPress op zijn 19e.

Notepad++ en zelfs de standaard versie van Notepad in Windows zijn tools waarmee een hacker een hackscript kan schrijven. Door die eenvoud zijn er zoveel scripts in omloop.

Open source is de reden dat er zoveel WordPress websites online staan. Het CMS is gratis te gebruiken en iedereen mag er plugins en thema’s voor ontwikkelen.

Plugins zijn gratis te downloaden van WordPress.org maar ook te koop bij bedrijven. De plugins die te koop zijn noemen ze Premium plugins.

Queries zijn aanvragen op de server. Met honderden queries op diverse IP adressen wordt een ddos aanval opgezet. Ithemes security blokkeert diverse queries en limiteert ook het aantal queries die een IP adres mag doen.

Reacties op je website kunnen links bevatten met een injectie. Als je daarop klikt terwijl je ingelogd bent als administrator, voer je zomaar een commando uit tegen je eigen website.

Spam die jij in je mail inbox krijgt komt voor 80% van websites af die gehackt zijn.

Templates zoals de page template en de header template worden vaak geïnjecteerd met een reclame-link. Zo is die reclame-link direct op elke pagina van je website zichtbaar.

Uploads mappen zitten vaak vol met spam bestanden.
Dit komt omdat iedere website standaard een upload map heeft die door de server en WordPress beschreven mag worden. Dit is zelfs essentieel als je de website en plugins wilt updaten en afbeeldingen toe wilt voegen. Hackers maken graag gebruik van die mappen. De jaartallen en maanden staan er ook standaard in. Kijk daar eens als je van een gehackte website af wilt komen!

Verwijder plugins die je niet gebruikt. Ook ge-deactiveert zijn ze nog beschikbaar op de server wat voor beveiligingsproblemen zorgt.

WordPress is een zeer veilig en up-to-date systeem. Het gebruik van slechte plugins en thema’s zorgen voor de problemen.

Xss is de afkorting voor Cross Site Scripting, 1 van de grote benamingen voor lekken in websites. Waarom je Cross Site Scripting met X schrijft? Dat is omdat CSS (Cascading Style Sheets) al de afkorting CSS in bezit heeft.

Yoast Seo is een WordPress plugin gemaakt door Joost van der Valk. Een Nederlandse man. Zijn plugin is wereldwijd bekend en wordt door duizenden businessites gebruikt.
Plugins zoals Yoast Seo worden regelmatig geupdate en blijven daardoor veilig.

Zelf kun je de WordPress website beveiligen als je verstand heb van de server, de plugins, updates. Al die informatie is gratis te lezen op WPbeveiligen!

 

Hopelijk heb je meer geleerd over het beveiligen van WordPress, of heb je leuke nieuwtjes geleerd.

WordPress beveiligen gaat nog een stuk verder, dat zullen we je besparen in dit artikel. Wil je meer lezen? Breng dan geregeld een bezoekje op onze WordPress beveiligen artikelpagina.

Vond je dit artikel leuk of leerzaam? Deel het met andere zodat ze ook meer te weten komen over WordPress beveiliging!

Featured image for Kan je WordPress site naar de schroothoop? in category BEVEILIGEN

Kan je WordPress site naar de schroothoop?

/9 Reacties/in ,

Soms wordt ons gevraagd of  het wel de moeite is om de website te laten beveiligen. En dan komt er een heel technisch verhaal met veel woorden zoals de theme, de plugins, de database, de content en WordPress zelf.

Dat is voor velen niet gemakkelijk te begrijpen, dus een nieuwe aanpak:

Wat als je website een auto zou zijn?

wordpress auto

Het frame – WordPress

WordPress gaat jaren mee maar als je het nooit update kan het wel eens gebreken gaan vertonen.

De oplossing

  1. Update je WordPress vanuit je administratie panel
  2. Verwijder en upload WordPress opnieuw naar de server

wordpress updaten

De lak (Theme)

De lak, het lijkt soms alsof je website volledig verouderd is maar met een nieuw thema of een restyle is je website weer als nieuw en kun je weer met de tijd mee.

Hoe?

  1. Laat je website geschikt maken voor mobiel & tablet
  2. Plaats enkele nieuwe afbeeldingen in de tekst
  3. Een CSS codeur kan wonderen doen met wat kleuraanpassingen
  4. Zet een slider in met mooie afbeeldingen

nieuw thema

De onderdelen – Plugins

De plugins kunnen verouderen en kunnen ook wel problemen geven.

Wat kun je daaraan doen?

  1. Je kunt de plugins updaten vanuit je administratie panel
  2. Verwijder de plugin en upload deze opnieuw naar de server

plugin bijwerken

De bedrading – Database

De database zit goed weggestopt en heeft weinig onderhoud nodig. Maar je kunt het wel even doorlopen.

Hoe de database te optimaliseren?

  1. Ga naar phpmyadmin en vink de tables aan waarna je op repair/optimaliseren klikt.
  2. Verwijder oude plugins en thema’s als ook pagina’s en berichten die niet gebruikt worden.

 

Gelukkig is WordPress geen auto!

Hoewel je wat kennis en ervaring nodig hebt (of een WordPress expert) is het een kwestie van de juiste info vervangen en je WordPress website is weer zo goed als nieuw!

Wat kan WPbeveiligen hierin betekenen?

Wanneer wij je WordPress website herstellen en beveiligen lopen we direct alle bestanden na (zie het als de roest) en zorgen ervoor dat alles weer opgepoetst op z’n plek staat.

Tevens updaten of vervangen we plugins, halen oude informatie die niet gebruikt wordt weg (in overleg) en zorgen we ervoor dat je de nieuwste update van WordPress hebt.

Kortom, een herstel & beveiliging is niet alleen een optie wanneer je gehackt bent maar ook een hele goede APK en reparatie zodat je WordPress website weer een goede tijd mee kan!

Featured image for Iedere maand 10-20 plugins lek in category BEVEILIGEN

Iedere maand 10-20 plugins lek

/4 Reacties/in , , ,

Iedere maand komen er 10-20 plugins bij die lek zijn. Lek in de zin dat hackers en hackscripts de plugin kunnen gebruiken om toegang te krijgen tot je server of tot WordPress.

Nog deze maand zijn Akismet, Jetpack, Ninja forms toegevoegd aan de officiele lijst van WPscan.

Interessant als je bedenkt dat Akismet ontwikkeld is om comment spam tegen te houden!

Dit betekent overigens niet dat deze plugins direct verwijderd moeten worden, ze worden ongetwijfeld ge-update door de ontwikkelaars.
Zorg er dus voor dat je een nieuwere versie hebt van de plugin.

Wat doe je ertegen?

Je kunt moeilijk elke dag in de plugin lijst kijken om te zien of de door jou gebruikte plugins misschien een lek hebben.

Enkele stappen die je kunt ondernemen

  1. Minimaliseer het aantal plugins dat je gebruikt
  2. Update de plugins
  3. Installeer een beveiligings plugin

Deze stappen moet je ondernemen voordat je website gehackt is.

Een plugin updaten via de WordPress updater zorgt er niet voor dat plugins die lek geweest zijn direct virus-vrij zijn.

Als je website al spam verstuurt door een lekke plugin

Dan kun je de gehele WordPress website op de server nakijken op spam bestanden. Dit wordt vaak op diverse plekken gezet.. als een virus.

Laat je WordPress website herstellen en beveiligen op als je vermoed dat je WordPress website gehackt is of spam verstuurt!

Featured image for Welke plugins je veilig in 2016 kunt gebruiken in category BEVEILIGEN

Welke plugins je veilig in 2016 kunt gebruiken

/2 Reacties/in , , ,

Enkele waardevolle plugins die goed up-to-date gehouden worden

  1. Yoast seo – voor het beheren van je Beschrijving en Titel in Google
  2. Ithemes Security – Voor het beveiligen van je WordPress (Deze plugin heeft de afgelopen maand 3 nieuwe releases gelanceerd! Over up-to-date gesproken)
  3. ACF – Advanced custom fields. Hiermee kun je zoveel functies aanmaken en standaarden genereren binnen WordPress en zo voorkom je weer dat je 4 andere plugin nodig hebt voor enkele functies.
  4. Contact form 7 – Voor het maken van contact formulieren met velden op maat

Als beveiliger van websites bij WPbeveiligen zie ik wekelijks WordPress websites die te veel plugins gebruiken waardoor de website traag wordt en het risico loopt om gehackt te worden.

Het installeren van een plugin is zo gebeurd, maar het is niet aan te raden om zomaar van alles te downloaden en te activeren.

Do’s en dont’s met plugins

Wat je niet moet doen met plugins:

  • Meerdere beveiligingsplugins inzetten in de hoop dat ze allemaal bij elkaar de hackers op afstand kunnen houden.
  • Meer dan 10 plugins inzetten. Het vertraagt je WordPress website en elke plugin kan nu of later een lek bevatten.
  • Backups draaien via 3-of-meer plugins. Je dataruimte raakt snel vol en voor je het weet update WordPress niet meer of kun je geen afbeeldingen meer uploaden omdat je datalimiet  overschreden is.
  • Plugins langer dan een jaar niet updaten. Je kunt best even een maandje of langer wachten om zeker te zijn dat de bugs/kinderziektes eruit zijn maar wacht niet te lang!
  • Schrijfrechten geven waarmee ze alle mappen kunnen gebruiken om bestanden toe te voegen of aan te passen.
  • Betaalde premium plugins gratis illegaal downloaden van een website (Er zitten vaak backdoors in)

 

Wat je wel kunt doen op het gebied van plugins:

  • Plugins gebruiken die je legaal hebt gekocht van bijvoorbeeld de Envato market.
  • Plugins downloaden via WordPress.org die goede referenties hebben en recent zijn bijgewerkt en tevens getest zijn en functioneren met de door jou gebruikte WordPress release.

 

Tip voor als je de plugins extreem wilt beveiligen:

Plugins zoals Ithemes en Yoast Seo laten sporen achter in de broncode. Klik maar eens met je rechter-muis-button en kies “broncode” dan kom je die info tegen inclusief versienummer.

Met deze gegevens kan een hacker de exploit (lek) erbij pakken en toepassen. Die beschrijvingen kun je uit de plugin coderen maar er zijn vaak ook functions.php filters voor te vinden zodat je dit niet elke plugin na update moet herprogrammeren.

 

Featured image for Wat is een backdoor in WordPress?! in category BEVEILIGEN

Wat is een backdoor in WordPress?!

/2 Reacties/in , , , ,

Backdoors zijn ontzettend irritant!

Zo, om even met de (achter) deur in huis te vallen 😉

Maar wat is een backdoor eigenlijk?

Een backdoor is een stukje code wat ervoor zorgt dat een hacker of een script toegang heeft tot je WordPress admin of tot je server.
Dit kan een bestand zijn dat de gegevens van je wp-config doorgeeft via de mail, of de ftp gegevens.

Welke gegevens je in de wp-config vindt

Hier staan je database gegevens. Als een hacker of script toegang heeft tot je database kan het pagina’s aanmaken en berichten en zelfs een nieuwe administrator gebruiker!

Wat een hacker of script met de FTP gegevens kan doen met je website

Dit zijn de gegevens waarmee meerdere bestanden geplaatst kunnen worden. Die bestanden kunnen login gegevens doorsturen via de e-mail of spam versturen.

Is er geen Nederlandse benaming voor een “backdoor”?

Jawel, dit is simpel gezegd achterdeurtje. Maar je kunt van de statistieken aannemen dat er meer internationale programmeurs zijn die Backdoors programmeren dan Nederlanders.

Hoe vind je een backdoor?

De meest effectieve manier om een backdoor te vinden is het vergelijken van de WordPress core bestanden en de server bestanden. Op NERD niveau weet ik uit mijn hoofd welke bestanden (wp- staat er o.a in de core voor) er in WordPress horen te staan dus zie ik nieuwe bestanden direct. Vooral omdat hacks internationaal zijn en dan van die rare bestandsnamen hebben.

Waarom heb je het steeds over een hacker OF script?

Als je een belangrijke website hebt, wil een hacker nog de moeite doen om je WordPress website persoonlijk te hacken en een backdoor te plaatsen. Maar 95% van de aanvallen op websites en de geplaatste scripts/backdoors zijn geautomatiseerd door scripts geplaatst.

Als je veel moeite hebt gedaan om een website te ontwikkelen, en wellicht door een ontwerper in Photoshop een mooi ontwerp hebt laten maken en deze hebt laten implementeren, ben je vaak van mening dat dit professioneel gedaan is en je website niet snel gehackt zal worden. Zeker niet door een $t0mme robot! Maar helaas de realiteit is anders. Ook al hebben de ontwikkelaars en programmeurs verstand van WordPress.. beveiliging is een hele andere wereld! En ik kan het weten. Ik ontwikkel al 10+ jaar websites maar elk jaar dat ik dieper de wereld induik van hackers en code, leer ik meer, en vooral: verbaas ik me over de creativiteit van hun codering.

Ik heb de backdoor verwijderd. Probleem opgelost?

Nee!! (sorrie)

Een backdoor is neergezet via een lek in de plugins of de server of WordPress, dus die komt er net zo snel weer in als dat je hem verwijderd hebt. Lang leve de ge-automatiseerde digitale wereld..

Kan WordPress niet beter beveiligd worden?

Jawel, daarvoor moet gekeken worden welke plugins je gebruikt en welke lek zijn. En als je WordPress enorm achter loopt, moet die worden ge-update.

Wat doen jullie van WPbeveiligen dan tegen backdoors?

  1. Opzoeken
  2. Bestand-voor-bestand nakijken
  3. WordPress opnieuw installeren
  4. Plugins verwijderen en opnieuw op de server zetten
    Alleen updaten zorgt er NIET voor dat hack-bestanden en backdoors verwijderd worden
  5. Beveiligings en monitoring plugin installeren en configureren
  6. Bestandsrechten corrigeren
  7. Usernames controleren op rechten
  8. En meer, maar een hacker hoeft ook niet alles te weten!
Featured image for Waarom je niet gemakkelijk van een WordPress hack af komt in category BEVEILIGEN

Waarom je niet gemakkelijk van een WordPress hack af komt

/2 Reacties/in , , , , ,

Hackers zijn heel creatief in het maken van scripts die niet worden herkend door de server, WordPress of plugins zoals WordFence  & Ithemes security.

Een hackers schrijft zulke scripts om via jouw website reclame te kunnen maken voor zijn eigen website waar hij gesponsorde reclame toont of producten verkoopt.

Jouw website gebruiken om bezoekers te krijgen kan op diverse manieren, als je dit artikel verder leest, weet je direct waarom een beveiligingsplugin gebruiken om je website te scannen niet voldoende is om van een hack af te komen.

WordPress hack 1: de cookie methode

Door middel van een cookie zorgt het hackscript ervoor dat het slechts 1x per gebruiker actief geladen wordt. Door die eenmalige activatie ga je er als website eigenaar bij het testen vanuit dat de hack weg is, als het je überhaupt al de eerste keer opgevallen is. Het script zorgt er ook voor dat het alleen actief wordt wanneer een user agent aangegeven wordt. Kortom, de server die geen Chrome of mobiel is zal geen actief script tegen komen.

WordPress hack 2: de base64/eval methode

De code wordt geschreven in een gecodeerde php taal. Hierdoor merken diverse scanners niet welke functies er uitgevoerd worden in een php bestand. Het zijn cijfers en letters waardoor je de output van de code niet kunt gebruiken om de source op te sporen en aan te passen door middel van een reguliere search & replace.

base64-voorbeeld

Voorbeeld van een stuk Base64 code

WordPress hack 3: de admin methode

Als eigenaar van de website is de kans groot dat je ingelogd bent op het afmin panel van WordPress.

Hier houden hacks rekening mee, door zichzelf uit te schakelen wanneer een administrator aangemeld is. Zo werken de beveiligingsscanners dus ook minder effectief of zelfs helemaal niet.

WordPress hack 4: de iframe methode

Door het inzetten van 1 simpele regel code kan een dynamisch iframe geladen worden waar later elke pagina mee opgeroepen kan worden.

Doordat deze via javascript geladen wordt staat deze code niet op de plek waar hij een zichtbare output in de broncode krijgt.

En om het dan nog erger te maken wordt er vaak rekening gehouden met de host user waardoor niet elke browser de iframe toont.

Door middel van wat inline code wordt de iframe aan het zicht onttrokken.

WordPress hack 5: De Htaccess methode

Je zou hem gemakkelijk over het hoofd kunnen zien. In je root staat de Htaccess. Dit is een bestandje die de browser kan doorverwijzen naar andere pagina’s. De truc die vaak wordt gebruik is het doorverwijzen van enkel android toestellen naar een domein waar een bestandje draait die bij elk bezoek doorverwijst naar een andere website uit de lijst met malware sites. Op de pc zie je er niets van en wordt je niet doorgestuurd.

Naast deze 5 methodes die we net besproken hebben zijn er nog veel meer mogelijkheden die de servers toelaten om bezoekers om te leiden naar malafide websites. Voor de gewone programmeur zijn deze methodes onbekend en om die redenen kom je niet zomaar van een hack af.

Als beveiliger van WordPress websites heb ik een groot aantal trucs gezien en gaat er een belletje rinkelen als de reguliere opschoningstechnieken zoals grondig speuren + updaten + verwijderen + scannen niet oplevert.

Op zulke momenten worden de hi-tech trucs gecontroleerd.

Om jezelf wat slapeloze nachten te besparen en dagen research, kun je altijd contact opnemen met WPbeveiligen.

Met standaard garantie en mogelijkheden om de service van WPbeveiligen uit te breiden naar een garantie van 3, 6 of 12 maanden, ben jij zeker van een beveiligde website zonder dat je zelf alle kennis in huis moet hebben om preventief en actief de hackers en virusscripts tegen te houden.

Featured image for Zou je WordPress nog wel gebruiken als start van een nieuwe website? in category ANTIVIRUS

Zou je WordPress nog wel gebruiken als start van een nieuwe website?

/2 Reacties/in , , , ,

WordPress lekken gevonden in alle versies voor 3.8 – updates nodig, WordPress 3.9 lek nog een update, lekken gevonden in WordPress 4.0, WordPress 4.1…

Deze nieuwsberichten lees je steeds vaker. Zoals ik in eerdere artikelen schreef, neemt WordPress een groot deel van het internet in beslag en richten grote aantallen hackers (lees hier waarom) zich op WordPress wat helaas succes heeft bij veel websites die niet up-to-date zijn.

De vraag die daardoor zowel bij mij en mijn klanten opkomt is daarom terecht:

Zou je WordPress nog wel gebruiken als basis?

Het antwoord is nog steeds: ja

Maar…

De jaren dat iedereen met een beetje lezen een WordPress online kon zetten, er een aantal plugins en een thema voor kon downloaden en klaar was met de site en het onderhoud, zijn voorbij.

Is WordPress slechter geworden?

WordPress is niet slechter geworden. WordPress is nog steeds in handen van de ontwikkelaars die met hart en ziel aan de verbetering van dit systeem werken.

Elke keer wanneer een lek bekend wordt, zorgen ze ervoor dat er een veiligheids- update uitgebracht wordt. Kortom de kwaliteit is nog steeds hoog en de snelheid waarmee WordPress bijgewerkt wordt, is meegegaan met de nood.

Tevens is WordPress is nog steeds voorzien van wachtwoorden, de database en de laagdrempelige manier waarmee je websites op kunt zetten. WordPress stuurt nog steeds bij en zorgt hierdoor dat het 1 van de beste CMS-en blijft dat goed functioneert.

Hoe kun je WordPress dan zonder problemen gebruiken?

WordPress op zichzelf is een goed systeem, waar je echter rekening mee moet houden als je een WordPress website wilt opzetten.

Er zijn enkele “spelregels” die veranderd zijn door de vele pogingen van hackers en de diverse virussen die rondgaan op het internet.

De “spelregels” van WordPress in 2015

wordpress spelregels

  1. Gebruik maximaal 5-8 plugins
    Elke plugin is een deur die gebruikt kan worden door hackers. De plugins worden ook door programmeurs ontwikkeld die “het grote geld ruiken” en even snel een plugin maken zonder deze te updaten of te beveiligen wanneer er lekken (exploits) gevonden worden.
  2. Update WordPress op geregelde basis
    Niet elke update is gericht op veiligheid, je hoeft daarom ook niet elke update te volgen en kunt soms het beste wachten tot de kinderziektes uit de update zijn.
    Er zitten wel eens bugs in, en de plugin ontwikkelaars hebben ook even nodig om hun plugin bij te werken aangezien die wellicht hangen op de code van de vorige WordPress versie.
  3. Kies een unieke gebruikersnaam, wachtwoord en schermnaam
    1 van de eerste woorden die een spambot uitprobeert is je schermnaam, websitenaam, variaties daarvan.
    Kortom: wees creatief en gebruik geen “woordenboek woorden” en zet er een cijf#r en HooFdletter tussendoor.
  4. Een beveiligingsplugin zoals WordFence, Securi, Ithemes Security is geen overbodige luxe
    Deze plugins zorgen ervoor dat je gemakkelijk in kunt stellen of elke bezoeker door de mappen van je server kan bladeren, of de versie van WordPress zichtbaar is, waar het admin panel te vinden is, of bestanden schrijfbaar zijn, of lange query’s via de navigatiebalk gebruikt mogen worden, of tientallen inlogpogingen zorgen voor een ip-ban en meer.
    Om je WordPress website nog enigszins veilig te houden heb je 1 van deze plugins nodig.
    Let op: je moet deze dan ook goed instellen!
  5. Zorg ervoor dat er geen keyloggers op je pc staan
    Via kleine scripts van het internet, een pagina of een add-on in je browser kunnen ze je data opvangen en doorsturen. Zorg ervoor dat je een goede antivirus gebruikt op de pc.
    Tip: Avira heeft een goede gratis virusscanner!
Featured image for Premium theme's: voor & nadelen van premium themes in category BEVEILIGEN

Premium theme’s: voor & nadelen van premium themes

/3 Reacties/in , ,

Premium themes van Themeforrest, Elegant themes en veel andere grote theme developers worden zeer veel gebruikt. De thema’s zijn mooi, veelzijdig en zien er professioneel uit.

Dat weten de programmeurs maar al te goed, maar de hackers helaas ook. Hackers weten dat de theme’s miljoenen keren zijn gedownload en gebruikt worden over de hele wereld. Om die reden richten hackers zich op die premium themes en schrijven ze scripts die de lekken (exploits) van de themes gebruiken om bestanden neer te zetten op de server.

Wat die bestanden doen kun je hier lezen. En hoe je die geplaatste bestanden kunt herkennen kun je hier lezen.

De premium theme’s hebben enkele grote nadelen als het gaat om de veiligheid van je website. Ze bevatten 2 tot 20x meer code dan eigenlijk nodig is.

Waarom Premium themes meer code bevatten dan nodig is

De premium themes zijn ervoor gebouwd om flexibel te zijn, ze bieden daarom mogelijkheden om content op diverse manieren te tonen. Al deze functionaliteiten worden voor-geprogrammeerd.
In plaats van 3 templates voor de home, sub en single pages hebben ze er 8 + sitebuilders en nog een aantal bestanden die de templates aansturen als je binnen die vorm nog wilt schuiven met de content, of een slider, of functies zoals social media etc.

Ook al gebruik je deze functies niet, ze staan wel op de server en zijn voor hackers te benaderen en wanneer je website niet goed beveiligd is, kunnen ze bestanden zelfs uitvoeren waardoor ze veel macht hebben.

Verkeerd gebruik van Premium themes

Mits juist gebruikt is een premium theme een “goedkope” oplossing voor het ontwikkelen van een website. Echter zie ik vaak de fout dat deze flexibele thema’s niet correct gebruikt worden en “voor het gemak” grafische aanpassingen buiten de mogelijkheden van het thema om in de code gezet worden. (hardcoding)

Wat je dan krijgt is dat je de theme niet kunt updaten! Aangezien een update nieuwe bestanden bevat en je dus grafische veranderingen krijgt. Vooral wanneer een programmeur de code erin heeft geschreven (wellicht ook door gebrek aan kennis van premium themes en alle mogelijkheden) kun je als website eigenaar geen update doen zonder alle aanpassingen van de vorige keer weer door te laten voeren in de nieuwe.

Vaak worden premium themes daarom niet ge-update en bevatten ze lekken.

Een premium theme “gratis” downloaden

Het “gratis” downloaden van een premium theme die eigenlijk betaald moet worden, is de grootste fout die je kunt maken!

De personen die deze betaalde theme’s erop zetten, plaatsen GRATIS een stukje extra code in de theme.

Die code publiceert informatie waarmee ze de theme terug kunnen vinden in Google, ze laten dan een query los op je website en hebben daardoor toegang tot je server, de website, je WordPress admin.

Kortom zoals ik in een vorig artikel schreef: goedkoop is duurkoop, hacken is gratis.

Het juiste gebruik van een premium theme

Voor het gebruiken van een premium theme moet je jezelf inlezen in de mogelijkheden, daarna kijk je rustig even door alle menu’s die het thema in je admin heeft gezet en bekijk je de mogelijkheden zodat je een invulling kunt geven aan je website.

Bij de meeste premium theme’s zijn er voor-geprogrammeerde mogelijkheden voor het invullen en kiezen van de volgende zaken:

  • Je logo
  • De sliders (middels een build-in-slider of revolution slider)
  • De kleuren van het thema
  • De intro teksten, landingspagina teksten, de author teksten
  • De favicon (het kleine bookmark icoontje)
  • Lettertype keuzemogelijkheden
  • Formulieren
  • en meer..

En de thema’s bieden dan ook nog mogelijkheden voor in-content shortcodes, tabs en jquery oplossingen en meer.

Kortom, als je zo’n thema hebt gekocht kun je ontzettend veel, en is het geen goed plan om dingen “even gemakkelijk” te hardcoden in het thema zelf.

Wanneer je alle instellingen in het admin panel en WordPress zelf hebt gedaan, kun je, nadat je een backup hebt gemaakt, je thema updaten wanneer er een nieuwe versie uit is.
Diverse thema’s bieden hiervoor ge-automatiseerde updates, en andere moet je handmatig via de ftp doen.

Tip voor programmeur/vormgevers

Elegant themes geeft je voor 1 vast bedrag toegang tot alle themes. Ze hebben nog enkele plugins zoals extra shortcodes die je kunt downloaden en ze hebben thema’s in diverse categoriën.