Featured image for 10 misvattingen over de veiligheid van WordPress in category BEVEILIGEN

10 misvattingen over de veiligheid van WordPress

/2 Reacties/in , , , , ,

Hackers weten hoe ze via plugins, thema’s en via de server in je WordPress website kunnen komen. Maar ze maken vooral gebruik van de gewoontes die wij zelf hebben om je WordPress website te hacken.

Er zijn diverse misverstanden over de beveiliging van WordPress waarvan ik er enkele wil bespreken. Zo blijven wij de hackers een stapje voor!

De 10 meest opvallende misvattingen op een rij:

1. Niemand raadt mijn wachtwoord, dit is namelijk “Stroopwafel” en wie denkt daar nu aan..

Helaas, de scripts die geschreven zijn om websites te hacken via de login page gebruiken onder andere de woorden uit het woordenboek om wachtwoorden te raden. En ja, ook w00rden m3t c1jfer5 ertu55en.

2. Als ik mijn WordPress direct bij elke nieuwe release update, blijft het beschermd tegen hackers..

Helaas, je plugins en theme en serverinstellingen zijn ook verantwoordelijk voor veiligheidslekken. En als je alles direct na iedere release update, loop je het risico dat de plugins botsen met de nieuwe code van WordPress.

Op deze manier kan je website ook errors opwerpen met als resultaat dat de site niet meer zichtbaar wordt.

Uiteindelijk zijn errors tussen releases van WordPress en plugins er net zo vaak de oorzaak van dat je website niet meer zichtbaar is, als dat het door hacks komt.

En hoewel het updaten zorgt voor de nieuwste veiligheidsupdates zijn de hackers toch weer de eerste die een lek vinden. Die wordt pas dicht gemaakt nadat er websites gehackt zijn en bekend wordt dat er een lek in de plugin zit.

3. De concurrent heeft mijn website laten hacken..

Die kans is heel klein.

Een standaard hack script is in 90% van de gevallen de hacker.

Er gaan op dit moment meer als 1000+ scripts rond die WordPress websites testen op lekken, zichzelf bij succes verspreiden op de server en zo weer op zoek gaan naar nieuwe sites.

4. Ik heb een plugin die mijn admin verbergt en het maximaal aantal login pogingen beperkt en dus is mijn website beveiligd..

Hackers en hackscripts kunnen helaas gemakkelijk zonder het login panel in de site komen.

Via lekken in bestanden op de server zorgen scripts ervoor dat de database aanspreekbaar is en heeft een hacker (of script) het admin panel van WordPress niet nodig om pagina’s aan te passen.

5. Ik verneem het wel van de hosting als er problemen zijn met de website. Dan kan ik de website altijd nog even laten beveiligen..

Helaas wordt je website vaak genoeg direct offline gehaald, en wordt je daarna op de hoogte gesteld. Maar dan is de website tot die hersteld is niet meer bereikbaar.

Dit om de volgende redenen:

  • Een gehackte website belast de server behoorlijk
  • Een hosting partij kan je gehackte website geen spam laten versturen
  • Een gehackte website beperkt de snelheid van andere klanten in een shared pakketstructuur

Interessant om te weten: een server is in feite een hele snelle computer die de bestanden laadt en toont aan de bezoeker op internet. Hoe snel de server dan ook mag zijn, als de ene server besmet is en virussen verstuurt of pogingen daartoe doet.. houdt die de andere server daarmee bezig en werken ze tegen elkaar in.

Ongeacht of er een server en data verbinding van 100 euro is of een server en verbinding van 10.000 euro.

Kortom, ga verstandig met je website om. Update je website met gepaste regelmaat, maak backups die teruggezet kunnen worden als de site besmet raakt en om te voorkomen dat je website offline gaat.. laat de website beveiligen of ga aan de hand van de info op deze website aan de slag!

Een website vereist onderhoud.

6. Andere CMS systemen zijn beter

Andere zijn minder populair en daardoor minder in de picture. Maar deze hebben net zo vaak of vaker last van lekken.

7. Ik ga naar een duurdere hostingpartij dan is mijn website beter beveiligd

Ook al betaal je 300 euro per jaar aan je hosting, het ligt er maar net aan of ze naast de server ook kennis hebben van programmering binnen bepaalde systemen zoals WordPress.

8. Ik lees me even in, dat beveiligen kan zo moeilijk niet zijn

WordPress heeft diverse forum’s en tientallen artikelen waar mensen uitleggen hoe je de WordPress website kan beveiligen. Maar er gaan maanden overheen voordat je echt alle trucs van hackers a-tot-z kent. En dan moet je alle kennis nog up-to-date houden aangezien er continu nieuwe hacks gemaakt worden.

9. Eens beveiligd, altijd veilig

Als je WordPress op dit moment volledig beveiligd is, maar er over 1-2-3 maanden nieuwe lekken gevonden worden bij plugins, thema’s of de core van WordPress loopt je website weer risico om gehackt te worden. De beveiliging kan ervoor zorgen dat 9-10 hacks niet effectief zijn, maar waterdicht blijft het niet.
Om die reden geven wij standaard een basis garantie en kun je voordelig 3, 6 of 12 maanden garantie bijkopen zodat je over een half jaar ook nog zonder extra kosten kunt genieten van je beveiligde WordPress website.

10. Ik kan zelf zien of de website gehackt is

De meeste scripts draaien op de achtergrond van je server. Het de-facen zoals ze dat noemen waarmee ze laten weten dat je website gehackt is kom slechts 1-op-de-999 keer voor.
Daarnaast zijn er trucs waarmee een scripts zichzelf de-activeert als je ingelogd bent in WordPress. Of wanneer je de website met de pc bezoekt..

Waar je vaak wel effectief mee kunt zien of je website gehackt is: de Malware scanner van Sucuri

 

 

 

Featured image for WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin in category BEVEILIGEN

WPSCAN ondekt mogelijk lek in de SEO by Yoast plugin

/2 Reacties/in , ,

De WordPress seo plugin van Yoast is 1 van de meest bekende en meest gebruikte plugins bij WordPress websites.

Leuk weetje: Joost van der Valk, de eigenaar van deze populaire plugin die wereldwijd gebruikt wordt, is een Nederlander.

Echter, de kans dat hackers manieren zoeken om websites te hacken via deze veelgebruikte plugin is logischerwijs zeer groot. En zolang ze die niet gevonden hebben is er niets aan de hand.

Helaas heeft 1 van de ontwikkelaars van Wpscan een zwakke plek ontdekt in de optimalisatie plugin van Yoast.

Gelukkig heeft de ontwikkelaar van Wpscan dit lek netjes gemeld voordat een ander brein het lek zonder te melden gaat gebruiken voor minder prettige doeleinden.

In feite kan deze hack niet zomaar gebruikt worden aangezien je het mysqli command alleen met de juiste rechten kan doorvoeren.

Dit betekent dat de uitvoerder van het mysql command een aangemelde author, editor of beheerder moet zijn.

Maar hoe een hacker wel te werk kan gaan is als volgt, hij zet een url op je blog in een comment  (of e-mail) met een injectie code en zorgt ervoor dat je daarop kan klikken als aangemelde gebruiker met die rechten. Waardoor alsnog de data uit de database komt en via via in de handen van de hacker beland.

Dit wetende kun je het volgende doen:

1. Klik nooit op links die in 1 van  de comments op je website gezet zijn.

2. Update SEO by Yoast nu. De nieuwste versie zou een patch bevatten volgens de logs.

3. Beperk wie een author of editor is en informeer ze over punt 1.

4. Zorg ervoor dat je database niet te gemakkelijk bereikbaar is, evenals je admin.

5. Maak backups van je database waardoor je altijd je data terug kan halen als er iets met de database gebeurt.

Je kunt je WordPress website door Wpbeveiligen laten beveiligen. Naast de controle op backdoors, updaten, beveiliging en het opschonen van gehackte websites zorgt Wpbeveiligen voor de start van deze werkzaamheden voor een backup.

Zo ben je zeker dat de website bij updates die problemen veroorzaken niet zijn data verliest.

Featured image for WordPress 4.0.1 Security Release in category UPDATEN

WordPress 4.0.1 Security Release

/1 Reactie/in

Voordat je een update van WordPress doet is het altijd handig om even te kijken of het wel nut heeft. Denk hierbij bijvoorbeeld aan releases waarbij ze styling “verbeteren” of waarbij ze functies toevoegen die je niet gebruikt.

Releases kunnen er altijd voor zorgen dat je plugins botsen met de nieuwe WordPress core codes.
Overweeg hierdoor of je elke release het risico wilt lopen dat plugins ermee stoppen.

Wat ik aanraad is het updaten van je WordPress zelf handmatig te doen in plaats van de automatische WordPress update mogelijkheid te gebruiken die er sinds 3.7 in zit.

De 4.0.1 is dan weer wel interessant omdat er enkele hardening updates bij zitten en ze diverse bugs hebben opgelost die mogelijk zorgen voor lekken bij gebruikers.

Featured image for Help! Mijn WordPress admin is niet bereikbaar in category UPDATEN

Help! Mijn WordPress admin is niet bereikbaar

/29 Reacties/in

Na een update horen wij geregeld van WordPress gebruikers dat hun admin niet meer bereikbaar is.
Het komt ook vaak voor na het activeren of updaten van een plugin of thema.

Het komt ook voor dat niet alleen de admin onbereikbaar is maar zelfs heel de website. En die wil je zo snel mogelijk weer online beschikbaar hebben voor je bezoekers!
Nu kun je ons bellen en inhuren zodat je zeker weet dat de website professioneel hersteld wordt, maar wij hebben hier enkele veel voorkomende problemen en oplossingen voor als je de website zelf wilt herstellen.

Als je admin niet meer bereikbaar is na het activeren van een plugin

Plugins worden door programmeurs gemaakt en niet iedereen is ervaren of op de hoogte van de nieuwste WordPress hooks. Daardoor wil het nog wel eens gebeuren dat je admin niet meer functioneert. Van het ene op het andere moment zie je een wit scherm als pagina en kun je niets meer doen. Tenminste zo lijkt het! Je wilt de plugin de-activeren wat niet meer lijkt te gaan.

De mogelijke oplossing: Neem een FTP editor zoals Filezilla en ga daarmee naar de map Plugins (wp-content > plugins) waar je de laats ge-activeerde plugin hernoemt. Het hernoemen zorgt ervoor dat de plugin vanzelf ge-deactiveerd wordt.

plugin hernoemen

Als je admin niet meer werkt na een WordPress update

maak eerst een volledige data backup voordat je aan het updaten gaat!!

Het komt vaak voor dat WordPress ge-update wordt en je admin niet meer bereikbaar is, dit kan door een botsende plugin komen die de nieuwste update van WordPress niet kan verwerken, maar vaak genoeg komt het doordat WordPress niet goed of volledig wordt ge-update. Dan mist er een stukje code of een php file en doet je admin het niet.

De mogelijke oplossing: Neem een FTP editor zoals Filezilla en plaats de bestanden opnieuw maar dan handmatig op de server.  Je update de volgende bestanden: wp-admin, wp-includes en de root files waarbij je de wp-config en de themes + plugin mappen niet overschrijft. Zie ook de onderstaande afbeelding voor het vernieuwen van WordPress, en belangrijker nog: het bewaren van de juiste bestanden.

De WordPress core vervangen na een mislukte update

De bestanden die je niet mag vervangen zijn rood gemarkeerd op de onderstaande afbeelding. Dit zijn unieke bestanden met aangepast informatie.

De wp-content map bevat je plugins en je thema’s. Mocht je een thema gebruiken die bijgewerkt is door een vormgever is het natuurlijk niet prettig als die overschreven wordt.

Ook de wp-config.php moet je bewaren. Daar zitten je gegevens in om contact te maken met de database.

En de Htaccess is belangrijk, daar zit je permalink structuur in.

De overige bestanden die je ziet op deze onderstaande afbeelding kun je overschrijven met bestanden uit een nieuwe WordPress release.

wordpress belangrijke bestanden

Werkt je website na het handmatig inzetten van de bestanden nog niet? Dan kan het nodig zijn om de oude versie van WordPress terug te zetten. Op WordPress.org kun je ook oudere varianten downloaden en die op de server zetten.
Al is dat eigenlijk een weg die je niet in wilt gaan, maar soms is het nodig voor bepaalde plugins met verouderde code.

 

Featured image for Meest voorkomende WordPress problemen en de oplossingen! in category HOSTING

Meest voorkomende WordPress problemen en de oplossingen!

/208 Reacties/in , ,

WordPress is een goed Content Management Systeem, met veel mogelijkheden. En met plugins kun je de website net zo uitgebreid maken als je zelf wilt.

Toch komt het geregeld voor dat de codes van plugins onderling botsen, of na een update niet meer werken. De programmeurs stemmen de plugins niet op elkaar af wat betekent dat ze allemaal hun eigen jQuery Library gaan laden, of misschien dezelfde functienamen gebruiken.

Dan kun je denken dat de website gehackt is, maar dat hoeft helemaal niet zo te zijn.

Er kunnen diverse problemen ontstaan, daarom hebben wij de meest voorkomende vragen en problemen hier beschreven en voegen we er direct een oplossing aan toe.

Problemen & oplossingen: de installatie

[cta-oplossen-probleem]

Ik moet database gegevens invullen, wat zijn dat?

Database gegevens bij de installatie worden gebruikt om WordPress toegang te geven tot de MySql database.

In de database worden de meeste instellingen opgeslagen.
Denk hierbij aan:

  1. De teksten van de pagina’s en berichten.
  2. De instellingen van plugins en je thema.
  3. De gebruikers

Die MySql database gegevens heb je wellicht van je hostingprovider gekregen toe je de gegevens van je hostingpakket ontving.

Het kan ook zijn dat je deze nog zelf aan moet maken, dit kan vaak via het panel van je hostingprovider of via een Cpanel of DirectAdmin.

De database gegevens zelf spreken voor zich, je hebt een database naam, een user/gebruikersnaam waarvan je er meerdere aan kan maken binnen een database en een wachtwoord. Daarnaast nog de table prefix zoals WP_. (die standaard wp_ prefix kun je het beste veranderen in een unieke prefix vanwege de veiligheid!)

Waar zijn mijn pagina’s en hoe krijg ik een statische pagina als homepage?

De pagina’s moet je na de installatie aanmaken.
Wees gerust je hoeft geen pagina’s meer te uploaden, dat is juist het voordeel van CMS!
Je maakt nieuwe pagina’s aan met enkele muisklikken binnen het pagina beheer in het WordPress Admin systeem. De hoofdpagina ofwel home is vaak een blogpagina die de artikelen verzamelt en rangschikt op datum, velen willen een statische pagina zodat ze zelf kunnen invullen wat daar komt.

Maak daarvoor een pagina aan en zet die bij Instellingen  >lezen in je admin panel op die aangemaakte home pagina als zijnde statische startpagina/homepage.

wordpress homepage setting

Problemen & oplossingen: teksten & pagina’s

De witruimte tussen mijn regels zijn weg na het opslaan van mijn pagina, waarom verdwijnt mijn “enter” opmaak?

Dit is een typisch probleem wat iedere blogger en website beheerder meemaakt. Het komt omdat er een zelfbeschermingsregeling is binnen het systeem die ervoor zorgt dat je de opmaak gebruikt die het internet prefereert. Dit betekent dus het gebruik van titels en andere opmaak in plaats van een brake. Je lost dit op door de Tiny Mce Advanced Editor plugin te installeren en dan bij de setting van die plugin aan te geven dat WordPress moet stoppen met het verwijderen van brake en paragraph spaces. Wat echter ook kan helpen en soms nog steeds nodig is, is het het stylen van de ruimtes tussen paragraphs. Dit doe je door naar de css te gaan en de p { tag te wijzigen of aan te maken en er een Margin-bottom: 10px; bij te zetten. Padding-bottom kan ook als de margin niet werkt binnen je theme.

Waarom worden de  afbeeldingen in mijn artikelen/posts zijn niet zichtbaar na het uploaden?

Ik kan geen foto’s in mijn artikelen zetten, na het uploaden verschijnt de afbeelding niet of zie ik bij internet-explorer een rood kruis. Dit komt veel voor en is relatief simpel te verhelpen. Het heeft te maken met het ontbreken van een “uploads map” of met de ontbrekende schrijfrechten. Controleer eerst of de uploads map aanwezig is: ROOT>wp-content>”uploads”. Maak handmatig een uploads map aan met een FTP programma. Wanneer de uploads map al aanwezig is klik je met de rechter muisknop op de map en kies je “CMOD of SCHRIJFRECHTEN” en zet je die op 777. Ze zullen waarschijnlijk op 664 staan wanneer het uploaden van afbeeldingen niet werkt.

Problemen & oplossingen: het thema

WordPress is een bijzonder systeem dat met een standaard aantal php theme-files veel verschillende pagina’s genereert. De grafische bestanden die een output geven aan tekst en informatie worden samengevat in een “theme” map. De belangrijkste bestanden die je nodig hebt of wilt bewerken wanneer er wijzigingen nodig zijn binnen een website zijn:

  1. Header.php
    Hier staat de doctype declaratie in, de meta tags, en de pre-Javascript/jQuery coderingen. Ook een visueel deel van de website, is erin opgenomen. Denk hierbij aan bijvoorbeeld het navigatie menu,  het logo en soms een slogan (H1)
  2. Page.php
    De page.php genereert de globale pagina waarbij het de header.php en de footer.php opvraagt. De file is de basis achter de pagina’s na de index/home page. Het vraagt zoals genoemd de bovenstaande op maar ook de content, de sidebar op per pagina.
  3. Style.css
    De style.css is de stylesheet, alle opmaak – kleuren – lettertypen en afmetingen staan hierin opgeslagen.
  4. Index.php
    De index.php is ongeveer hetzelfde als de Page.php op uitzondering dat de file slechts gebruikt wordt om 1 pagina te genereren; de homepage. Vaak wijkt deze af van de Page.php omdat er andere informatie in de sidebar vertoont wordt of doordat er een samenvatting te lezen is van de laatste posts.

Problemen & oplossingen: het admin

Mijn admin is niet meer bereikbaar?

Je ziet een witte pagina, of krijgt een error te zien. TIP: Soms kun je meer informatie te zien krijgen als je de debug_mode op TRUE zet in je wp-confing.php aangezien de errors dan vollediger worden weergegeven zodat je exact weet door welk bestand of plugin het probleem komt.

Admin niet meer bereikbaar na updaten plugins
Het komt geregeld voor dat een plugin errors veroorzaakt, in dat geval kun je via de ftp de bewuste plugins die je geupdate hebt de-activeren door de mapnaam te veranderen.
Daarna werkt het admin vaak weer.

Admin niet meer bereikbaar na updaten WordPress

WordPress updates lopen niet altijd vlekkeloos, en wanneer bestanden niet volledig vervangen worden tijdens de update loopt je website tegen errors aan. Plaats de nieuwe update van WordPress dan handmatig op de server. (Maak eerst een complete backup van alle bestanden en database voordat je aan de slag gaat)

Het gaat hier om de volgende mappen die je opnieuw kunt uploaden:
– wp-includes
– wp-admin <- Vooral die!
En de base files die in een nieuwe download van WordPress zitten.

Let op: enkele bestanden en mappen die je NIET moet overschrijven zijn de Htaccess, de wp-config.php en de wp-content map, deze bevatten unieke informatie die niet in je nieuwe WordPress installatie staan.

Problemen & oplossingen: ik ben gehackt

Als je website ongewenst reclames bevat of spam verstuurt, ben je waarschijnlijk gehackt. Meestal niet door een persoon maar door een geautomatiseerd script. In dat geval kun je contact opnemen of direct een herstel & beveiliging aanvragen zodat wij het voor je op kunnen lossen.

Voorkomen is beter dan genezen luidt het Nederlandse spreekwoord. Daarom raden wij aan om een preventieve beveiligingsplugin voor WordPress te installeren.