Featured image for Rapportage 2019 - Malware trends, trucs en technieken in category ANTIVIRUS

Rapportage 2019 – Malware trends, trucs en technieken

/6 Reacties/in , , , , , ,

Sucuri heeft een overzicht uitgebracht met de trends op het gebied van hacks, hackers en malware van het afgelopen jaar. Het overzicht telt 43 bladzijde en is volledig in het Engels.

Maar aangezien wij het toch doorlezen, delen we direct de diverse interessante punten met jullie. In het Nederlands! We voegen onze ervaringen er aan toe, zodat je een compleet begrip krijgt.

Voorwoord: Zonder up-to-date kennis geen zicht op hackers & Malware

Het belangrijk is om up-to-date te blijven in de altijd-veranderende wereld van Malware.
Up-to-date kennis zorgt ervoor dat je weet waar je naar moet kijken.

2019 heeft laten zien dat de technieken van hackers en de door hun ontwikkelde Malware op een steeds hoger niveau komt. Dit door de mogelijkheden van het internet, maar ook omdat de buit steeds waardevoller wordt. Websites maken steeds meer deel uit van ons leven en inkomsten. WordPress als platform is nog steeds groeiende.

Type hacks in 2019

Onderstaand de trends op het gebied van hacks, en vooral de effecten van de hacks.

1 62% van de hacks bestaan uit SEO spam

wijzerLinks naar webshops, linkbuilding of zelfs platte reclame middels banners in je website. Dat is wat het meeste voorkomt: Ransomware – Het gijzelen van je website tot betaling & defacing – Het aanpassen van de style is veel minder aan de orde geweest.

SEO spam, het plaatsen van links in je website gebeurt volledig geautomatiseerd. In ieder bericht en pagina een link, binnen een paar seconden met een script dat gebruikmaakt van een lek of in 47% van de gevallen via een backdoor: Een achterdeurtje dat geplaatst is tijdens een eerdere hack.

2 Technische ondersteuning met valse bedrijfsnamen

Ook een veelvoorkomend probleem. Wat er gebeurt, is dat je een (valse) melding op een website ziet dat de computer geïnfecteerd is.

telefoonDe melding lijkt van Microsoft of een ander betrouwbaar bedrijf te komen, je krijgt een telefoonnummer te zien dat je wel “zal helpen” om je computer weer op orde te brengen. NOOIT BELLEN!
De reparatie van je geïnfecteerde computer gaat natuurlijk nooit gebeuren, in het ergste geval worden er juist aanpassingen gemaakt waardoor je hun dienst als “tech bedrijf” vaker nodig zult hebben.

Nu denk je, daar trap ik niet in!

Maar een ander misschien wel, iemand die zo’n melding krijgt wanneer ze jouw website welbekende en vertrouwde website bezoeken, die trappen er misschien wel in. (Het zijn vooral de ouderen die om de tuin geleid worden.)

Je wilt daar natuurlijk geen deel van zijn, je wilt niet dat die virusmelding van een nep-bedrijf getoond wordt op jouw website. Het gaat ten koste van jouw goede reputatie, ook al trapt iemand er niet in.. ze zien het wel als ze jouw website bezoeken!

De SEO spam en de valse tech-melding zijn alle twee zeer onwenselijke hacks die je wilt VOORKOMEN. (En dus niet achteraf pas er uit wilt halen wanneer jij de valse informatie uiteindelijk ontdekt)

3 Diefstal van creditcard gegevens

Sucuri heeft afgelopen jaar 2300+ scripts van servers & websites verwijderd waarmee creditcard gegevens gestolen en doorgestuurd werden.

creditcard veiligheidHet zal jouw creditcard-informatie maar zijn! Zo ingenieus als een WooCommerce webshop kan werken, net zo ingenieus zijn hackers wanneer ze creditcard gegevens stelen.
Onderschat dat niet als je een WooCommerce webshop hebt.

4 Cryptomining

Er is een grote afname in het aantal scripts dat de computer van de bezoeker ertoe aanzette crypto-munten te delven.

crypto1 reden is de wisseling van koersen, de daling van waarde en de antivirus-software van computers die deze dreiging zeer serieus aangepakt hebben. Cryptomining leidde namelijk tot verhoogd gebruik van de CPU en leidde op die manier tot extra (stroom) kosten voor de bezoeker van de website.

Korte samenvatting:

De bovenstaande methodes zijn er slechts 4 uit honderden. Dit zijn de meest gebruikte, maar dat wil niet zeggen dat je geen andere trucs tegen zult komen.
Met name het vissen en doorverkopen van accountgegevens loopt vaak parallel aan deze trucs.

Hou je WordPress website up-to-date, beveiligd en als je geen site hebt maar wel met deze trucs in aanraking gekomen bent: let erop dat zelfs de meest betrouwbare website gehackt kan worden en dus valse informatie kan verschaffen. Zorg ervoor dat je een goede Antivirus hebt voor je computer, dat voorkomt een groot deel van de trojans die zich op je computer proberen te installeren.

 

Featured image for Hoe de WooCommerce plugin een webshop maakt van WordPress in category BEVEILIGEN

Hoe de WooCommerce plugin een webshop maakt van WordPress

/1 Reactie/in , ,

WooCommerce is dé plugin waarmee je van WordPress een webshop maakt.
Interessant is dat WooCommerce van dezelfde makers als WordPress is, namelijk van Automattic.

Weet je dat WooCommerce een beetje het verdienmodel voor Automattic is? Nu hoor ik je denken: ,,WooCommerce is toch ook gratis te downloaden en te gebruiken zoals WordPress??”
Ja, dat klopt maar veel aangrenzende plugins hebben toch een prijskaartje. Hou daar rekening mee!

Ok, nu je weet WIE WooCommerce maakt, wordt het verhaal nog leuker.

Technisch: weet je dat WooCommerce simpelweg een WordPress uitbreiding middels de Custom Post Type is?!

De Custom Post Type is één van de vele ingebouwde functies van WordPress. Het toont in dit geval maar weer aan hoe veelzijdig de ingebouwde functies van WordPress zijn.

Maar wat gebeurt er nu exact als je WooCommerce activeert als plugin?

Pak een bakje koffie of thee, we gaan de diepte in!

De grootte van WooCommerce

Data-technisch is WooCommerce geen “extra bestandje”.
Een nieuwe download van WooCommerce telt maar liefst 22+ MB en bestaat uit 1807 bestanden.
WordPress zelf bestaat uit 1907 bestanden, waardoor WooCommerce haast voor een verdubbeling zorgt.

Let op: die bestanden worden niet allemaal gebruikt c.q. ingeladen in de website. Veel bestanden zijn opties die 1-2x gebruikt worden of alleen front-end / back-end ingeladen worden.

WooCommerce & de database

Standaard heeft WordPress 12 tabellen, WooCommerce voegt daar nog 18 tabellen aan toe.
Op de screenshot hieronder zie je in het groen de tabellen die standaard bij WordPress zitten en in het blauw de tabellen die erbij komen als je WooCommerce activeert.
WordPress plus WooCommerceDe “aanbevolen” plugins

Het aantal bestanden is verdubbeld, het aantal tabellen is met 18 toegenomen en als je dacht dat je er zo mee klaar was, komen daar nog bij  “de aanbevolen plugins” die in stap 4 bij het installatie-proces aangeraden worden.

Let op: niet alles zomaar installeren en activeren. Zie het als een auto waarbij ze racestoelen, spoilers, extra remlichten en winterbanden aanbieden.. je hebt niet alles nodig!

Aanbevolen worden:

  • Het storefront-thema
    Op zich een prima thema, gratis en redelijk aan te passen.
  • Een plugin voor de btw
    Is dit de beste? Oordeel zelf.
  • Het WooCommerce admin
    Een sneller admin, fijn voor bewerken van veel informatie, maar meerdere klanten hebben problemen met deze plugin gehad!
  • Mailchimp
    Ga je nieuwsbrieven versturen? Wil je e-mailadressen verzamelen? Dan is Mailchimp misschien iets voor je. Zelf heb ik meer met Laposta
  • Een Facebook plugin
    Activeer deze alleen als je er iets mee gaat doen, er worden API’s of verbindingen gemaakt wat je website trager kan maken
  • En in stap 5 wordt Jetpack aangeboden..
    Handig als je al met WordPress.com gewerkt hebt, enkele functies van WordPress.com worden zo beschikbaar voor deze WordPress installatie

Als je alles installeert zit je al aan 7 plugins, is dus 7x plugins updaten. Meer kans op lekken. Je WordPress wordt er niet veiliger en vlotter op. Ga spaarzaam om met het gebruik van plugins, voor je het weet heb je teveel plugins en dat zorgt voor diverse problemen!

woocommerce aanbevolen plugins

WooCommerce in de back-end

In het admin zie je nu 2 nieuwe menu items, WooCommerce & Producten

  • WooCommerce is een verzameling van instellingen, rapporten, overzicht van bestellingen en meer
  • Producten is technisch gezien de eerder genoemde “Custom Post Type”, waar je Producten & Categorieën kunt aanmaken waarmee je de uiteindelijke webshop vult.

woocommerce admin menu

Als je de WooCommerce Admin plugin geïnstalleerd hebt, zie je ook nog een menu item “analytics”.
PS: Als je error’s ondervindt, functies die niet werken.. de-activeer deze WooCommerce “admin” plugin eens. Het geeft soms botsingen tussen bepaalde thema’s of plugins.

WooCommerce voegt ook nog een reeks aan velden toe aan de gebruiker, die kun je zien bij de “gebruikers” als je op een profiel klikt. Het gaat dan om het factuur-adres en het verzend-adres.

WooCommerce aan de voorzijde, de front-end

In eerste instantie zie je weinig van de webshop.
Totdat je de pagina’s aan je menu toevoegt:

  • Winkel
    Hier verschijnen de producten.
  • Winkelmand
    Hier verschijnen de producten die klanten aangeklikt hebben om te kopen
  • Mijn account
    Hier kunnen klanten hun accountgegevens aanpassen, de eerder genoemde factuur- en verzendadressen
  • Afrekenen
    Hier kan de klant de producten betalen, standaard zit Paypall en Stripe in de webshop.
    De meesten voegen hier nog Mollie aan toe. Dit is een Nederlandse betaaldienst die iDeal betalingen mogelijk maakt. Ze hebben een speciale Mollie plugin voor WordPress

Samenvatting

Bovengenoemd zijn de technische aanpassingen die ervoor zorgen dat je van WordPress een webshop maakt.
WooCommerce maakt gebruik van de bestaande gebruikers, van het bestaande admin, van de bekende structuur voor producten en categorieën.

De stap van WordPress website naar WooCommerce webshop is voor velen niet zo groot.

Let er wel op dat je als webshop diverse wetten en plichten hebt. Dat je te maken hebt met belasting over de verdiensten, en dat je net als een echte winkel te maken hebt met voorraden, klant-afhandelingen, klachten als iets niet aankomt, en meer zaken die typerend zijn voor een webshop.

De beveiliging van je webshop

Onderschat niet dat je met klantgegevens & betaalgegevens te maken hebt, en dat je webshop daarom veilig moet zijn.

Onderstaande zaken zijn geen luxe maar noodzaak als je te maken hebt met betalingen:

  • Een SSL certificaat, ook wel bekend als https. Dit versleuteld het verkeer tussen jouw webshop en de bank/iDeal.
  • Goede wachtwoorden voor jou en iedereen die je webshop beheert.
  • Een up-to-date versie van WordPress en de plugins + je thema in verband met veiligheids-issues die voorkomen en opgelost worden door de pluginbouwers en de heren van WordPress.
  • Een back-up voor de data en database (De hoster heeft soms een dag- week- maandbackup, maar zorg ook dat je die zelf hebt in geval van dataverlies).

TIP! Wij beveiligen, monitoren en onderhouden WordPress webshops.
Je kunt ons voor een betaalbaar vast bedrag inhuren voor de beveiliging van je webshop.
Zo heb je zelf geen zorgen, geen update-problemen, geen beveiligingsproblemen.

Dit is prettig voor jezelf maar vooral belangrijk voor je klanten.

Klik op deze link om je aan te melden.

Featured image for Plugins, "het snoepgoed" van WordPress in category BEVEILIGEN

Plugins, “het snoepgoed” van WordPress

/9 Reacties/in , , , ,

54 DUIZEND gratis plugins!

WordPress.org biedt 54.826 plugins aan op dit moment.

Plugins waarmee je jouw blog of bedrijfswebsite naar een hoog niveau kunt tillen.

Maar, het is net als snoep: je moet er niet te veel van nemen, anders gaat het tegen je werken. Ook al is dat lastig, want het is zooo verleidelijk om ze allemaal te proberen.

En nu zou je zeggen, dat hebben we vaker gelezen. We weten het nu wel, niet te veel plugins, veiligheid, snelheid van de website bla bla bla..

Wij beheren veel websites,  al 10+ jaar.. we kunnen je vertellen: er wordt een potje van gemaakt!

Professionele webbureau’s

Professionele webbureau’s gooien nog steeds te veel plugins in de website. En niet alleen te veel, maar ook plugins die niet met elkaar samenwerken.

Voorbeeld: Je kunt 1 seo plugin inzetten, maar kunt kiezen uit tientallen op WordPress.org

Je hebt een plugin om Google te sturen, je hebt een plugin om xml sitemaps mee te maken, je hebt een plugin om data gestructureerd weer te geven voor Google.. etc
Nadeel: ze doen allemaal een beetje van alles. Ze overlappen elkaar ook in functies. Ze werken NIET samen! Dat merk je vanzelf als je onverwachtse resultaten krijgt of problemen met indexering in Google.

Installeren van plugins kan iedereen, maar goed instellen is een studie op zich.

De overbeladen website sneller maken met nog meer plugins?!

trage website door cachingOok zo’n mooie. We zien wekelijks websites die snel moeten zijn, en dus voorzien zijn van meerdere caching plugins.

1 voor  de speedtest, 1 voor Google, 1 voor het lazy loaden van afbeeldingen, 1 voor het cachen van Html & Css en natuurlijk 1 die de query’s samenvoegt waardoor je website nog sneller wordt! En om het allemaal weer in balans te brengen een super caching om statische pagina’s te leveren..

Dat kun je vergelijken met het nemen van Energy drink voor de energie, een paracetamol tegen de hoofdpijn van de energy drink om daarna met een maagbeschermer en een anti-misslijkheidspil aan de slag te gaan.
Gekkenhuis, niet doen!

NATUURLIJK kun je 1 plugin voor de snelheid gebruiken en 1 plugin voor de seo, maar doe wel eerst je research. Kijk welke functies ze hebben, hoe ze werken en of je ze naar wens in kunt stellen.

Nog een valstrik, premium plugins

Premium plugins zijn professioneel, dus dat is in orde!

plugins met te veel functiesFOUT! Ook als je plugins koopt van 199 dollar heeft daar een team aan zitten werken dat de plugin tot een vliegtuigcockpit ombouwt.

Want de klant wil alles kunen doen! Alles kunnen beheren zonder ook maar 1 letter code te schrijven, alles moet klik and play zijn.
Heel leuk maar de impact die dat op de website heeft, dat wil je niet weten. Complete teams schrijven maanden aan code met een groot aantal functies en aanpassingsmogelijkheden waar jQuery databases voor uitgeladen worden, inline code in de html wordt gesmeten.. alles voor de verkoop van die dure plugin en voor de wensen van de klant.

Wees dus ook erg voorzichtig met premium plugins.

Houdt het bij 5-15 plugins max!

Eis van je webbouwer dat hij niet elke functie met plugins inzet.
We weten het, t’ scheelt hem werk en tijd, de kosten blijven laag maar op de lange termijn brengt het vrijwel altijd problemen met updaten en de werking van de website.

Gooi als website-eigenaar ook niet zomaar plugins in je website.

Maar ook jij als eigenaar van je website, smijt niet zomaar plugins in je website 😉
Ik weet het, je loopt tegen een probleem aan en ziet dat dit met 1-2 muisklikken opgelost is. Maar je helpt mogelijk de structuur van je website om zeep met de plugins die je inzet.

Leuk verhaal WPbeveiligen!

Van de snoepwinkel naar een verhaal over wat je allemaal NIET moet doen. Daar worden we lekker vrolijk van!

Nu je weet wat je niet moet doen, helpen we je op weg om het wel zo goed mogelijk te doen.

Plugins, wat wel te doen:

  1. Zoek uit welke plugin het beste werkt door middel van wat research.Voorbeeld: je wilt een cachingplugin inzetten?
    Zoek dan: best 5 caching plugin for wordpress in Google of duckduck 😉
    Maaaaar, let op de 1e en 2e zijn vaak reclame. Zowel in Google als op de website in het artikel zelf. Dan krijgen ze commissie als je de plugin koopt. Dus kijk gerust naar een gratis versie en neem niet de “allerbeste” waar je alleen met een betaling of abonnement aan kunt komen. Een gratis plugin is geregeld net zo goed als een betaalde.
  2. Bekijk de reviews
    Plugins hebben een “star rating”, kijk naar het aantal personen wat de waardering heeft gegeven en dan naar het aantal sterren dat de plugin verdiend heeft.
    Kijk of de plugin nog recent geupdate is, en dus bijgehouden wordt door de ontwikkelaar.

Nu nog een lijstje met gratis plugins die zich de afgelopen jaren bewezen hebben:

  • Autoptimize – Voor de snelheid van je website.
  • WooCommerce – Van WordPress zelf, voor een webshop
  • Yoast SEO – De beste plugin voor het optimaliseren voor Google
  • iThemes Security – Beveiliging is onmisbaar!
  • Count per day – Ontdek hoeveel bezoekers je website krijgt
  • UpdraftPlus – Voor de backups, je hoster bewaard beperkt

Allemaal te vinden in de geweldige plugin-bibliotheek van WordPress.org

Heb jij nog top-plugins? Of vragen? Laat het weten in de reacties!

Maar onthoud, niet te veel plugins tegelijk he!

Featured image for Zijn premium / pro plugins veiliger dan de gratis versie? in category HACKERS

Zijn premium / pro plugins veiliger dan de gratis versie?

/8 Reacties/in , , , ,

Het hoort niet uit te maken of je een premium of gratis versie van een plugin gebruikt. Ook de gratis versie moet veilig zijn! Dat is de verantwoordelijkheid die de pluginbouwer heeft.

Dat is hoe wij erover denken.

Maar…

Helaas zijn wij diverse voorbeelden tegengekomen in die uitwijzen dat een premium / pro plugin eerder ge-update wordt bij een lek dan de gratis variant.

Bij diverse plugins worden de lekken maandenlang niet opgelost in de gratis versie!!

Enkele voorbeelden waarbij de premium / pro versie veiliger is dan de gratis versie:

WordFence Security

WordFence is een plugin die je WordPress website beveiligt. En ja, de gratis versie is ook behoorlijk veilig en up-to-date.
Maar..

ze updaten de gratis versie eens per maand

Zoals ze het zelf zeggen “every thirty days“.

De premium / pro versie waar je voor betaald krijgt live updates. Dus direct wanneer het nodig is. Zowel de bestanden als de firewall die hacks tegenhouden wordt live up-to-date gehouden.

iThemes Security

Ook een plugin waarmee je WordPress beveiligt. iThemes Security geeft de betaalde versie veel meer aandacht dan de gratis variant. Een beveiligingsupdate wordt vrij vlot doorgevoerd in de premium versie maar..

soms blijft een exploit weken tot maanden hangen in de gratis versie

Diverse andere plugins

Er zijn veel voorbeelden van plugins waar lekken ontstaan die de pluginbouwers gemeld krijgen.
De patch (fix tegen de hack) wordt dan na 5-10 dagen doorgevoerd in de premium / pro versie maar de gratis versie blijft achter.

Soms blijft een lek maanden in de plugin zitten nadat een lek bekend is waarbij die zelfs uit de WordPress plugins database verdwijnt

Het goede nieuws

Wanneer gratis plugins op WordPress.org staan worden ze verwijderd totdat het lek gemaakt is.
Er zijn diverse partijen die de lekken melden bij WordPress en er is een zero tolerantie beleid wat betreft lekke plugins.

Een lek / exploit, wat moet ik me daarbij voorstellen?

Enkele voorbeelden van recente lekken in plugins:

  1. De administrator lek
    Het komt geregeld voor dat een lek in een plugin toestaat dat er een administrator account aangemaakt wordt.
    Als een hacker of script toegang heeft met administrator-rechten, kan die alles doen wat hij wil.
    Meestal wordt er reclame in je website gezet, of een script ge-upload waarmee reclame via je website verzonden kan worden naar duizenden adressen..
    En daarna worden de overige administratoren verwijderd. Kortom, je komt niet meer in je website om de hack ongedaan te maken.
    Het spreekt voor zich dat dit lek bij bekend raken zo snel mogelijk opgelost moet worden en niet weken tot maanden in een website moet zitten.
  2. De database injectie
    Plugins hebben vaak invoervelden op de front-end (Voorkant) van je website. Denk aan review plugins, contact formulieren e.d.
    Als die velden niet goed beveiligd zijn, kan een hacker of script die simpelweg misbruiken om data in je database te zetten.
    Binnen 1 seconden kan zo’n script dan administratoren aanmaken in de database, tekstwijzigingen doorvoeren in je gehele website met alle gevolgen van dien.
  3. De nieuwsbrief hack
    Heb je een nieuwsbrief formulier? Waar bezoekers zich in kunnen schrijven? In het verleden zijn er lekken in zulke plugins gevonden waardoor de hacker zijn e-mailadres kon toevoegen als aanmeldadres. Dat betekent dat iedere aanmelding van een bezoeker ook bij hem bekend werd. Je vraagt je af wat een hacker daarmee moet, maar grote aantallen e-mailadressen met namen zijn geld waard. Daar wordt reclame naar gestuurd. Er zijn personen die lijsten met e-mailadressen en voor+achternamen opkopen.
    Ook weer een lek waarvan je niet wilt dat die misbruikt wordt. Je hebt het niet snel door maar je gebruikers hebben er veel last van aangezien die de spam binnenkrijgen.
  4. Het WooCommerce lek
    Plugins die je webshop verbeteren hebben vaak toegang tot de database. In je database staan alle accounts van je klanten. Er zijn diverse lekken voorgekomen in het verleden waarbij plugins hackers toegang gaven tot de database en alle klant-informatie.
    Het behoeft geen uitleg dat zo’n hack direct of z.s.m gefixt moet worden wanneer die eenmaal bekend wordt!

Wie test mijn website op lekken?

Je verwacht natuurlijk dat jouw webshop niet vaak getest wordt. En dat een lek daardoor niet zo snel misbruikt kan worden.

Helaas werkt dit niet zoals je denkt.

Wanneer een lek bekend wordt, schrijven hackers scripts die als volgt werken:
1. Het script zoekt op Google naar webshops (Daar sta jij ook tussen)
2. Het script doet aanvragen op de websites naar de bekende lekke plugins
3. Wanneer de lekke plugins gevonden wordt, gebruik het script dat bekende lek om een hack uit te voeren

Veilig met een beveiligingsplugin, toch?

Zelfs wanneer je website beveiligd is, kan zo’n lek nog misbruikt worden. Beveiliging staat namelijk de (uit)werking van plugins toe, anders zou je website niet kunnen functioneren! De plugins up-to-date houden zodat er geen lekken in zitten is daarom erg belangrijk.

Conclusie

Nu je weet dat de bouwers van plugins de premium / pro versie eerder veilig maken.. kun je overwegen om een premium te kopen. Zeker als je afhankelijk bent van je website voor inkomsten, of als je een webshop hebt met veel klanten.

Premium is nog altijd geen garantie voor 100% veiligheid, maar uit de voorbeelden is gebleken dat het wel een verschil maakt.

 

Featured image for Verbeter je WooCommerce webshop met deze checklist in category BEVEILIGEN

Verbeter je WooCommerce webshop met deze checklist

/8 Reacties/in , , ,

De eerste indruk

Net als in een fysieke winkel moeten je producten er aantrekkelijk uitzien in de woocommerce webshop:
Volgens statistieken bepalen klanten in de eerste 5 seconden of ze door willen gaan met het uitzoeken van producten.

  1. Heb je duidelijke foto’s
  2. Een duidelijke beschrijving van het product

woocommerce producten goed fout

De uitstraling van je webshop:
Hoewel de bezoeker voornamelijk naar de producten kijkt bepaald het onderbewuste (het gevoel) ook een groot deel van de aankoop.

  1. Is je WordPress webshop goed te gebruiken op de mobiel en tablet (40% van de bezoekers gebruikt een mobiel of tablet)
  2. Heb je een duidelijk logo
  3. Is de tekst goed leesbaar (niet te klein)
  4. Passen de kleuren van je webshop bij je producten (Oranje-geel is leuk een reiswebsite maar niet bij horloges bijvoorbeeld)

uitstraling website

Gebruikersgemak

Kan de bezoeker met 1 muisklik zien:

  1. Wie verantwoordelijk is voor de webshop (Over ons pagina)
  2. Wat het retourbeleid / de garantie is
  3. Hoe anderen je diensten of producten ervaren (referenties)
  4. Of je een keurmerk hebt

Snelheid

Hoe snel laadt je WooCommerce webshop:
De top 3 van grootste redenen om de webshop weg te klikken blijken Pop-ups te zijn, misleidende teksten en een trage webshop.

  1. Weet je wat de laadtijd van je webshop is (Zou maximaal 7-10 seconden moeten zijn)
    Check de snelheid van je webshop nu op gtmetrix.com
  2. Heb je 1 optimalisatie-plugin (Denk aan Autoptimize, WP-Rocket)

snelle website

Google

Hoe staat het ervoor in Google:
70% van de bezoekers komen via Google. De beschrijving die ze zien bij hun zoekresultaat bepaalt voor een deel of ze je webshop bezoeken.

  1. Heb je een SEO plugin (Denk aan Yoast Seo)
  2. Zijn de beschrijvingen van producten en pagina’s aangepast (standaard pakt die de eerste zinnen van je webshop)
  3. Heb je een sitemap (Ook via Yoast te regelen, bij advanced)
  4. Hoeveel pagina’s zijn er geïndexeerd, zijn al je producten geïndexeerd

google webshop goed fout

Beveiliging

Is je webshop veilig voor klanten:
Klanten vullen hun betaalgegevens in, soms persoonsgegevens, huisadres en dat mag niet in handen van hackers vallen

  1. Is je webshop voorzien van een https certificaat (SSL)
  2. Is je WordPress admin beveiligd (omgeleid, beschermd tegen brute-force)
  3. Is je webshop up-to-date (plugins, WordPress core, het thema)
  4. Bevat je webshop of WordPress geen malware (Check die op rescan.pro)

Wil je zeker zijn dat je WooCommerce webshop veilig is? Laat je webshop dan door ons beveiligen.

 

 

Featured image for Het experiment: Een nulled beveiligingsplugin downloaden in category ANTIVIRUS

Het experiment: Een nulled beveiligingsplugin downloaden

/5 Reacties/in , , , , , , ,

Als je nog niet bekend bent met Nulled plugins: het zijn “gratis” premium plugins die malware bevatten.
Nulled plugins worden door criminelen gekocht, voorzien van malware en dan gratis aangeboden.

De paradox

Een antivirus plugin die hacks en hackers buiten moet houden, die gehackt is?!

Dat is hetzelfde als een beveiliger in je winkel zetten van Dief & Co

Een beveiliger die iedere ochtend netjes op tijd komt met een lege rugtas, graag overwerkt en met een volle rugtas weer naar huis gaat.

Schijnveiligheid!

Het bijzondere is nog dat er genoeg mensen zijn die illegaal premium plugins downloaden zonder daar netjes voor te betalen en dus in de val van de hackers trappen.
Velen hebben niet door dat de website vanaf het moment dat de plugin actief wordt, spam verstuurt of bezoekers de eerste sessie doorsturen naar een website waar je kunt gokken of andere vreemde items kunt kopen.

Dat is nadelig voor je positie in Google en voor je omzet aangezien je bezoekers jouw website zo niet te zien krijgen.

Het experiment

Wij krijgen geregeld te maken met WordPress sites die gehackt zijn doordat de programmeur de plugins niet netjes gekocht heeft maar gewoon illegaal gedownload heeft.
Het leek ons interessant om eens te kijken wat we binnenhalen als we een Nulled plugin voor de beveiliging van WordPress downloaden.

Ervaring
We hebben veel te maken met gehackte websites en weten exact wat we doen. We raden het NIET aan om illegale of Nulled plugins of andere software te downloaden.

Maatregelen
Uiteraard hebben wij geen zin in virussen en we willen natuurlijk geen problemen met de server.
Om die reden downloaden we de Nulled plugin op een virtuele computer en zetten we de plugin op een afgesloten server.

Het vinden van een Nulled plugin
Er is niets makkelijker dan googlen en een Nulled plugin downloaden. Je kunt het zo gek niet bedenken of ze bieden het aan. De nieuwste releases en de duurste plugins.

Maar.. laat je niet in de maling nemen, hoe betrouwbaar en professioneel de website er ook uit ziet: de plugins bevatten hacks!

Het is de eerste download al raak!

De eerste Nulled plugin scan ik met VirusTotal. Het is direct raak.

Wat je op de onderstaande screenshot ziet zijn de meest rotte hacks: trojans & backdoors.
Trojans werken stiekem op de achtergrond van je website zonder dat je het doorhebt.

De naam is afgeleid van het paard van Troje. (Wie dat verhaal niet kent, lees het verhaal hier)

resultaat scan

Trojans, backdoors, malware..

Als je de plugin activeert, zet je de toegang naar je server & WordPress volledig open. De hackers of een geautomatiseerd script zullen een seintje krijgen welke website nu weer gehackt (beschikbaar) is.
Ze kunnen werkelijk alles doen wat ze willen:

  1. Betaalgegevens aanpassen in WooCommerce naar hun eigen illegale bankrekening
  2. Gebruikersnamen en wachtwoorden opslaan en doorsturen
  3. Reclame tonen
  4. Teksten aanpassen
  5. Bezoekers doorsturen
  6. En nog veel meer..

Maar er is toch serverbeveiliging?

Je zou zeggen dat de beveiliging van de server, van de webhost dit toch wel doorheeft!
Maar dat is niet zo. De server scant wel bestanden, maar de truc is dat de plugins de code fragmenteren en uitvoeren middels bepaalde volgordes. Die volgorde kent alleen de plugin zelf waardoor de server die niet kan of zal uitvoeren om erachter te komen dat er ongewenste code in staat.

De code wordt naast de fragmentatie ook nog eens in een onleesbare taal geschreven die alleen uitgevoerd kan worden door de hack zelf.
Het resultaat is tevens niet te beoordelen als zijnde wel-of-niet gewenst aangezien php veel serverrechten heeft.

Alleen de meest opvallende en veelvoorkomende hacks worden gedetecteerd waarna ze weggeschreven worden als “suspected”.

Hacks hebben wel de gewoonte om de serverkracht uit te buiten, en alles op volle toeren te laten draaien. Wanneer de hoster daar achter komt, zullen ze je hostingpakket uit zetten totdat je het probleem opgelost hebt.

De hoster kan overigens niet verantwoordelijk gehouden worden voor hacks die in jouw website zitten. Je huurt te webruimte, en als je die niet goed beheert of om welke reden dan ook gehackt wordt, is het aan jou om dit op te lossen.

Aangezien dat ingewikkeld is, heb je hulp nodig of moet je het herstellen van je website laten uitvoeren door professionals.

We graven dieper in de plugin

We zijn even afgedwaald maar we graven dieper in de plugin om te zien waar die trojans en backdoors zitten. Kunnen we ze vinden?

Op zoek naar gefragmenteerde en gecodeerde code
Vaak worden serveropdrachten gecodeerd in Base64 en daarna uitgevoerd met Eval. Dat is het eerste waar we op zoeken.
We zien enkele regels code verschijnen (notepad++ Find in files).
Maar die lijnen code zien er onschuldig uit.

Opvallende bestanden
Een techniek die we toepassen wanneer we een gehackte website herstellen is door simpelweg te kijken naar opvallende bestanden.
Vreemde bestandsnamen of php bestanden die niet in bepaalde mappen (Zoals de css map) thuishoren verraden vaak de malware/hacks.

We sluiten een map uit met css, een map met afbeeldingen en een map met txt’s.
Maar niet zo vlug, de afbeeldingen worden ook wel eens uitvoerbaar gemaakt!! (Wij zien geen php extenties in de afbeeldingen en gaan dus verder)

Uitsluiten van bestanden
We hebben diverse bestanden uitgesloten, en besluiten de overige bestanden nog maar eens te scannen.

Het valt op dat 2 van de 12 antivirusdiensten met het aanpassen van de naam al niet meer doorheeft dat het om de eerder geteste malware gaat.

Kortom, ze stellen vast dat een plugin vals is en onthouden alleen de naam zonder de inhoud vaker te scannen.
Dat is ook een van de redenen waarom hacks/virussen zo lang kunnen doorgaan, wanneer er kleine wijzigingen in code of volgorde-van-uitvoeren aangebracht worden, zijn ze onherkenbaar voor diverse antivirus diensten.

Een paar mappen diep
Veel hacks zitten een paar mappen diep, zodat ze minder snel gevonden worden. Ergens tussen de “images” de “uploads/2015/etc” of  “includes/colors/etc”
In dit geval niet, de trojans hebben ze direct in de “core” bestanden van de beveiligingsplugin gezet.

Gevonden!

Uiteindelijk hebben we de hacks gevonden, de code was netjes geschreven.
Er is goed over nagedacht, er zijn meerdere alternatieve methodes ingezet om je website open te zetten voor de rest van de wereld (en vooral voor de hackers zelf).

De code tonen we uiteraard niet.

Conclusie

Nulled plugins bevatten nog steeds trojans. Bij deze soort van hacks is de code netjes weggewerkt met opmaak zodat hij niet te onderscheiden is van de reguliere code.

We doen binnenkort nog meer tests, zoals:

  1. Heeft de antivirus plugin door dat het zelf een hack/virus bevat?
  2. Kunnen andere antivirus plugins de hack vinden in deze plugin?

Blijf op de hoogte van de nieuwste berichte via Linked-in, of via onze nieuwspagina!

Side-note 1: hackers

En het mag duidelijk zijn dat hackers en hun criminele activiteiten niet gewaardeerd worden.
De romance van een hacker zoals je die in films ziet, is niet hoe het in de realiteit eraan toe gaat.

Een hacker is iemand die anderen benadeelt om zelf wat winst te maken.
Het frustreert de eigenaren van de website, het frustreert de webhosting en uiteindelijk kost het geld en tijd.

Side note 2: Illegale downloads

Tja, als je er zelf voor kiest om iets illegaal te downloaden.. ben je eigenlijk net als de hackers.
Je probeert je voordeel te doen met een plugin of thema zonder de maker ervan zijn verdiende geld te geven.
We hebben allemaal wel eens iets gedownload van internet toch?

Maar nu weet je in ieder geval wat je NIET illegaal van internet moet downloaden.

Ps: wij kopen software waar we mee werken netjes. Al is het maar om problemen te voorkomen 😉
Veiligheid boven alles!

Featured image for Malware op de website, wat is dat? Hoe kom ik van malware af? in category BEVEILIGEN

Malware op de website, wat is dat? Hoe kom ik van malware af?

/6 Reacties/in , ,

Ik heb malware op mijn website. MALWARE.. wat moet ik me bij malware voorstellen? Kun je malware eten?

Korte uitleg: wat is malware?

Malware is malicious software die door criminelen gemaakt is. Malware hoort niet in je website te staan.
Malware heb je in alle vormen: virussen, trojaanse paarden, rootkits, spyware, dialers, botnets, malicious websites, tracking cookies en meer.

Hoe malware in je website terecht komt

Via een lekke plugin, een verouderde plugin of WordPress versie komt malware gemakkelijk in je website.
Malware is niet door mensen aangestuurd en pakt dus iedere website die het kan vinden op Google. Ook jouw hobby-site of je kleine bedrijfswebsite.

Wat doet malware?

Malware “in je website” is eigenlijk niet correct. Het toont zich soms wel eens visueel in je website wanneer het links naar andere website plaatst maar 9/10x is de malware stiekem op de server actief.

Je website heeft namelijk de toegang en rechten om de server opdrachten uit te laten voeren. Als malware eenmaal “in je website zit” en dus op de server staat, kan de malware opdrachten aan de server geven.
Die opdrachten van malware variëren:

  1. Malware kan: Spam verzenden naar e-maillijsten (Duizenden e-mails).
  2. Malware kan: Andere websites zoeken op internet en besmetten.
  3. Malware kan: Je inloggegevens doorsturen naar een hacker.
  4. Malware kan: Betaalinformatie in je WooCommerce webshop aanpassen naar dat van een hacker.
  5. Malware kan: Virussen aanbieden aan de bezoekers van je website.
  6. Malware kan: Pagina’s aanmaken in je website die naar wachtwoorden van klanten vragen.
  7. En meer..

Je weet nu WAT malware is, HOE malware in je website terecht komt en wat de malware DOET.

Maar nu het belangrijkste,

Hoe kom ik van malware af?

We hebben het hier specifiek over malware in je website. En nog specifieker, malware in je WordPress website.

Dit is een stappenplan die je kunt volgen om de malware uit je WordPress website (en dus van de server) te verwijderen:

  1. Stel vast op welke datum de malware voor het eerste in je website gekomen is
    Dat kun je zien aan de wijzigingsdatum van bestanden op de server, wanneer dat niet duidelijk is kun je je eigen inzicht gebruiken.
  2. Zet een backup terug van minimaal 1 week voordat de malware in je website gekomen is
    Mogelijk kun je een backup terugzetten van het moment dat je website nog malware-vrij was.
    Sommige webhosts bewaren backups van je website, soms 1 week maar soms ook 1-2-3 maanden.
    Houdt er rekening mee dat een backup een stap terug in de tijd is, zo zijn ook nieuwsberichten, gebruikers, woocommerce aankopen en dergelijken bij de oude backup NIET up-to-date. Maak daarom eerst een backup van dit moment voordat je er 1 terugzet.
  3. Controleer de website op verdachte bestanden en activiteiten & backdoors
    – Kijk welke bestanden er op de server staan, of die er wel thuishoren.
    – Kijk welke gebruikers er administratierechten hebben en of dit wel klopt.
    – Verwijder backdoors, een backdoor is ook malware maar dan 1 die specifiek de deur openhoudt naar je server om meer malware toe te laten.
    Er worden geregeld backdoors geplaatst, nog voordat een hack werkelijk zichtbaar wordt. Die backdoor is letterlijk een open deur voor de malware om de injectie en opdrachten weer uit te kunnen voeren.
  4. Update je WordPress, plugins en het thema
    Zorg ervoor dat alles up-to-date is.
    TIP: Wij vervangen de plugins en WordPress vaak volledig op de server voor nieuwe downloads, zo weet je zeker dat er geen ongewenste malware of lijnen code op de server staan.
  5. Meld je website aan bij Google webmaster tools
    Ga in de webmaster tools van Google naar het beveiligingscentrum en kijk of de website daar niet als gehackt/besmet met malware bekend staat.
  6. Controleer je website gratis bij Sucuri
    Scan je website met de Sucuri Malware Scanner

Oké je website is nu vrij van malware (nemen we aan).

Hoe zorg je ervoor dat malware niet meer in je website kan komen?

Beveilig je website middels een beveiligingsplugin. Het is niet volledig waterdicht maar stopt wel 90% van alle geautomatiseerde malware.

Weet je niet hoe je een goede beveiliging op kunt zetten, of is het je niet gelukt je website malware-vrij te krijgen?

Neem dan contact op

Wij doen dit werk 7 dagen per week!
Wij bieden betaalbare oplossingen mét garantie

Even bellen of mailen

Featured image for Help mijn WordPress is gehackt! in category BEVEILIGEN

Help mijn WordPress is gehackt!

/8 Reacties/in , , , , ,

Je hebt misschien veel geld uitgegeven om een website voor je bedrijf te laten maken in WordPress.
Of je hebt zelf veel tijd geïnvesteerd om een website op te zetten met WordPress.

En dan.. is je WordPress website ineens gehackt

Hoe kan dat?

  1. Is de WordPress website niet goed gemaakt?
  2. Heeft iemand het op jouw website gemunt?
  3. Zijn de inloggegevens gelekt?

99.9% van alle WordPress websites worden gehackt door een virus, script of malware

Dat zijn programma’s die duizenden website tegelijk testen en hacken. Zonder dat er ook maar een persoon aan te pas komt.

Is WordPress zo lek dan?

Nee, WordPress is niet het probleem.

Het probleem is de plugins die gebruikt worden.
De plugins worden niet altijd ge-update en de programmeurs houden de plugins niet altijd veilig.

Plugins zijn vaak de oorzaak van je gehackte WordPress website

Hackers kunnen veel plugins gratis downloaden en testen op beveiligingslekken.

Wanneer hackers een beveiligingslek hebben gevonden in de plugin schrijven ze een script dat dagelijks grote aantallen WordPress websites nakijkt op de aanwezigheid van die plugins waarna er een injectie of commando plaatsvindt via die plugin.

Via plugins kunnen virussen injecties en opdrachten uitvoeren (Technisch)

Injecties? Opdrachten?
Dat zijn de termen die beschrijven hoe een virus, script of stuk malware te werk gaat.

De injectie
Via de lekke plugin wordt er in 1 keer allemaal ongewenste data in je database of op de server geïnjecteerd.
Het kost een virus slechts 1 seconde om reclame in AL je pagina’s en berichten te zetten – vandaar de injectie.

De opdracht
Via een lekke plugin kan een virus opdrachten geven aan de server. Op die manier kunnen diverse bestanden geplaatst worden die malware bevatten.

Denk hierbij aan malware die je server aanzet tot het spammen van andere websites of e-mailadressen van personen.

Mijn WordPress website is simpelweg gehackt, wat kan ik hieraan doen?

De gevolgen van een hack moet je terugdraaien, daarna moet je de WordPress website beveiligen zodat het niet meer kan gebeuren.

Wij doen dit 7 dagen per week, wij verwijderen de hacks en beveiligen WordPress websites voor een vast betaalbaar tarief.
Met garantie. Klik hier als je jouw website snel door WordPress professionals wilt laten herstellen en beveiligen.

wordpress zelf herstellen

wordpress zelf herstellen

Je gehackte WordPress website zelf herstellen

Het stappenplan om je gehackte WordPress website te herstellen:

  1. Stel vast op welke datum je website gehackt is
    Wat is moment dat de eerder genoemde injectie of opdracht is uitgevoerd?
    Dat kun je zien aan de wijzigingsdatum van bestanden op de server, wanneer dat niet duidelijk is kun je je eigen inzicht gebruiken.
  2. Zet een backup terug van minimaal 1 week voordat de hack heeft plaatsgevonden
    Mogelijk kun je een backup terugzetten van het moment dat je website nog niet gehackt is.
    Sommige webhosts bewaren backups van je website, soms 1 week maar soms ook 1-2-3 maanden.
    Houdt er rekening mee dat een backup een stap terug in de tijd is, zo zijn ook nieuwsberichten, gebruikers, woocommerce aankopen en dergelijken bij de oude backup NIET up-to-date. Maak daarom eerst een backup van dit moment voordat je er 1 terugzet.
  3. Controleer de website op verdachte bestanden en activiteiten & backdoors
    – Kijk welke bestanden er op de server staan, of die er wel thuishoren.
    – Kijk welke gebruikers er administratierechten hebben en of dit wel klopt.
    – Verwijder backdoors.
    Er worden geregeld backdoors geplaatst, nog voordat een hack werkelijk zichtbaar wordt. Die backdoor is letterlijk een open deur voor de malware om de injectie en opdrachten weer uit te kunnen voeren.
  4. Update je WordPress, plugins en het thema
    Zorg ervoor dat alles up-to-date is.
    TIP: Wij vervangen de plugins en WordPress vaak volledig op de server voor nieuwe downloads, zo weet je zeker dat er geen ongewenste bestanden of lijnen code op de server staan.
  5. Meld je website aan bij Google webmaster tools
    Ga in de webmaster tools van Google naar het beveiligingscentrum en kijk of de website daar niet als gehackt bekend staat.
  6. Controleer je website gratis bij Sucuri
    Scan je website met de Sucuri Malware Scanner

Is je gehackte WordPress website nu hack-vrij?

Als je gehackte website nu hack-vrij is en je zeker weet dat hack-bots geen toegang hebben tot je website, begint het beveiligen.

  1. Controleer je plugins op beveiligingslekken
    Op wpvulndb.com is een zoekfunctie waarmee je kunt kijken of je plugins momenteel lek zijn. Of dat ze vaak gehackt zijn in het verleden. Als een plugin onveilig is, kies dan een alternatief.
  2. Installeer en configureer een beveiligingsplugin
    Een beveiligingsplugin houdt veel hack-bots tegen. Het is wel belangrijk om hem goed in te stellen, neem daar de tijd voor.
  3. Monitor je website wekelijks of minimaal 1 keer per maand
    Kijk de logboeken van de beveiliging geregeld na, van de server om te zien of alles nog goed gaat.

Heb je geen tijd om je website na te kijken?

Om de logboeken te lezen? Om Google webmaster tools of andere scans te doen?

Laat dat aan ons over! Voor een voordelig maandelijks tarief zorgen wij voor je WordPress website.
Wij werken 7 dagen per week met WordPress, al meer dan 10 jaar.

Kies voor gemak en zekerheid: Laat je WordPress website door ons beveiligen.

Featured image for De grote caching test - De voorbereiding in category BEVEILIGEN

De grote caching test – De voorbereiding

/4 Reacties/in , ,

In dit artikel zullen we er alles aan doen om een nieuwe WordPress website zo traag mogelijk te maken. Tegen al onze principes in gaan zetten we zoveel mogelijk plugins aan om een laadtijd van 5 seconden te krijgen met zoveel mogelijk uitvoerende Javascript, PHP & CSS processen.

Dit experiment dient om de cache plugins ultiem te testen en zo te zien welke het beste functioneert onder grote druk!

De start

1 vlotte server, 8 gig ram Intel(R) Xeon(R) CPU E5-2683 v3 @ 2.00GHz (Er draaien momenteel meerdere sites)

1 nieuwe WordPress installatie met het standaardthema van WordPress 2017

Gebruikte testmethode:
– Google Developer Tools (Network view)
– Herladen zonder browsercache!

Bij deze tests is niet gebruik gemaakt van Pingdom of GTmetrix aangezien die diverse factoren hebben waardoor onjuiste informatie weergegeven worden.

Snelheid na verse installatie:
800 ms (milliseconden, ook wel 0.8 seconden)

Nu weten we allemaal dat geen enkele WordPress website zonder plugins draait.
Uit eerdere test hebben wij geleerd dat iedere plugin 0.3 tot 1 seconden toevoegt aan de laadtijd.

Hieronder het verslag van de plugins we ingezet hebben, en de laadtijden die erbij gekomen zijn.

WooCommerce +0.3 seconden (Nog zonder weergave van producten etc)
WordFence +0.2 seconden
Count per day +0.1 seconden

We hebben de winkelmand en de bezoekersteller op de testpagina gezet, maar de site is niet traag te krijgen.
Met de wetenschap dat de meeste websites tussen de 3 en 9 seconden nodig hebben om te laden, hebben we nog een lange destructieve weg te gaan om de caching plugin goed te kunnen testen.

We gaan we er nog wat plugins en data inzetten!

We verhogen de grootte naar 432KB met een mooie afbeelding van de zon die goed is voor 110KB.
snelheid

 

 

Dan een contactformulier (Contact form 7) erbij +0.1 seconden

Daarna Yoast SEO erbij waarmee er wel een paar requests bijkomen maar nog steeds geen spannende laadtijd met: 1.65 seconden.

wordpress caching
Hier zal geen bezoeker op afhaken en ook Google pagespeed insights vindt het nog oké.

 

 

 

 

 

 

 

 

 

Conclusie tot nu toe, 5 plugins op een WordPress website zijn nog geen enkel probleem.

We gaan de druk verder opvoeren!

Het wordt tijd voor het grove geschut, een Nextgen gallery met 10 afbeeldingen. Nextgen maakt daar 10 nette thumbs van en laadt de afbeeldingen pas na klikken met een lightbox. Dikke pluim voor Nextgen 😉

snelheid wordpress website

 

 

 

Je ziet dat de website qua data omhoog geschoten is naar 887KB maar de server laadt de website nog veel te snel voor deze test, 1.82 seconden.

Voor deze test voegen we nog maar even een mooie tekst van 442 woorden toe via Lorum Ipsum.

Een tekst van 400 woorden telt 3 kB, wat zo goed als geen vertraging oplevert.

Een pagina van 2 meter

We hebben nu een pagina van 2 meter met een contactformulier, een grote foto, een slideshow. En niet te vergeten een verhaal van 400 woorden.

De website laadt nog binnen 2 seconden..

Waarom zijn die caching plugins dan zo nodig??

Er worden in veel websites zonder schaamte 30-40 plugins gebruikt. Of de afbeeldingen worden niet gecomprimeerd.

Hoe-dan-ook, je bent hier gekomen voor de grote caching test.. we moeten dus nog even door!

Van 2 naar 5 seconden laadtijd?

We gooien er nog een Youtube video tegenaan (iFrame embedded) en zitten op een 2.15 seconden

youtube screen

 

 

Enn.. Een Polls plugin, Cookie popup Tawk to live chat, Slider WD

We zitten nu nog steeds aan een redelijk snelle laadtijd van 3 seconden!

Wel hebben we 100 requests gehaald (Aanvragen / te laden objecten) die de website vertragen.
Op een nette manier krijgen wij de website niet traag, nu gaan we over tot het activeren van nog 10 plugins die we middels widgets en [shortcodes] op de pagina tonen.

 

122 requests, load 4.58 seconden (Let niet op de finish time, die loopt op moment van lezen nog steeds op door de slider)

 

Wat ons betreft is het “Tijd” om de cache plugins te testen!

De caching plugins,  waar testen we die op?

Waar gaan we op letten?
De snelheid is vanzelfsprekend maar we gaan vooral letten op het aantal requests.
Dat is namelijk wat een caching plugin doet: Het samenvoegen en voor-berekenen van scripts zodat je de berekende data zo snel mogelijk met zo min mogelijk serverbelasting/serveraanvragen op je scherm krijgt.

En natuurlijk,

Werken de plugins nog? Laadt de website nog goed? En, hoe zit het met al die Javascript & CSS bestanden die samengevoegd worden? Breekt dat de styling niet op?

Deel 2 zal hier verder op ingaan.

 

Featured image for CronJobs beheren in WordPress in category BEVEILIGEN

CronJobs beheren in WordPress

/4 Reacties/in , , ,

Wat een Cronjob is volgens Wikipedia: Een Cronjob of crontab is een Unix commando dat een programma of script op een ingesteld tijdstip uitvoert. Cronjobs worden gebruikt in Unix-achtige systemen als Linux, BSD en Apple Macintosh. Het woord ‘cron’ is afkomstig van het Engelse woord chronograph, dat een soort stopwatch is.

Wat doen CronJobs in WordPress

Door middel van Cronjobs wordt periodiek gecontroleerd of er updates zijn. Tevens gebruiken veel plugins CronJobs om taken uit te voeren zoals het updaten, verwijderen van informatie. Je kunt de Cronjob functie dus niet zomaar uitzetten in WordPress.

Enkele plugins die werken met Cronjobs:

  1. WooCommerce – voor het opslaan en verwijderen van gebruikersdata. De bekeken producten worden opgeslagen of na een bepaalde tijd verwijderd.
  2. UpdraftPlus – Voor het maken van periodieke backups
  3. Yoast SEO –  Voor het ophalen van linksuggesties bij berichten en pagina’s

Kortom, elke website heeft enkele Cronjobs draaien op de achtergrond.

Wil je weten welke Cronjobs actief zijn?

CronJobs bekijken en beheren in WordPress

De WP Crontrol plugin geeft je de mogelijkheid om de werkende Cronjobs in je WordPress website te zien.

Je kunt zien welke Cronjobs actief zijn, en ze bijwerken of verwijderen.
Doe dit na de installatie van de plugin in je Admin » Extra (Tools) » Cron Events

cron events

Cronjobs en hackers

Hackers kunnen Cronjobs inzetten om periodiek bepaalde werkzaamheden uit te voeren.
Daarom is het belangrijk om te zien welke Cronjobs actief zijn!

Denk bijvoorbeeld aan de onderstaande nadelige Cronjobs:

  1. Een Cronjob die een beheerders account registreert.
    Als zo’n cronjob dat ieder uur doet, kun je verwijderen wat je wilt.. maar zo komen hackers toch weer binnen.
  2. Een Cronjob die je logboeken verwijdert.
    Zo kan een hacker zijn gang gaan zonder sporen achter te laten.
  3. Een Cronjob die accounts verwijdert.
    Als je account verwijderd wordt kun je de website niet beheren, en heeft de hacker je website in handen.
  4. Een Cronjob die je wachtwoord opnieuw genereert.
    Ontzettend vervelend als je elke keer een nieuw wachtwoord krijgt, je kunt dan wel een reset doen maar om dat nu elke keer om het uur te moeten doen…
  5. Cronjobs om data door te sturen.
    Als er een taak aangemaakt wordt om elke 5 minuten de informatie van jou en je gebruikers door te sturen.. dan weet een hacker sneller dat je een bestelling of wijziging in je website hebt dan jij zelf!