Tag Archive for: beveiliging

BitFire Security – In vuur en vlam?

BitFire! Op moment van schrijven zijn ze vrij nieuw, maar ze geven zelf aan al 20 jaar actief te zijn in het beveiligen van grote aantallen websites. Het aantal plugin downloads van BitFire op WordPress.org is op moment van schrijven nog rond de 100.

Ik ben natuurlijk enorm benieuwd wat deze “nieuwe speler” in de WordPress wereld te bieden heeft. Wat maakt hun anders dan WordFence, SolidWP, of 10 andere beveiligings plugins?

BitFire over hun dienst/plugin op WordPress.org

Klik op de afbeelding om de originele Engelse introductie op WordPress.org van hun plugin te lezen

[inn-1v3][sluit-inn]
[inn-2v3][sluit-inn]
[inn-3v3]En meer statements[sluit-inn]

Statements van BitFire vertaald in het Nederlands

  • Ze claimen de enigste te zijn die tegen iedere 0-day lek beschermt sinds 2022.
    Uilteg 0-day lekken: Dit zijn lekken die al in plugins of thema’s zitten het begin van de life-gang en zijn razend populair op internet, aangezien ze op vrijwel iedere release van een plugin of thema zouden kunnen werken.
  • Bot herkenning
    Ze geven aan de werking/code te kennen van 3000 verschillende bots. Zo kunnen ze bezoekers onderscheiden van hack-bots.
  • 0-day exloit bescherming middels de Firewall uitvoerig getest
    De bescherming tegen 0-day exploits blijken niet alleen in theorie te werken maar zich bewezen te hebben.
  • Geen onnodige vertraging van de website
    Ze claimen 20x sneller te zijn dan WordFence, en geen onnodige vertraging te veroorzaken met de beveiligingsregels.
  • En nog meer statements..

Oké fijn de plugin is dus geweldig naar eigen zeggen

Ik weet hoe het gaat, je moet mensen laten weten wat je plugin allemaal kan. Maar in dit vakgebied is het erg lastig om iemand te overtuigen met statements hoe goed en snel een plugin is.

Hoe ga je dan merken of een plugin goed is?
Dat zal de tijd moeten bewijzen.

+ Wat wij nu maar gaan doen, is de plugin installeren en kijken hoe die eruit ziet, wat deze gratis versie kan, of er vastlopers zijn, false flags, hoe de malware scanner het doet etc etc.

BitFire installeren op WordPress

[inn-1v3e][sluit-inn]
[inn-2v3e]We installeren en activeren de BitFire plugin, en wat mij opvalt is dat er dan (nog) niets gebeurt. Nu hoor ik je denken: dat hoeft niet want beveiliging moet niet storen en gewoon op de achtergrond werken.

Maar héla! Ik wil wel weten dat de beveiliging “aan” staat. En een basisconfiguratie of minimaal introductie is wel zoals ik het gewend ben bij de andere grote spelers op het gebied van WordPress beveiliging.[sluit-inn]

Firewall configuratie

Oh, daar is tie. De configuratie, die ga je zien wanneer je de instellingen en andere menu items voor het eerst opent. Het betreft 5 stappen waarmee je de zuurtegraad van de firewall instelt.

Nou mooi, er worden wat motivaties aangedragen om 5 functies aan te zetten. Waarbij weinig mensen bezwaar zullen tonen (als je het al gaat lezen).

Geen overdosis aan pagina’s en instellingen

[inn-2v3e]Misschien wel fijn dat er geen overdosis aan pagina’s met mogelijkheden en instellingen zijn? – In vergelijking met diverse andere beveiligings-plugins..

De 5 menu items die je kunt openen vereisen een cursus voordat je er iets mee kunt.
Er staat veel informatie, dat absoluut voor de doorgewinterde beveiliger bedoeld is en niet voor een beginner of voor de standaard WordPress website eigenaar.

[sluit-inn][inn-1v3e][sluit-inn]

Voor wie ze de plugin nu gebouwd hebben?? Die 3% aan fanatieke beveiligers?

De Malware scanner

Geen idee waarom.. maar van de malware scanner wordt ik altijd blij.
Geeft een vertrouwd gevoel, net als alle antivirus scanners in Windows en dergelijken.
Je drukt op een knop en de plugin gaat voor je zoeken naar Malware.

Let er even op dat je de standaard scan aan vinkt, anders neemt de Malware scanner niet alles mee.

Het resultaat van de scanner is niet erg magisch, hij scant 5 tot 100 seconden, er draait een icoontje en er komt een balkje met de melding dat de integriteit van de website-bestanden goed is.
Het resultaat is niet geheel onverwachts aangezien dit een testdomein is met een verse WordPress installatie.

Wat wel opvalt is dat de melding dat alles oké is nogal onopvallend is. Het wordt groen, en wanneer je de pagina ververst is het weer blauw met een ander tekstje. De scanresultaten slaat hij zo te zien niet op.
 

Eindoordeel van de gratis BitFire plugin

BitFire is duidelijk ontwikkeld door ervaren programmeurs, door een team dat weet waar ze mee bezig zijn. Dat zie je in de informatie, in de specs die ze opgeven en de problemen bij andere beveiligingsplugins die ze zeggen te tackelen.

Er zit veel achter, maar het komt wat mij betreft nog niet zo naar voren.
Er zou mogelijk met meer introductie en begeleiding meer overtuigingskracht van de plugin uitgaan.

Zou ik BitFire gebruiken?

Nee, op dit moment niet. Ze moeten zich nog bewijzen, ze hebben op dit moment 4 reviews op deze gratis plugin met 100 downloads. Er zijn al genoeg andere doorgewinterde concurrenten. Denk aan SolidWP & WordFence & Sucuri.

Waarom EVEN EEN HACK VERWIJDEREN niet realistisch is

Ik hoor het iedere maand wel 1x: ,,kijk even op de server of je wat tegenkomt en verwijder HET dan”.

Dit is zelfs een vaak toegepaste strategie van webbouwers, die neuzen door de server heen, verwijderen wat en gaan er dan vanuit dat de hack wel weg is.

Is het vreemd om te denken dat een hack 1,2 of 3 bestanden bestaat?

Denken dat de hack uit enkele bestanden bestaat is niet eens zo heel gek. Ik begrijp het idee!

Helaas werken kwaadaardige hackers erg fanatiek aan een lek, een hackscript of stuk malware.
Onderdeel van hun hackscript is vaak lijn code die naar de hoofdmap verwijst, en malware plaats in iedere onderliggende map.

Een extra kopietje van het script, kost niets extra hé!
De server werkt wel..

Hacks boven de PUBLIC_HTML?

Ja mensen, het is mij ook overkomen voordat ik met een checklist ging werken. Ik maakte de website 10x schoon, brandschoon. Alles IN de public_html, httpdocs.
Maar die ratten zetten de malware helaas ook boven de public_html als daar schrijfrechten zijn.

Och, die paar mapjes in een WordPress website.. toch?

Je verbaast je misschien, want een standaard WordPress installatie.. waar de plugins en thema’s nog bijkomen bevat al meer dan 3000 bestanden en 307 mappen!!

Huh waar dan? Nou, ga maar na, de hoofdmap waar WordPress in staat begin je al met 3 mappen:
wp-admin + wp-content + wp-includes
> wp-content > plugins / themes / upgrade / languages
> Uploads / jaartallen / maanden /

12 mappen per jaar, doe dat eens 6 jaar lang.. 72 mappen! Alleen al in de uploads map.

EEN GIGA VERSTOPRUIMTE dus. En er hoeft maar 1 mapje te zijn met een actief stuk code waardoor hackers zo naar binnen blijven lopen. De zogenoemde backdoor.

Backdoors – Klein, vals, maar een GROOT gevaar!

Even vertaald, de achterdeurtjes.
Die maken nieuwe WordPress administratoren aan, geven belangrijke data door aan hackers. Ze maken letterlijk alles mogelijk!
En zo’n backdoor, dat hoeft maar 5 regels code te zijn in een bestandje.. of wanneer je het in base64 opbouwt.. 1 regel code. (code hieronder ter voorbeeld, deel van een backdoor)

In de meest brutale backdoors komen we zelfs telegram bots tegen, die sturen de nieuwe gegevens van klanten, aankopen en admins direct door. Waardeloos!

Hackers-truc: valse mapnamen

Je moet niet verbaasd zijn als je mappen tegenkomt die er niet horen, maar wel heel legitiem lijken.
Zelfbedachte mappen (niet te verwarren met zelfbedachte moppen) die sprekend lijken op legitieme mappen, en ook nog eens leeg lijken te zijn of gevuld met de “juiste” bestanden..
> root
> index
> uplaods / 2023
> wp-apmin

valse mapnamen

Daar moet goed naar gekeken worden. Even met de muis langs alle mappen neuzen en “wat” deleten werkt niet.

101 andere trucs

Er zijn zoveel trucs, en ik zie wekelijks nieuwe voorbij komen. Backdoors, fishing, spamming, datadiefstal…
Hopelijk begrijp je nu wel dat “EVEN door de bestanden lopen en verwijderen wat je tegenkomt” geen optie is.
In ieder geval, geen goede optie!

Je website hack-vrij laten maken

Heb je een WordPress website: klein, groot, zakelijk, webshop die je VOLLEDIG hack-vrij wilt laten maken?
Dat kan! Dat doen wij.

Meldt je website aan voor hack-herstel

Is WordPress beveiliging echt nodig?

WordPress beveiliging lijkt voor veel websitebezitters overbodig, immers.. er zijn miljoenen websites gebouwd met WordPress, toch?! Zijn die dan allemaal onveilig? Lees nu of WordPress beveiliging voor jouw WordPress websites nodig of overbodig is.

WordPress zelf is veilig

WordPress zelf wordt ontzettend goed veilig én up-to-date gehouden, door een team professionals. WordPress zelf is geen veiligheidsrisico, zolang je die maar update!

Het probleem ligt in de plugins..

De plugins

De plugins vormen het risico. De plugins worden door verschillende personen gemaakt, en niet iedereen heeft een hoge opleiding als programmeur genoten.

Naarmate er meer plugins gebruikt worden, neemt ook het risico toe dat er fouten gemaakt worden in de code.

Hackers

Hackers zijn dagelijks op zoek naar manieren om websites te infecteren met malware, reclame, en voornamelijk links naar hun eigen producten of diensten. Dit wordt black-hat-seo genoemd.

De vraag opnieuw, is WordPress beveiliging nodig?

Dit hangt af van het aantal plugins je gebruikt. Als je er 3 gebruikt en die up-to-date houdt loopt je website niet zoveel risico.
Maar gebruik je 10, 20, 30 of zelfs 40 plugins… ja dan moet je bepaalde maatregelen nemen om te voorkomen dat hackers gemakkelijk binnen kunnen komen.

Beveiliging zelf regelen of uitbesteden?

Je kunt de beveiliging zelf regelen, of uitbesteden. Wanneer je het zelf regelt of uitbesteed hangt af van enkele factoren:

Je WordPress website zelf beveiligen

Als je een eenvoudige, informatie website hebt.
Als je een paar plugins gebruikt, maximaal 5-8 stuks.
Als je die goed up-to-date houdt.
Als je goede wachtwoorden gebruikt.
Als je niet zomaar iedereen toegang geeft tot je website.
Als je een beveiligingsplugins zoals iThemes Security OF Sucuri OF WordFence geinstalleerd hebt.
Als je een goede webhoster hebt.

Dan kan dit prima jarenlang goed gaan, zonder problemen, zonder malware.

Je WordPress website laten beveiligen

Heb je een webshop? Biedt je diensten en producten aan? Heb je een contactformulier, offerteformulier? Kortom vullen mensen belangrijke informatie in op jouw website?
Ben je voor de inkomsten sterk afhankelijk van je website? Heb je een reputatie hoog te houden?
Kortom, ben je een middel-groot bedrijf?

Dan kun je jouw WordPress website het beste laten beveiligen.
De kosten van een hack, van een kapotte Google reputatie wegen dan niet op tegen het relatief kleine maandelijkse bedrag dat je betaalt voor de beveiliging en onderhoud van je website.

Laat je website dan beveiligen en onderhouden, met beveiliging en onderhoud doelen we op:

  • Gecontroleerde updates – Periodiek en direct bij bekende lekken
  • Professionele beveiliging – Middels een goede firewall, goede configuratie
  • Monitoring – Op gebruikers, berichten, uptime
  • Herstel garantie – Geen kosten als een lekke plugin toch problemen opleverd
  • Backups – Een dagelijkse backup naar een externe data-kluis
  • Vraag en antwoord – Antwoord op technische vragen
  • Debuggen – In het geval plugins of thema’s botsen

Vraag nu beveiliging en onderhoud aan voor je WordPress website!

Aanvragen