Categorie: Security

wordpress logo

Cross-Site Scripting kwetsbaarheid All in One SEO Pack

Ruim 2 miljoen websites getroffen: Cross-Site Scripting kwetsbaarheid All in One SEO Pack

De plugin All in One SEO heeft een update beschikbaar gesteld doordat er een kwetsbaarheid in de software ontdekt was waarmee het mogelijk is onder bepaalde omstandigheden kwaadaardige code uit te laten voeren.

“This flaw allowed authenticated users with contributor level access or above the ability to inject malicious scripts that would be executed if a victim accessed the wp-admin panel’s ‘all posts’ page” (Wordfence).

Wij hebben de websites die gebruik maken van ons Managed WordPress pakket direct van een update voorzien. Voor wat betreft Websites die hier niet onder vallen dienen de eigenaren zelf de plugin bij te werken.

Google Chrome (pixabay)

Google Chrome verbergt deel url in adresbalk. Waarom?

Google Chrome (pixabay)Google Chrome verbergt in nieuwe beta-features (wederom) een deel van de links in de adresbalk. Waardoor je niet weet waar je op een site zit. Of zelfs niet weet of je wel op de site zit waar je heen wilde. Waarom doen ze dat en willen ze dat eigenlijk?

De Chrome-browser is nog steeds veruit de populairste browser. Dit zal ook nog wel even zo blijven, ook al weten mensen wel dat het qua privacy niet de meest verstandige keuze is.

Top 3 Browsers

Browser StatCounter
April 2020
NetMarketShare
April 2020
Wikimedia
November 2019
Chrome 62.48% 65.96% 48.7%
Safari 19.94% 17.26% 22.0%
Firefox 4.21% 3.19% 4.9%

(Bron: Wikipedia)

Verbergen URL in adresbalk

De site Android Police ontdekte dat Google wederom een deel van de url, de locatie van de website welke u bezoekt, verbergt, dat wil zeggen er is een beta-feature aanwezig welke dit kan doen. Het is niet de eerste keer dat Google experimenteert met deze opties.

Google Zoekmachine SEOVolgens de ontwikkelaars is dit omdat mensen bij een lange url niet zouden weten waar ze op moeten letten en veiligheidsrisico’s lopen op omleiding naar malafide websites. Anderen stellen echter dat Google zelf iets te verbergen heeft en wil voorkomen dat mensen zien dat ze terecht zijn gekomen bij content gehost door Google. Met, uiteraard, alle privacy- en eventuele veiligheids-consequenties van dien.

Het is belangrijk dat je altijd kunt zien waar je je bevindt op het internet. De URL van een site moet je in één oogopslag kunnen inspecteren. Google begon een paar jaar geleden al met het verbergen van de “www”-aanduiding en ook het “http”-voorvoegsel. Het is belangrijk dat gebruikers letten op de URL van een site. Door dit steeds meer te verbergen verdwijnt de kritische gebruikershouding omdat gebruikers er op gaan vertrouwen “dat het wel klopt” wat Google doet. Totdat het uiteraard een keer goed mis gaat.

Veilig op internet

Eén van de éérste controlepunten die wordt genoemd als we het hebben over veilig bankieren is immers: de adresbalk:

Controleer toch altijd voordat u daadwerkelijk uw gegevens intoetst of u op de echte beveiligde website van uw bank zit. Tover het volledige webadres tevoorschijn en let op “https://”, het hangslotje in of naast de adresbalk en de rest van het webadres.

Het moet niet nodig zijn, ons inziens, dat een gebruiker zélf deze stappen moet gaan nemen, laat staan dat die stappen alleen maar méér moeite gaan kosten. Internet moet transparant blijven want dat is veiliger!

gemankeerde adresbalk google chrome

(de adresbalk mist tegenwoordig http(s) en www in Chrome)

De reden die Google-ontwikkelaars aanvoeren voor het maskeren van het adres van een website is ons inziens daarom niet houdbaar. Ook technische ondersteuning voor gebruikers wordt lastiger wanneer Google Chrome gebruikers het adres van een pagina niet meer kunnen zien. Want, wat wordt het antwoord op de vraag: “Met welke pagina hebt u dan een probleem, waar ziet u de foutmelding?” als mensen een gemankeerd webadres zien of helemáál geen webadres meer?

Veilige browsers

Naast FireFox, een veiliger browser, zijn er ook andere, alternatieve, browsers. Het marktaandeel er van is zeer klein en daarnaast constateren sommigen ook daar regelmatig dubieuze zaken. Zo betrapte men recent de Brave-browser die is gebaseerd op dezelfde broncode als Chrome, namelijk de (Open Source) Chromium-browser, op het oneigenlijk “aanpassen” van de adresbalk. Mensen werden er door omgeleid waardoor ze via een zogenaamde “affiliate-link” op de doelsite terecht kwamen. Waardoor de makers van Brave geld verdienden aan deze bezoeken.

Google is your friend

Het is een gevleugelde kreet als je iets wilt weten: “Google is your friend”. Maar helaas niet altijd. Google is een héél groot bedrijf met enorme commerciële belangen. Die zeker niet altijd het beste met de gebruikers maar vooral met zichzelf voor heeft. Want uiteindelijk hebben zij één hoofddoel: een onderneming runnen, geld verdienen. Véél geld. Dat dit ten koste gaat van onze privacy mag ondertussen geen geheim meer worden genoemd.

De meest veilige browsers, met het meeste respect voor uw privacy, zijn Firefox en Opera. Beide zijn “oudgedienden” en hebben een reputatie hoog te houden. De nieuwe, experimentele, browsers als eerdergenoemde Brave zijn vooralsnog geen alternatief. Vooral omdat zij zoekende zijn naar ‘verdienmodellen’. En dat leidt er helaas toe dat ze soms dingen doen die echt niet door de beugel kunnen!

Wijziging geldigheidsduur SSL Certificaten

De levensduur (=geldigheid) van commerciële SSL certificaten is maximaal 2 jaar. Dit wordt gewijzigd; de duur wordt ingekort tot maximaal één jaar. De gratis ssl-certificaten van Let’s Encrypt, geldig voor een periode van 90 dagen, worden automatisch vernieuwd en niet gewijzigd.

De “commerciële” certificaten, dat zijn certificaten met een hogere dekking en veiligheidsgraad dan de gratis SSL’s van Let’s Encrypt, worden niet automatisch verlengd en ook handmatig door ons, of door cliënten zelf, geïnstalleerd. Van één van onze leveranciers kregen wij het volgende bericht over de SSL-certificaten:

Per 1 september 2020 wordt de levensduur van SSL-certificaten wereldwijd ingekort naar maximaal 398 dagen. U kunt vanaf deze datum enkel nog 1 jarige SSL-certificaten bestellen. [..] SSL-certificaat aanvragen tot 1 september 2020 kunnen nog voor 2 jaar worden uitgegeven.

Bestaande en vóór 1 september aangevraagde certificaten die een levensduur van 2 jaar hebben worden dus niet ingetrokken maar kunnen na verval niet weer voor een periode van twee jaar worden verlengd.

Ernstig WordPress beveilingslek contact-form-7-datepicker plugin.

wordpress logoDe plugin “contact-form-7-datepicker”, een toevoeging voor de populaire plugin ContactForm7, bevat een ernstig beveiliginslek. Met contact-form-7-datepicker is het mogelijk een datumveld-kiezer toe te voegen aan ContactForm7 formulieren.

De fout is dusdanig ernstig dat contact-form-7-datepicker inmiddels uit de WordPress bibliotheek is verwijderd.

Het betreft hier een XSS (Cross-site scrpting) probleem.

Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. (Wikipedia)

De makers van de plugin zijn niet van zins het probleem op te lossen(!) en dus blijft de kwetsbaarheid bestaan. Op dit moment is de plugin actief op ca. 100.000 websites. Ons zéér dringende advies is om, wanneer u de plugin gebruikt, deze per direct te verwijderen.

Geen zorgen over WordPress onderhoud, software en beveiligingsupdates of geen tijd om uw website up to date te houden? Maak gebruik van onze Managed WordPress oplossing. Kijk hier voor meer informatie.

Meer informatie/bron: Wordfence.

Valse emails met facebook herstelcodes

Vijf tips en trucs voor Facebook MarketingEr gaan op dit moment emails rond die lijken van Facebook afkomstig te zijn. Ga hier niet op in tenzij u zeker weet zelf uw wachtwoord reset te hebben aangevraagd. On het artikel “Ik heb een e-mail ontvangen waarin staat dat ik een nieuw Facebook-wachtwoord heb aangevraagd, maar dat heb ik helemaal niet gedaan” legt Facebook de juiste werkwijze uit.

De emails sturen een verificatiecode naar je, en vragen je in te loggen op facebook met deze code en een nieuw wachtwoord in te stellen. Zodra je dat doet onderscheppen ze je gebruikersnaam en wachtwoord en hebben daarmee toegang tot je privé of zakelijke facebook-profiel.

De emails lijken bedriegelijk echt en zijn in goed Nederlands opgesteld. Verwijder dergelijke email direct en klik niet op de links.

UPDATE
Er komen ook veel ‘reset’ verzoeken zogenaamd afkomstig van Twitter en WordPress.com binnen.

Bug in SSL certificaten Let’s Encrypt

Uitgever van gratis SSL certificaten Let’s Encrypt heeft op 29 februari jl. een bug ontdekt waardoor iets meer dan 2,5% van de door hen uitgegeven certificaten morgen ingetrokken moeten worden. Let’s Encrypt heeft de bug gefixt. Gebruikt u een Let’s Encrypt certificaat en krijgt u een foutmelding, maak dan via de DirectAdmin interface een nieuw certificaat aan.

Websites die bij ons in beheer zijn en getroffen werden door de bug (voorzover bekend een viertal) zijn door ons van een update voorzien. Lukt het u niet het certificaat te updaten, probeer dan even later nog eens. Weet u niet hoe het moet, maak dan een ticket aan voor ondersteuning onzerzijds.

Op dit moment zijn er 116 miljoen certificaten van Let’s Encryt in omloop. Hiervan zijn er dus ca. 3 miljoen (2,6%) getroffen door de bug die al in juli vorig jaar ontstaan is. Het opgeven van een e-mailadres is optioneel bij het aanvragen van een Let’s Encrypt-certificaat. Daarom zult u mogelijk géén email hebben ontvangen hierover en heeft de organisatie een tool online gezet waarmee u kunt controleren of certificaten zijn getroffen door de bug.

 

Domeinnaamfraude: spookfacturen DNS Service NL

DNS Service NL, eerder bekend onder DNS Registraties NL, is wederom aktief met het verzenden van spookfacturen. Betaal ze niet!

spookfacturen dns service nl

Afbeelding: screenshot van een spookfactuur van DNS Service NL

DNS Service NL en andere bedrijven sturen regelmatig eigenaren van websites en domeinnamen nepfacturen in de hoop hen (veel) geld afhandig te maken voor hun “dienstverlening”. De facturen zijn herkenbaar aan standaard kreten, geen adres, (vals) email contact van de afzender(s) en, meestal, buitenlandse bankrekeningnummers. DNS Service NL gebruikt bijvoorbeeld een Spaans bankrekeningnummer. In dit geval was men zelfs zo dom een email adres te gebruiken met een domeinnaam die niet eens geregistreerd was. Inmiddels wel: een oplettend communicatiebureau heeft het vastgelegd en nu een waarschuwing tegen de fraudeurs er op geplaatst.

Op de factuur, ons doorgezonden door een oplettende cliënt, is verder helemaal niets gespecificeerd: géén domeinnaam, géén specifieke periode of dienst. Ook ontbreekt uiteraard een KvK en BTW-nummer van DNS Service NL. Het bedrijf bestaat dan ook simpelweg niet.

Controleer dus altijd: BTW-nummer, KvK-nummer, Adresgegevens, de specificatie van de dienst waarvoor u gefactureerd wordt en het bankrekeningnummmer. En, uiteraard, of de factuur afkomstig is van een voor u onbekend bedrijf.

Ontvangt U een factuur van een bedrijf of organisatie voor diensten die u van ons afneemt en waarover U twijfels hebt? Neem even contact met ons op. Wij informeren u graag over het eventueel legitiem zijn van de factuur. Zie voor meer informatie ook AVROTROS’s Opgelicht.

Op de hoogte blijven? Schrijf in voor de Nieuwsbrief

nieuwsbrief nieuws en updates brinkhostdotcom brinkman.it

Kritische software updates van uw website’s CMS zoals bijvoorbeeld WordPress of Joomla? Server migraties? Updates aan onze systemen? Mis ze nooit meer! Schrijf U nu in voor onze nieuwsbrief en ontvang een aantaal maal per jaar de nieuwsberichten die u écht niet mag missen wanneer u hosting afneemt van Brinkman.IT. Of gewoon geinteresseerd bent in onze diensten 🙂

Natuurlijk kunt u gewoon af en toe op onze website kijken of ons volgen op Facebook of Twitter. Maar daarmee kúnt u nu net juist die éne update missen die van ‘levensbelang’ is voor uw website of email hosting bij ons. Want helaas zijn de sociale media ‘broken by design’. En dus ziet u daar niet alles. Om altijd van de (aller)belangrijkste updates op de hoogte te blijven raden wij u daarom aan in te schrijven op onze mailinglist. Zodat u nooit meer een belangrijke update mist!

Kijk hier voor meer informatie of gebruik het formulier hiernaast om u direkt in te schrijven.

Geen verplichtingen

Het inschrijven verplicht u nergens toe. U kunt elk moment weer uitschrijven of uw instellingen wijzigen. Uw gegevens worden uiteraard verwerkt en opgeslagen conform de geldende regelgeving (AVG) en onze privacy-voorwaarden.

___
Afbeelding van ©Pixaline via Pixabay

 

Update Wordfence in verband met kritische kwetsbaarheid in InfiniteWP

Beveiligingsplugin WordFence heeft een belangrijke update ontvangen. De update is beschikbaar voor alle gebruikers inclusief gebruikers van de gratis versie. Wij raden gebruikers van WordFence aan direct te updaten, zeker als uw webhostingbedrijf en/of webdesigner InfiniteWP (zie de plugins in uw WordPress dashboard) gebruikt.

InfiniteWP is een beheerpanel waarmee websites grotendeels geautomatiseerd kunnen worden onderhouden. Cliënten van InfiniteWP zijn door hen direct na ontdekking van de kritische kwetsbaarheid geïnformeerd, zo ook Brinkman.IT. Wij hebben op alle websites welke onder ons beheer zijn de plugin onmiddelijk van een update voorzien. Zojuist hebben we waar nodig ook Wordfence updates uitgevoerd.

Wanneer U zelf uw website onderhoud, controleer en update dan regelmatig de plugins en WordPress software op updates. Het niet updaten van uw website of er in geïnstalleerde plugins kan tot grote problemen leiden. U kunt uw website(s), wanneer bij ons gehost, eenvoudig updaten met behulp van Installatron (beschikbaar binnen uw DirectAdmin panel). U kunt het onderhoud, voor een kleine vergoeding, ook door ons laten uitvoeren via onze Managed WordPress service. Dit is óók mogelijk wanneer u géén gebruik maakt van onze hostingdiensten.

Meer informatie over de Wordfence update kunt u hier lezen.

Kritische fout Prestashop webwinkels, update noodzakelijk!

Winkelkar webwinkel shoppen online winkelen woocommerce prestashop
Afbeelding van mohamed Hassan via Pixabay

De populaire webwinkel-software Prestashop bevat een ernstige kwetsbaarheid. Gebruikers van Prestashop wordt aangeraden per direct een update uit te voeren van de webwinkel software. De kwetsbaarheid kan leiden tot inbraak op uw website en onder andere diefstal van gegevens (AVG-consequentie).

De makers van Prestashop schrijven over de bug:

On January 2nd, we discovered a malware named XsamXadoo Bot. This malware can be used to have access to an online store and take control of it.

We now believe that the bot used a known vulnerability of the PHP tool PHPUnit that has been reported as CVE-2017-9841.

Here is what you need to do, it should take only 5 minutes.

1) Is my website vulnerable?

To know if your store is vulnerable to an attack, this is what you should do. If you’re uncomfortable managing files on your server, contact your qualified team member:

  • On your server, look into the Vendor folder at the root level of your PrestaShop website. If the Vendor folder contains a “phpunit” folder, you may be vulnerable to an outside attacker. You can now simply delete the “phpunit” folder and its content.
  • Once you checked the main PrestaShop folder, repeat the same steps but inside each module folder:
    In each module folder, check if there is a Vendor folder Inside the Vendor folder of each module, check if there is a folder named “phpunit”. If one module folder contains this “phpunit” folder, this module may make you vulnerable to an outside attacker. You can simply delete the “phpunit” folder.
  • Double check if every module Vendor folder does not contain a “phpunit folder”.

It will not affect module behavior. This simple step will protect your online store from this vulnerability, but remember that your website may have already been compromised.

→ If you did not find any module containing this phpunit folder, your store is not vulnerable.

For more technically detailed instructions, please visit our dedicated post.

2) What can happen if my store is compromised?

This vulnerability gives an attacker access to your website: for instance, this means an attacker can potentially steal your data.

Wij raden u derhalve aan per direct aktie te ondernemen als u gebruik maakt van Prestashop!