Tag: Beveiliging

Thuiswerken, Laptop, Wordpress

Tientallen miljoenen WordPress websites kwetsbaar in 2021

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Naar schatting tot wel 45 miljoen WordPress websites zijn potentieel kwetsbaar voor aanvallers doordat plugins niet meer bijgewerkt worden in WordPress. Eigenaren van websites zijn zich hier niet van bewust omdat ze geen melding meer krijgen dat de plugin een update nodig heeft.

Het probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen.

In dit artikel de oorzaak en de mogelijk ernstige gevolgen hiervan voor veel websites, wereldwijd, die WordPress en ClassicPress gebruiken. Mogelijk ook úw website!

Wat zijn WordPress plugins?

WordPress is een populair systeem voor het beheren van je website, een “content management” programma. Oorspronkelijk begonnen als “blog software” is WordPress uitgegroeid tot een programma uitermate geschikt als CMS voor websites.

wordpress gratis open source CMSBinnen WordPress bestaat de mogelijkheid functionaliteit aan het programma toe te voegen middels stukjes extra software, “plugins”. Plugins vormen sowieso al een beveiligingsrisico. De afgelopen jaren is dit meerdere malen gebleken. Ze worden bijvoorbeeld niet meer door ontwikkelaars onderhouden (“abandoned” plugins) of ze worden doorverkocht aan kwaadaardige ontwikkelaars die zo de websites waar deze plugins gebruikt worden kunnen infecteren zonder dat de eigenaren het door hebben.

Naar nu gebleken is, is er echter een nieuw en nog véél groter probleem met plugins. Dit wordt veroorzaakt door de overgang van WordPress versie 4.9 naar versie 5. WordPress versie 5 is voorzien van Gutenberg. Gutenberg is niet alleen een wijziging in de ‘editor’ (de tekstverwerker waarmee je berichten maakt voor je website) maar grijpt ook diep in op andere onderdelen van de software. Dit blijkt alleen al uit het feit dat de code van het pakket bijna verdubbeld is door de implementatie van Gutenberg.

Wat is het probleem met WordPress plugins?

Als beta-tester van ClassicPress, gebaseerd op de WordPress 4.9-branch, constateerde ik een “tekortkoming” bij het updaten van plugins. Namelijk: dat plugins niet tonen dat er een update is zodra de plugin is gestopt met ondersteuning voor de WordPress 4.9-branch.

Normaliter wordt er in het WordPress dashboard, waar je de website beheert, namelijk een melding gedaan dat er een update beschikbaar is voor een plugin en bij de plugin zelf zie je dat ook.

wordpress-udpates-plugins

(afb. meldingen update plugins in WordPress)

Veel mensen zijn hier laks in overigens. Maar in elk geval wordt je gewaarschuwd. Zodra echter ontwikkelaars van WordPress plugins overgaan naar het ondersteunen van alleen nog maar WordPress 5+ wordt er dus géén melding meer gedaan van updates. Immers: die zijn er ook niet (meer) voor de 4.9.x en oudere versies? Je hebt daardoor effectief een “abandoned” (een “verstoten” of “weeskind”) plugin in je WordPress website.

Een bekend voorbeeld hiervan is het ontzettend populaire ContactForm7, een plugin waarmee je contactformulieren op je website kunt toevoegen. Deze ondersteund alleen nog WordPress 5.x-versies.

Ik dacht in eerste instantie dat de constatering die ik deed bij het testen het een tekortkoming in ClassicPress was. Dit bleek niet het geval te zijn!

Voor de meeste ClassicPress-gebruikers is het niet zo’n probleem want ze gebruiken veelal alternatieve plugins of plugins speciaal voor ClassicPress. Maar voor gebruikers van verouderde WordPress installaties, en die zijn er heel veel, is het een enorm probleem zonder dat ze het weten en er wordt ook helemaal niets aan gedaan door de ontwikkelaars van de plugins en WordPress zelf.

Tientallen miljoenen kwetsbare sites

Op het forum van ClassicPress deed ik hier daarom een melding over, met als gevolg dat er een interessante discussie ontstond hierover want eerder was het ook gezien als potentieel probleem ‘voor de toekomst’ en nog niets aan gedaan. Eén van de deelnemers heeft het vervolgens ook gemeld op de WordPress Slack. De respons er op was nogal lauw.”I see no reason to backport it” geeft overduidelijk aan dat men het gevaar van dit probleem totaal niet ziet en ernstig onderschat.

wordpress security issue plugins

(afbeelding wp slack)

Binnen de ClassicPress community is het meteen opgepakt en is sinds ClassicPress versie 1.3 een plugin, gemaakt door een ClassicPress gebruiker, opgenomen in de core installatie. Deze plugin waarschuwt wanneer gebruik wordt gemaakt van verouderde, niet meer ondersteunde, plugins.

Oudere versies van WordPress worden nog steeds actief aangeboden (via WordPress) en WordPress wordt gebruikt op meer dan 42% van alle websites wereldwijd. In totaal, volgens Google, 455 miljoen websites gebruiken WordPress. Daarvan is meer dan 10% een versie <5.x (bron).

Dat betekent dat er zo’n 45 miljoen websites op oude, 4.x of nog oudere, versies van WordPress draaien. Deze websites ontvangen géén updates meer van plugins die zijn overgegaan naar WordPress 5.x en dit vormt daarmee een ernstig beveiligingsprobleem. Een probleem dat “by design” voorkomt in WordPress. Zoals één van de mensen op de WordPress slack zegt: “none of the current WordPress versions expect that, they only expect to recieve updates compatible with that particular WP version”.

Een oplossing zou kunnen zijn dat de WordPress ontwikkelaars een notificatie zouden geven als “deze plugin is verouderd en wordt niet meer bijgewerkt”. Maar helaas krijg je de handjes niet op elkaar voor zo’n kleine fix. Die echter wel héél belangrijk zou kunnen zijn.

Het is niet de vraag óf maar wannéér er een kwetsbaarheid wordt ontdekt in een dergelijke verouderde plugin en daar opeens (grootschalig) misbruik van gemaakt wordt. Zoals bijvoorbeeld de bekende kwetsbaarheden in ContactForm 7. De makers van ContactForm7 hebben direct een update gemaakt. Maar,.. níet voor de oudere versies die nog volop in omloop zijn. En dat is precies de kern van het probleem!

Hoe los je het probleem met WordPress op?

Uiteraard is het bekend dat je een website moet onderhouden en regelmatig van updates moet voorzien. En als je zelf geen tijd, kennis of kunde hiervan of -voor hebt dan kun je het uitbesteden natuurlijk. Maar anderzijds is er soms geen andere mogelijkheid dan oudere versies van WordPress te gebruiken wegens bijvoorbeeld maatwerk-oplossingen die nog niet beschikbaar zijn voor een nieuwe WordPress versie.

Daarnaast wordt er voor WordPress 4.8.x en 4.9.x nog steeds onderhoud gedaan door Automattic, de makers van WordPress, en updates en patches voor uitgebracht. Als een software product nog steeds ondersteund wordt is het, mijns inziens, dan ook van het grootste belang dat Automattic er voor zorgt dat de gebruikers geattendeerd worden op potentiële security problemen!

Vooralsnog ligt de bal bij u. Controleer regelmatig of u nog wel de laatste WordPress versie gebruikt, of de plugins up to date zijn (en vertrouw daarbij bij WordPress-versies kleiner dan versie 5 niet op de meldingen in het dashboard) en zorg dat ze bijgewerkt zijn en blijven.

Natuurlijk is de beste oplossing: zorg dat uw WordPress-versie up-to-date is en blijft.

beveiligen website ssl plugins wordpress hacks

Maakt verbergen van WordPress website veiliger?

wordpress gratis open source CMSAll in One SEO en sommige beveiligingsprogramma’s bevelen aan om te verbergen dat je voor je website WordPress (of Joomla of een ander CMS) gebruikt. Verbergen van WordPress wordt als een goede beveiliging gezien want: “zo weten hackers niet wat je gebruikt”. Maar maakt verbergen van WordPress je website veilliger?

Er zijn daarom speciale plugins beschikbaar voor het verbergen van je WordPress software. Zoals WP Hide & Security Enhancer. De makers zeggen over hun plugin het volgende:

The easy way to completely hide your WordPress core files, login page, theme and plugins paths from being show on front side. This is a huge improvement over Site Security, no one will know you actually run a WordPress. Provide a simple way to clean up html by removing all WordPress fingerprints.

Maakt verbergen van WordPress je website veiliger?

Wordt je website veiliger door het installeren van een dergelijke plugin? Het antwoord moet zijn: Nee. Dat zal veel mensen wellicht verbazen. Daarnaast maakt het je WordPress website mogelijk ook instabiel. Hoe zit dat?

Ongerichte aanvallen
De meeste aanvallen van hackers zijn niet gericht. Ze “schieten met hagel”. De aanvallen gaan namelijk nagenoeg altijd grotendeels geautomatiseerd via zogeheten bots of scripts. Dus welk bot of script ook op je site probeert in te breken het zal gewoon proberen bekende kwetsbare URL’s te raken, in de hoop dat je site een van de getroffen versies van een kwetsbare plug-in of WordPress versie gebruikt. Ze weten niet echt of de plug-in er is. U zult in uw logbestanden dan ook waarschijnlijk (kwetsbare) URL’s zien voor CMS’s die u ook niet gebruikt. Zoals exploiteerbare URL’s voor Joomla, Drupal, en andere.

Zo zien wij regelmatig op websites waar helemaal geen Joomla op staat geïnstalleerd scans voor een openstaande “administrator”-link. En andersom zien we scans op Joomla sites pogingen brute-force aanvallen te doen op een eventueel aanwezige WordPress installatatie. Pas zodra zo’n script een link aantreft zal eventueel de mens er achter in aktie komen.

Als iemand wil zien welke plug-ins je hebt, zijn erg genoeg manieren om dat te doen. Het verbergen van uw login, plugins of WordPress-versie wordt daarom niet langer echt als een beveiligingsoplossing beschouwd.

In de praktijk werkt het niet
In de praktijk hebben we vastgesteld dat het simpelweg niet werkt. Bij websites waar de WordPress inlog is ‘verstopt’ zien we dat binnen de kortste keren deze inlogpagina toch (weer) gevonden wordt.

Risico’s van het verbergen

1. Het wijzigen van WordPress-URL’s brengt het risico met zich mee dat de functionaliteit van WordPress-thema’s en plug-ins wordt gebroken. De functies van WordPress JavaScript XMLHttpRequest-object (AJAX) worden bijvoorbeeld geactiveerd via admin-ajax.php die zich in de map wp-admin bevindt.

2. Het wijzigen van de URL geeft ons een veiliger gevoel, maar het maakt de site niet echt veiliger. Het is wat veel beveiligingsexperts ‘security through obscurity’ noemen. Het is alsof je de voordeur van je huis verplaatst om jezelf te beschermen tegen inbraak… Elke doorgewinterde dief gaat gewoon op zoek naar een andere deur of ramen om binnen te komen. Elke aanvaller zal hierop anticiperen en ook andere manieren zoeken om binnen te komen.

3. Meer dan de helft van alle inlogpogingen die worden gedaan op WordPress-sites worden gedaan via xmlrpc.php. Dit was jaren geleden al zo, dat is nog steeds zo. Die worden niet gestopt door uw beheerders-URL te wijzigen.

Wat is wel een goede beveiliging?

Een goede beveiliging is een plugin als Wordfence of All-in-One WP Security. Ze hebben beide hun voor- en nadelen. Beide ondersteunen de Google reCaptcha, Wordfence tevens 2FA-beveiliging. Eén opmerking willen we wel maken over All-in-One WP Security: gebruik nooit de optie voor het hernoemen van de database prefix. Wij hebben diverse websites daardoor down zien gaan.

Boven alles is beveiliging een zaak van de software regelmatig backuppen en updaten. Een website die niet up to date is, is een kwetsbare website. Ook als deze “verstopt” is!

Verstoppertje spelen op internet heeft geen zin. Natuurlijk kunt u een plugin die dit aanbiedt gebruiken maar we hebben diverse tests uitgevoerd en het is gebleken zinloos.

Blokkeren aanvallen XMLRPC

Als u aanvallen op de xmlrpc.php wilt blokkeren in Wordfence, kunt u dit doen in de Wordfence-plug-in op de pagina Login Security > Settings. Raadpleeg de waarschuwing voordat u dit doet. Als u sommige functies van Jetpack of posten op afstand met de WordPress-app gebruikt, kunt u XMLRPC niet blokkeren.

Wordfence xmlrpc.php beveiliging

Als u de wp-admin- of wp-login-URL’s wijzigt, verliest u ook het zicht op wie probeert in te loggen op uw site en wanneer ze dit doen, omdat beveiligingsprogramma’s niet op zoek zijn naar logins op een willekeurige URL die iemand heeft verzonnen… daarmee ondergraaft u dus de functionaliteit van bijvoorbeeld WordFence. All-in-One WP Security biedt in de plugin ook features voor “hernoemen” van de WP-admin. Wanneer dat vanuit de plugin gedaan wordt breek je de beveiliging wellicht niet, maar zoals gezegd héél erg zinvol is dat niet. Soms zelfs juist niet. Omdat andere software er over kan struikelen.

Natuurlijk kan het áltijd voorkomen dat er een menselijke hacker het specifiek op uw website heeft voorzien. In een dergelijk geval zou ‘security trough obscurity’ de aanval kunnen vertragen. Maar uitsluiten? Nee, absoluut niet.

 

 

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgen

Datalekken: hoe schadelijk of gevaarlijk is dat?

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

GGD, Global Marketing Bridge, AlleKabels, Autobedrijven (RDC, een bedrijf dat autogarages ICT-diensten aanbiedt), Booking.com, Expedia, Hotels.com, bol.com, EasyJet, bouwbedrijf Heijmans. Datalekken zijn aan de orde van de dag.

Keer op keer worden duizenden tot zelfs miljoenen gegevens zoals email adressen, wachtwoorden, financiële gegevens inclusief bankrekeningnummers en vermogen alsmede ID-kaarten en BSN-nummers gelekt. Of gestolen. Is uitsluiten van een datalek mogelijk?

Hoe veilig zijn je privé gegevens nog in deze digitale wereld? Wat kun je doen om te voorkomen dat je privé gegevens gestolen of gelekt worden? Hoe gevaarlijk is al dat lekken van data en stelen van je gegevens door criminelen? En, wat zijn de gevolgen van een datalek voor je bedrijf en hoe voorkom je dat?

Voorbeelden recente datalekken

Bouwbedrijf mailt per ongeluk adressen en inkomens van woningzoekers rond
https://www.nu.nl/tech/6127712/bouwbedrijf-mailt-per-ongeluk-adressen-en-inkomens-van-woningzoekers-rond.html

Datalek bij telemarketingbedrijf Global Marketing Bridge
https://radar.avrotros.nl/uitzendingen/gemist/item/datalek-bij-telemarketingbedrijf-global-marketing-bridge-zegt-iets-over-bedrijfscultuur-radar-checkt/

Groot datalek bij autobedrijven
https://radar.avrotros.nl/nieuws/item/groot-datalek-bij-autobedrijven-criminelen-maken-miljoenen-gegevens-buit/

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen
https://www.volkskrant.nl/nieuws-achtergrond/datalek-bij-ggd-gegevens-van-miljoenen-nederlanders-in-criminele-handen~b7f17bea/

Meer artikelen over recente datalekken bij TROS Radar
https://radar.avrotros.nl/zoeken/#/&sort=datetime:desc&page=1&layout=list&q=datalek

Hoe gevaarlijk is het lekken van data?

Wanneer data ‘gelekt’ of gestolen wordt gaan deze gegevens meestal vrij snel zwerven in het criminele circuit. Dit betekent dat mensen met onzuivere bedoelingen gegevens gestolen bij bijvoorbeeld een webwinkel, zoals een gebruikersnaam met wachtwoord, gaan gebruiken om bijvoorbeeld op uw naam bestellingen uit te voeren. Aangezien er dan vaak een ander afleveradres opgegeven wordt (in de praktijk iets wat bij bol.com e.a. bijvoorbeeld vaak voorkomt) zijn de facturen die hier uit voortkomen niet rechtsgeldig.

Het is aan de webwinkel of leverancier om te bewijzen dat u het ook daadwerkelijk hebt besteld. Het geeft echter wel een hoop narigheid voor zowel de verzender van de goederen als de persoon die als “besteller” staat vermeld!

Het wordt erger wanneer er ook identificerende gegevens zoals een ID-kaart, BSN-nummer zichtbaar, of andere gegevens worden gestolen of gelekt waarmee mensen identiteitsfraude kunnen gaan plegen. Dit kan enorme consqeunties hebben.

Het lek bij de GGD bijvoorbeeld, waar ook BSN en adresgegevens zijn buitgemaakt, is ernstiger. Hoewel het een en ander gedownplayed wordt is het zeker niet ondenkbaar dat met een valse ID-kaart (wie ziet of een kopie van een ID-kaart wel of niet geldig is?) met juist BSN er op fraude gepleegd kan worden. Er wordt gesteld “De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein.”. Maar dus zeker niet uigesloten! Wie dat gelooft onderschat de kennis en kunde aanwezig in het criminele circuit alsmede het wijdvertakte netwerk waar zij gebruik van kunnen maken. Immers, zo ontstond dit lek ook?

Het Juridisch loket heeft de nodige informatie over wat u kunt doen als u slachtoffer van identiteitsfraude bent geworden.

Hoe voorkom je dat gegevens gelekt of gestolen worden?

Bij heel veel webwinkels is het mogelijk een bestelling te plaatsen zónder een account aan te maken. Persoonlijk kies ik daar áltijd voor als het mogelijk is. Zorg ook, en ik ben niet de eerste die dat zegt, dat je gebruik maakt van verschillende wachtwoorden voor elke website waar je een account aanmaakt. Dat vinden veel mensen lastig want “ik kan al die wachtwoorden niet onthouden”. Dat moet je dan ook niet doen, daar zijn hulpmiddelen voor zie: https://veiliginternetten.nl/themes/situatie/ik-kan-mijn-wachtwoord-niet-onthouden/

  • Gebruik, wanneer mogelijk, 2FA of tweestapsverificatie. Zie: Leer (van de hack) van Fred van Leer.
  • Gebruik alleen websites die veilig zijn. Die herken je aan het ‘slotje’ op een site. Dat zegt echter niet alles. Het slotje laat zien dat data tussen je computer en de website veilig over en weer gaan. Maar dat zegt niets over de persoon of organisatie achter de site.

Ik heb in het verleden meegemaakt dat een bedrijf alles keurig op orde had: SSL-certificaat, alle protocollen op orde, email beveiligd. Maar één dingetje waren ze vergeten: alle gebruikersnamen en wachtwoorden stonden open en bloot, in leesbaar format, in een tekstbestandje op de webserver. Gewoon leesbaar en te benaderen als je via Google er op zocht.. Ook al doe je zelf alles helemaal veilig, dan nog ben je afhankelijk van derden: de personen of bedrijven die je gegevens beheren. Verzeker je er zo goed mogelijk van dat zij dit veilig doen en controleer bijvoorbeeld hun privacy protocol.

Wat te doen als je bedrijf getroffen wordt door een datalek?

Helemaal uitsluiten van een datalek is onmogelijk, de blunder van de medewerker van bouwbedrijf Heijmans maakt dat maar weer eens duidelijk. Een menselijke fout kan altijd gebeuren! Voor een bedrijf is het echter een verschrikking: in het nieuws komen met een groot datalek. Maar hoe ga je daar mee om?

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgenAls eerste dient er direct een melding te worden gemaakt bij de AP (Autoriteit Persoonsgegevens) en dienen alle betrokkenen geïnformeerd te worden. Dit laatste wordt vaak verzuimd.

AlleKabels laat bijvoorbeeld op 16 april jl. in een email aan haar klanten weten:

“Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen [..] Alleen de wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd hebben, kunnen worden gekraakt. Voor u is het belangrijk te weten dat dit ook om uw gegevens gaat. [..] Om de belangen van u als klant maximaal te beschermen heeft Allekabels besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat geldt dus ook voor uw wachtwoord.”

Pas nádat de pers melding doet over het datalek neemt het bedrijf, acht maanden(!) later, actie richting de cliënten en downplayed de gevolgen ook nog eens door te melden dat het om “een minderheid” van de klanten gaat (waar wij één van waren). Ze maken hier mijns inziens twee fouten:

  • Het wissen van de wachtwoorden van de klanten heeft alléén gevolgen voor het inloggen op het systeem van het bedrijf zelf. De klant is hier absoluut niet mee geholpen;
  • Doordat de email een algemene mail is, weet de klant niet om welk email adres het gaat dat mogelijk misbruikt is (onvolledige informatie). Zeker wanneer klanten vaak dezelfde email/wachtwoord combinatie gebruiken is het mogelijk dat er ook bij andere webshops ingebroken kan worden met deze gegevens. Dit is een relevant, maar ontbrekend, gegeven voor de klant!

Ik schrijf hier niet over om AlleKabels in discrediet te brengen maar omdat zij het zelf zo melden in een algemene mail aan hun klanten.

Een bedrijf dient goed en volledig te informeren. De AP is hier helder over: “Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.”

De eerste reactie van de veroorzaker(s) van een datalek is vaak: “hush-hush, niet over praten, snel onder het vloerkleed”. Dat is een absoluut verkeerde insteek. Het ‘toverwoord’ is: informeren. Open, eerlijk en zo snel mogelijk! Informeer de AP, de betrokkenen. Ook als het niet verplicht is betrokkenen te informeren.

Voor ondernemers heeft de KvK een informatieve pagina over de AVG en datalekken.

Hoe is onze beveiliging geregeld?

Zoals gezegd: voorkomen van een datalek is nagenoeg onmogelijk. Net als inbraak op een systeem. Criminelen moet je absoluut niet onderschatten. Niemand kan 100% garanderen dat een systeem veilig is.

  • Om diefstal van gegegevens te voorkomen, slaan wij de inloggegevens van klanten niet op in een database. Ook niet off-line;
  • we maken gebruik van een SSL verbinding met de website
  • inlogverificatie op servers, toegang via beveiligde verbinding (SSL). 2FA is beschikbaar voor klanten
  •  geen ‘root’ toegang via internet op onze shared hosting servers
  • geen ssh-toegang voor cliënten en derden
  • Firewall op alle servers
  • Gebruik van Malware- en Virusscanners.

Tot slot testen en controleren we regelmatig onze servers en gebruiken zelf 2FA verificatie. Zie voor meer informatie ons Privacy Protocol.

Leer (van de hack) van Fred van Leer

Wat kun je leren van de gelekte seksvideo’s van Fred van Leer (en de hack van de verkiezingssite van Donald Trump)? Op basis van de informatie die inmiddels bekend is geworden kunnen een aantal leerpunten en belangrijke beveiligingsaanbevelingen worden gedaan.

Foto Film Video Mobiele telefoon mage by Gerd Altmann from Pixabay

Fred van Leer is niet de eerste bekende Nederlander die dit overkomt, en daarnaast zijn er nog talloze andere onbekende Nederlanders het slachtoffer van dit soort ellende.

1. Hou privé wat privé is

Een telefoon is geen foto- of videocamera. Dat klinkt gek immers: met een telefoon kun je filmen en foto’s maken? Maar wat ik bedoel is dit: volgens informatie die gisteren bekend werd is de video van van Leer in eerste instantie gelekt via zijn eigen instagram-account. Kennelijk bevond de gewraakte video zich dus op zijn telefoon.

De reden dat zoiets kan gebeuren is deze: wanneer iemand inbreekt op of via je Instagram, iCloud of Google account (en vele andere apps van diensten die je gebruikt op je telefoon) kan die persoon effectief toegang tot je telefoon krijgen. Immers: deze apps hebben om te functioneren toegang tot (de data van) je telefoon! Wie denkt dat ik nu echt onzin verkoop zou eens moeten kijken naar deze berichten op TheHackerNews, Checkpoint en Opgelicht van AvroTros (waarschuwing politie).

In either case, the attack could lead to a massive invasion of users’ privacy and could affect reputations — or lead to security risks that are even more serious (TheHackerNews).

Wat je dus opslaat (foto, film, data) op je telefoon is daarmee potentieel beschikbaar voor een eventuele inbreker. Die kan dat vervolgens simpelweg stelen, je er mee chanteren, de gegevens misbruiken en/of het publiceren. Er zijn ook speciale spionage-programma’s hiervoor in omloop (waar uiteraard geen link naar gemaakt wordt, want: illegaal).

Q – A hacker got into my phone and saw all my info and they found me through Instagram. Is it possible to hack into a phone if all you have is their Instagram?
A – If you have uploaded photos from your phone to your Instagram account, which most people have, then yes. (Quora)

De éérste, belangrijke, les is dan ook: hou privé wat privé is. Sla, als je dingen privé wilt houden, dit niet op op je telefoon. Foto’s, Filmpjes, maar ook andere belangrijjke data, die niet in handen mogen komen van derden horen niet op een dergelijk kwetsbaar, vaak slecht beveiligd, apparaat. En al helemaal niet “in de cloud” (waar het vaak automatisch wordt opgeslagen door Apple en Google). Weet jij waar dergelijke data over tien jaar (nog) rondzweeft?

Let wel: het is dus niet de beveiliging van het apparaat zelf wat hier het issue is maar de toegang die je verleent tot het apparaat middels te zwak beveiligde apps en eigen onvoorzichtigheid!

2. Gebruik goede beveiliging voor je Social Media

Beveilig je social media accounts daarom maximaal. Ja, dat ís soms wat hinderlijk in gebruikt. Maar wat is hinderlijker? Dat je data op straat ligt of af en toe een verificatie-code invoeren of scannen?

Voorbeeld van hoe kwetsbaar sommigen zijn: heel veel mensen gebruiken hun Facebook-login ook voor allerlei andere diensten (media, webwinkels). Achterhaalt iemand je inloggegevens van je facebook-account dan heeft zo’n persoon, daar op ingelogd, ook toegang tot allerlei andere gegevens van je – inclusief eventueel financiële gegevens.

Instagram, Facebook en vele andere diensten bieden allemaal tweestaps-verificatie. Gebruik die!

tweestapsverificatie facebook beveiliging sociale media

Het instellen van deze verificatie op Facebook is eenvoudig. Gebruik deze link: https://www.facebook.com/settings?tab=security

tweestapsverificatie instagramOok in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn meer dan voldoende handleidingen online te vinden die uitleggen hoe je dit kunt doen.

En vergeet uiteraard niet het ook in te stellen voor uw Google account (want: Playstore, Youtube, Gmail, Google Drive etc hangen allemaal achter dat éne wachtwoordje!). Google heeft onder andere hier een handleiding geplaatst.

Dit is, nogmaals, absoluut noodzakelijk om je privé data (dus niet alleen dat filmpje of die foto die je in een dolle bui een keer hebt gemaakt) te beschermen. Helaas is deze beveiliging binnen apps als Instagram en sites als Facebook nog steeds optioneel en vinden veel mensen het “teveel gedoe”. Maar nogmaals, bedenk hoeveel “gedoe” je kunt krijgen als je vertrouwelijke snapshots, videos of andere data op straat ligt?

3. Ik heb niks te verbergen?

Het aloude “ik heb niets te verbergen” gaat niet op. Mobiele apparaten, met name telefoons (die je nog nauwelijks een ‘telefoon’ kunt noemen) en alle koppelingen die daarmee gelegd kunnen worden, zijn een enorm risico. Ook als je “niets te verbergen” hebt. Denk immers maar aan je app voor bankieren, de inloggevens voor je website of online shops etc.

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. (De Correspondent)

Zeker 15% van de Nederlanders heeft wel eens te maken gehad met inbreuk op de privacy. Inbreuk op privacy is een inbreuk op je ‘eigen ik’. Denk bijvoorbeeld aan ‘sexting’ wat veel jongeren overkomt.

Fred van Leer, Patricia Paay en vele andere bekende, maar ook talloze onbekende, mensen hebben dat op een verschrikkelijke manier moeten ervaren. Laat het u niet overkomen!

Donald Trump Image by Gerd Altmann from Pixabay

You’re Fired! Campagnewebsite Donald Trump gehackt

Campagnewebsite Donald Trump gehackt en gegijzeld afgelopen dinsdag. Hoe kon deze hack gebeuren? Hoe had deze hack voorkomen kunnen worden?

Na de hack van het Twitter-account van President Donald Trump was het afgelopen dinsdag de beurt aan de campagnewebsite van de President Donald Trump. De website was door hackers ‘gedefaced’ en achter een ‘betaalmuur’ gezet. De hackers wilden losgeld voor het ongedaan maken van de gijzeling. Hoe kon deze hack gebeuren?

website donald trump gehackt
(screenshot gehackte website DonaldJTrump.com)

“Deze website is in beslag genomen”, kregen mensen die op de categorie events klikten korte tijd te lezen. “De wereld heeft genoeg van het nepnieuws dat dagelijks door president Donald J. Trump wordt verspreid.” (Leeuwarder Courant).

Makkelijke wachtwoorden

Het Twitter-account van Trump was inmiddels al twee keer gehackt. Beide keren bleek dat Donald Trump (te) makkelijke wachtwoorden had gebruikt. De eerste keer was zijn wachtwoord ‘yourefired’ en bij de laatste, meest recente, hack (door een Nederlandse ethische hacker uitgevoerd) bleek zijn wachtwoord (maga2020!) wederom erg eenvoudig te achterhalen.

Hack campagnewebsite

Donald Trump Image by Gerd Altmann from Pixabay
Donald Trump Image by Gerd Altmann from Pixabay

De hack van de campagnewebsite moet volgens de onderzoekers van beveiligingsplugin Wordfence ook in dat licht worden gezien.

Ondanks gebruik van een hoog aangeschreven commercieel CMS systeem waarvan bekend is dat er niet of nauwelijks kwetsbaarheden in zitten en CloudFlare als CDN werd de website gehackt. Volgens WordFence kan uit hun onderzoek er maar één reden zijn waarom de campagnewebsite is gehackt: onvoldoende beveiligd. Er kan volgens hen alleen ingebroken zijn doordat er geen 2-factor authenticatie is gebruikt.

Een website van dergelijke importantie hoort eenvoudigweg 2-factor authenticatie te gebruiken. Dit is relatief eenvoudig te regelen. Gebruik je voor je website WordPress dan kun je zelfs met de gratis versie met Wordfence via de optie “Login Security” en een app als “Google Authenticator” er voor zorgen dat je website “dubbel beveiligd” is en niemand op die relatief eenvoudige manier kan inbreken.

Beveiliging installeren

Een dergelijke hack had dus voorkomen kunnen worden. Ook uw website is relatief eenvoudig te beveiligen voor dit soort inbraak, infecties met malware en andere hacks. Wij raden dan ook aan om een dergelijke beveiliging te gebruiken bij onze hostingproducten. Hebt u een WordPress website en ondersteuning nodig voor het installeren van de beveiliging, neem dan contact op met ons.

Voor een snel herstel van een website, na een inbraak, is tevens een actuele backup noodzakelijk. Lees hier hoe je in WordPress gratis een dagelijkse backup kunt instellen. Duidelijk is dat het campagneteam van Trump dit wel goed geregeld had: de website was vrij snel weer hersteld.

 

Wijziging geldigheidsduur SSL Certificaten

De levensduur (=geldigheid) van commerciële SSL certificaten is maximaal 2 jaar. Dit wordt gewijzigd; de duur wordt ingekort tot maximaal één jaar. De gratis ssl-certificaten van Let’s Encrypt, geldig voor een periode van 90 dagen, worden automatisch vernieuwd en niet gewijzigd.

De “commerciële” certificaten, dat zijn certificaten met een hogere dekking en veiligheidsgraad dan de gratis SSL’s van Let’s Encrypt, worden niet automatisch verlengd en ook handmatig door ons, of door cliënten zelf, geïnstalleerd. Van één van onze leveranciers kregen wij het volgende bericht over de SSL-certificaten:

Per 1 september 2020 wordt de levensduur van SSL-certificaten wereldwijd ingekort naar maximaal 398 dagen. U kunt vanaf deze datum enkel nog 1 jarige SSL-certificaten bestellen. [..] SSL-certificaat aanvragen tot 1 september 2020 kunnen nog voor 2 jaar worden uitgegeven.

Bestaande en vóór 1 september aangevraagde certificaten die een levensduur van 2 jaar hebben worden dus niet ingetrokken maar kunnen na verval niet weer voor een periode van twee jaar worden verlengd.

Wijzigingen GMail SMTP instellingen

nieuwsbrief emailGmail heeft wijzigingen doorgevoerd in haar systemen die op dit moment langzaamaan uitgerold worden. Dit heeft tot gevolg dat cliënten die gebruik maken van de Gmail suite gekoppeld aan onze servers foutmeldingen (kunnen) krijgen.

De oplossing hiervoor is:

  • afname SSL certificaat, inclusief SSL voor de mail. Daarna stelt u de SMTP in op poort 465 (SSL).
  • email via poort 25 verzenden (“onveilig”).
  • de Gmail SMTP gebruiken (aanbevolen).

Let wel: het probleem wordt dus niet door onze dienstverlening veroorzaakt, hier zijn geen wijzigingen in aangebracht.  Het gebruiken van de Gmail SMTP wordt aanbevolen omdat u dan zeker weet dat bij verdere wijzigingen van de kant van Google’s Gmail er niet wederom problemen ontstaan.

Zie ook, voor meer informatie, de onderstaande links.

https://support.google.com/a/thread/38752674?hl=en

https://gsuiteupdates.googleblog.com/2020/04/improve-email-security-in-gmail-with-TLS.html

https://kinsta.com/nl/kennisbank/gratis-smtp-server/

Ernstig WordPress beveilingslek contact-form-7-datepicker plugin.

wordpress logoDe plugin “contact-form-7-datepicker”, een toevoeging voor de populaire plugin ContactForm7, bevat een ernstig beveiliginslek. Met contact-form-7-datepicker is het mogelijk een datumveld-kiezer toe te voegen aan ContactForm7 formulieren.

De fout is dusdanig ernstig dat contact-form-7-datepicker inmiddels uit de WordPress bibliotheek is verwijderd.

Het betreft hier een XSS (Cross-site scrpting) probleem.

Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. (Wikipedia)

De makers van de plugin zijn niet van zins het probleem op te lossen(!) en dus blijft de kwetsbaarheid bestaan. Op dit moment is de plugin actief op ca. 100.000 websites. Ons zéér dringende advies is om, wanneer u de plugin gebruikt, deze per direct te verwijderen.

Geen zorgen over WordPress onderhoud, software en beveiligingsupdates of geen tijd om uw website up to date te houden? Maak gebruik van onze Managed WordPress oplossing. Kijk hier voor meer informatie.

Meer informatie/bron: Wordfence.

Update Wordfence in verband met kritische kwetsbaarheid in InfiniteWP

Beveiligingsplugin WordFence heeft een belangrijke update ontvangen. De update is beschikbaar voor alle gebruikers inclusief gebruikers van de gratis versie. Wij raden gebruikers van WordFence aan direct te updaten, zeker als uw webhostingbedrijf en/of webdesigner InfiniteWP (zie de plugins in uw WordPress dashboard) gebruikt.

InfiniteWP is een beheerpanel waarmee websites grotendeels geautomatiseerd kunnen worden onderhouden. Cliënten van InfiniteWP zijn door hen direct na ontdekking van de kritische kwetsbaarheid geïnformeerd, zo ook Brinkman.IT. Wij hebben op alle websites welke onder ons beheer zijn de plugin onmiddelijk van een update voorzien. Zojuist hebben we waar nodig ook Wordfence updates uitgevoerd.

Wanneer U zelf uw website onderhoud, controleer en update dan regelmatig de plugins en WordPress software op updates. Het niet updaten van uw website of er in geïnstalleerde plugins kan tot grote problemen leiden. U kunt uw website(s), wanneer bij ons gehost, eenvoudig updaten met behulp van Installatron (beschikbaar binnen uw DirectAdmin panel). U kunt het onderhoud, voor een kleine vergoeding, ook door ons laten uitvoeren via onze Managed WordPress service. Dit is óók mogelijk wanneer u géén gebruik maakt van onze hostingdiensten.

Meer informatie over de Wordfence update kunt u hier lezen.

Help! Mijn account is gehackt! Facebook en LinkedIN controleren.

Vijf tips en trucs voor Facebook MarketingIs je computer, telefoon, Facebook of LinkedIN account gehackt? Gluren anderen met je mee? Hoe kom je daar achter?

Regelmatig zie je het gebeuren: mensen hun Facebook of LinkedIN ‘doet gekke dingen’. Opeens krijg je bijvoorbeeld, met name via Facebook, allerlei rare chatberichten van een bekende of, erger nog: je eigen account stuurt via Messenger gekke dingen rond. Er verschijnen posts op je pagina waarvan je zeker weet dat jij dat niet gedaan hebt. Het is een overduidelijk signaal dat iemand anders de controle over je Facebook of LinkedIN heeft overgenomen. Grote paniek is vaak het gevolg.

Dit kan ook een indicatie zijn dat de controle over je computer of telefoon (gedeeltelijk) is overgenomen; mogelijk dat je browser bijvoorbeeld gekaapt is. Reden hiervoor is vaak dat men probeert gevoelige gegevens te achterhalen. Inloggegevens van websites bijvoorbeeld.

Niet alleen heel vervelend allemaal, het kan ook grote commerciële schade hebben. Recent was er nog een ‘hack’ met als gevolg dat een wereldberoemde fotograaf met honderdduizenden volgers op Facebook en Instagram niet meer bij zijn accounts kon omdat iemand zijn wachtwoord had achterhaald. Op zijn pagina verschenen opeens allemaal filmpjes en reclames voor een product uit Korea.. Het heeft enkele weken(!) geduurd voordat hij weer toegang had tot zijn accounts – mede doordat veel van zijn vaste volgers Facebook (ook eigenaar Instagram immers) onder druk gezet hebben de toegang te herstellen voor hem.

Voorkomen is dus uiteraard beter dan genezen. En gelukkig kan je zien, als dat zo is, of en wie er ‘rommelt’ met je Facebook of LinkedIN pagina’s. Misschien niet eens een hacker, maar nieuwsgierige collega’s en huisgenoten? Want ook dat kan… Zeker als je op de computer of tablet thuis aanmeldt, op je werkplek inlogt op de sociale media, een “leen-laptop” gebruikt, of een publieke computer gebruikt en vergeet af te melden.

Dit kan verstrekkende gevolgen hebben. Immers, iemand kan op dat moment onder jouw ‘digitale identiteit’ dingen gaan uitvoeren: je berichten aanpassen of verwijderen, je privé chats op messenger lezen of onder jouw identiteit met anderen chats voeren, je gegevens gebruiken om elders in te loggen (Facebook login!) en ga zo maar door. Het is niet denkbeeldig; ik heb het de laatste jaren meedere malen zien gebeuren bij mensen, met soms zelfs grote gevolgen voor vriendschappen en zelfs relaties.

INLOG GEGEVENS CONTROLEREN
Zowel Facebook als LinkedIN, en heel veel andere online services, bieden een mogelijkheid te controleren waar- en wanneer er op je account is ingelogd. Daarmee kun je zien of er ‘iets aan de hand’ is. En mocht dat zo zijn dan is er een oplossing geboden om hier meteen aktie op te ondernemen. Zowel Facebook als LinkedIN bieden een optie om alle aanmeldingen direct uit te loggen. Daarna je wachtwoord aanpassen uiteraard.

Gebeuren er daarna weer ‘rare dingen’ dan is er duidelijk iets aan de hand op je telefoon of computer. Gebruik een goede malware of anti-virus scanner om je apparaat te scannen/controleren. Gebruik geen obscure onbekende sotware, kies voor de bekende namen met een goede reputatie: Kaspersky, Symantec, of (bij Windows) de standaard Windows Defender. Kijk hier voor een overzicht. Kom je er niet uit? Ga naar een expert.

FACEBOOK EN LINKEDIN CONTROLEREN
Een eenvoudige controle is vaak voldoende om te zorgen dat je meer weet.

LinkedIN
– klik op je profielfoto rechtsboven (“Ik” staat er bij);
– klik “Instellingen en Privacy”
– klik op het tabblad [ACCOUNT] – scroll naar “Waar U bent aangemeld” en klik daar op.

U ziet vervolgens een scherm als onderstaand (link: https://www.linkedin.com/psettings/sessions):

U kunt hier alle aangemelde en actieve sessies zien. Vertrouwt u een aanmelding niet dan kunt u de IP-adressen controleren met bijvoorbeeld IP-Lookup (https://ip-lookup.net/) om te bekijken om wat voor inlog het gaat en uiteraard kunt u ook gewoon kiezen voor “Afmelden bij al deze sessies”.

Zijn er activiteiten die u niet vertrouwt? Verander uw wachtwoord en hou deze bovenstaande gegevens wat vaker in de gaten.

Facebook
– Klik op het driehoekje helemaal rechtsboven in de blauwe balk;
– klik op “Instellingen”
– klik op “Beveiliging en aanmelding
– onder “Waar je bent aangemeld” kun je de aanmeldingen zien.

Afmelden voor alle sessies? Klik op “Meer weergeven” en “afmelden voor alle sessies”. Facebook biedt daarnaast nog diverse extra beveiligingsopties zoals tweestapsverificatie en meldingen ontvangen bij aanmeldingen vanaf een onbekend apparaat (mijn persoonlijke favoriet want je bent direct gealarmeerd als er verdachte aanmeldingen zijn).

WACHTWOORD OP JE APPARAAT
Tot slot nog een een voor de hand liggende, maar helaas toch vaak verzuimde, tip: stel een wachtwoord in op je telefoon, laptop of computer. Dat kan al veel problemen voorkomen!