Verbeter de veiligheid van WordPress

Het aantal brute force aanvallen op WordPress websites neemt de laatste tijd weer toe. Ook op ons hostingplatform. Hackers proberen op die manier (door een geautomatiseerde aanvalsgolf op de inlog voor het WordPress dashboard) in te breken op je website.

Dit doen ze niet met een paar pogingen .. maar met honderden, zoniet duizenden, pogingen achter elkaar. Met als gevolg dat je website onbereikbaar kan worden (in het gunstigste geval) of, erger, dat men er in slaagt in te breken.

Er zijn héél veel veiligheidsmaatregelen die je kunt én moet nemen.

Bijvoorbeeld:
– limiteren inlogpogingen;
– géén standaard inlog naam en wachtwoord;
– moeilijk wachtwoord voor de database-verbinding;
– installatie van een goede veiligheidsplugin (Wordfence bijvoorbeeld).

CODE EDITOR
Eénmaal ingebroken is één van de dingen die ze vrijwel direct proberen: code aan je website toevoegen. In het Worpress dashboard is dat helaas vrij eenvoudig met de editor die ook toegang geeft tot de code van je programma en thema’s. Het is aan te raden dit uit te zetten bij een live website (want het is onwaarschijnlijk dat je dit nodig hebt en in die gevallen kun je het weer tijdelijk aan zetten). Dit kan heel eenvoudig.

Ga naar het bestand wp-config.php en voeg deze regel toe:

define( 'DISALLOW_FILE_EDIT', true );

voor de regel

/* That's all, stop editing! Happy blogging. */.

Daarmee wordt de toegang tot de code editor geblokkeerd.

Geen idee of je website wel veilig is en/of hoe dit te doen? Geen tijd? Neem even contact met ons op. Wij regelen het graag voor je.

Joomla websites beveiligingsupdates uitgevoerd

Vandaag hebben wij voor zo’n 150 Joomla websites een beveiligingsupdate uitgevoerd. De update zorgt er voor dat onbevoegden geen toegang meer krijgen tot de inlogpagina van beheerders.

Deze aanpassing was noodzakelijk wegens een grote brute force aanval op een groot aantal websites (klik hier voor meer informatie).

Aangezien deze beveiliging op basis van whitelisting (ip-adres) is kan het noodzakelijk zijn, wanneer U zelf of een webdesignbureau het onderhoud uitvoert, dat u een aanpassing moet maken in de .htaccess file in de administrator folder.

U dient dit bestand niet te verwijderen doch slechts aan te passen met extra ip-adressen. Voeg hiervoor een extra regel toe en sla het bestand daarna op.

Bij een aantal websites zagen wij dat de betreffende beveiliging uitgeschakeld was door het bestand te hernoemen. Dit kan en mag nooit de bedoeling zijn, hiermee schakelt U immers (goede) beveiliging uit met alle gevolgen van dien!

Wij willen onze cliënten er nadrukkelijk op wijzen dat deze update door ons is uitgevoerd ter bescherming van andere cliënten hun websites en onze eigen hardware. U bent zelf verantwoordelijk voor het correct functioneren én de beveiliging van uw website ténzij U met ons hiervoor een onderhoudscontract hebt afgesloten.

Alarmerend aantal hostingbedrijven gebruikt nog sterk verouderde en kwetsbare PHP-versies

Op welke PHP versie draait uw website? Waarschijnlijk weet U het niet. Maar het is van groot belang dit wel te weten en, eventueel, navraag te doen bij uw hostingbedrijf. Want: als voor het ‘draaien’ van uw website (sterk) verouderde en kwetsbare software wordt gebruikt, is daarmee ook uw eigen website kwetsbaar voor hackers en andere problemen.

Bron: WordPress.org

Uit de statistieken van WordPress, een software-systeem dat wereldwijd voor tientallen miljoenen websites wordt gebruikt -en daarom als zeer representatief kan worden gezien-, blijkt dat op dit moment nog ruim 77% van de WordPress websites gehost worden op websites met een PHP versie  die niet meer ondersteund worden (inclusief versie 7.0). Voor deze PHP-versies worden ook geen beveiligingsupdates meer uitgegeven.

Het is schokkend te zien dat er kennelijk dus massa’s hostingbedrijven en ‘self hosted’ (VPS) sites zijn die dergelijke verouderde PHP-versies nog steeds in gebruik hebben. Immers, denk alleen al eens aan de AVG-wetgeving en de gevolgen van een datalek? Uit de statistieken blijkt dat ca. 70% van de WordPress websites in elk geval wel courant zijn (versie 4.9+) maar dat ook legio zéér oude WordPress websites in gebruik zijn.

WELKE PHP-VERSIE?
BrinkhostDotCom (Brinkman.IT) heeft alle eigen servers voorzien van PHP 7.2. In een aantal gevallen kunnen cliënten nog kiezen voor een oudere ‘legacy’ versie, maar dat is voor eigen rekening en risico.

De nieuwe versies van WordPress, ClassicPress, Joomla en vele andere Content Management Systemen werken allemaal probleemloos op PHP 7.2. U kunt op ons hostingplatform in het DirectAdmin panel (via de Installatron-module) automatisch WordPress laten updaten en/of via onze managed WordPress zorgen dat uw WordPress website altijd up-to-date en probleemloos functioneert. Voorkom nare verrassingen!

 

Datalek van 772 miljoen email adressen en 22 miljoen unieke wachtwoorden

Via een ‘hackersforum’ is een bestand gedeeld met daarin 772 miljoen (772.904.991) email adressen en daarbij tevens 22 miljoen unieke wachtwoorden, zo meldt ondermeer Mashable via hun website.

Het 87 gigabyte grote bestand werd gehost en gedeeld via clouddienst “MEGA”, voorheen bekend als “Megaupload” van Kim Dotcom.  Mega

“emails and passwords were built up from numerous data breaches from allegedly thousands of sources, dating all the way back to 2008” – Mashable 

De collectie is dus niet altijd even accuraat, want opgebouwd uit veel oude bestanden. Maar, het feit dat er 22 miljoen unieke wachtwoorden zijn buitgemaakt geeft hackers de kans deze wachtwoorden in combinaties ‘af te testen’ met gebruikersnamen – uiteraard geautomatiseerd.

CONTROLEREN

U kunt controleren of uw email of wachtwoorden zijn buitgemaakt via de website “” van beveiliginsonderzoeker Troy Hunt. Die toegaf dat zelfs wachtwoorden van hem zelf waren buitgemaakt, alhoewel ze inmiddels verlopen waren.

Niet alleen controle op email is mogelijk, als u vaak hetzelfde wachtwoord gebruikt of ‘makkelijke wachtwoorden’ kunt u die hier testen: https://haveibeenpwned.com/Passwords

WACHTWOORD REGELMATIG VERANDEREN!

We hebben er al vaker op geattendeerd maar zorg er voor dat u regelmatig uw wachtwoord veranderd, nooit overal hetzelfde wachtwoord gebruikt en: gebruik een ‘wachtwoord manager’ zoals bijvoorbeeld KeyPass.

De vraag is namelijk, wanneer u zich niet aan deze spelregels houdt, niet óf maar wannéér uw accounts bij allerlei diensten worden “gekraakt”.

Gratis SSL Certificaat AVG geschikt

Twee miljoen websites, maar hoeveel zijn er veilig?

In Nederland zijn er meer dan twee miljoen websites. Er zijn daarnaast (juli 2018) 5,8 miljoen .NL-domeinen geregistreerd volgens de SIDN. Hoeveel van die websites zijn veilig, als in: voldoen aan de voorwaarden welke onder andere de Nederlandse overheid als richtlijn stelt?

Op www.internet.nl kunt u uw website testen.Internet.nl is een initiatief van de Nederlandse Internet Standards Platform.

WAT IS VEILIG?

Een website met een 100% score, zoals ook de onze, is echter niet per definitie veilig. Dat lijkt zo, maar er zijn nog zeker een aantal andere, zéér belangrijke, criteria die deze test niet kan meten.Een 100% score op deze test is dus in sommige gevallen regelrechte schijnzekerheid.

Bijvoorbeeld: is de software (CMS als WordPress of Joomla) wel up-to-date en veilig? Zijn de wachtwoorden wel goed ‘opgeborgen’, of gebruikt de beheerder standaard gebruikersnamen en wachtwoorden?

Natuurlijk zijn wij er trots op dat we in de “Hall of Fame” zijn opgenomen bij internet.nl omdat onze website op de door hen aangelegde criteria 100% scoort. En natuurlijk doen we er alles aan om een zo veilig mogelijke website te bieden.

TIENTALLEN MILJOENEN ONVEILIGE SITES

Er zijn tientallen miljoenen, zoniet véél meer, onveilige websites. Wereldwijd. Websites die je kunnen besmetten met malware. Of websites die je gegevens stelen. Of websites die zo slecht beveiligd zijn dat de hackers “in en uit lopen”. Maar op zijn minst voldoen ze niet eens aan de standaard eisen die je kunt stellen aan een website tegenwoordig: een SSL-verbinding, goede wachtwoordbeveiliging.

Bij internet.nl zijn op dit moment, van de twee miljoen Nederlandse website, zo’n 8.500 websites bekend die 100% scoorden. Een groot aantal sites is natuurlijk niet daar getest. Maar ook veel websites van (grote, bekende) ondernemingen en organisaties voldoen niet aan de eisen. Op dit moment zijn zo’n 140.000 websites getest. Met zo’n 8.500 websites die aan de eisen voldoen betekent dit dat slechts 6% de test haalt. Dit betekent dus automatisch dat 94% van de websites niet aan de standaard criteria voldoet. Bedenk daarbij dat de massa zijn of haar website niet eens test op internet.nl en U begrijpt wat het treurig stemmende eindresultaat is…

MAAK UW WEBSITE VEILIGER!

Wij kunnen het niet vaak genoeg benadrukken: maak uw website veilig(er). Google Chrome keurt websites zonder SSL verbinding inmiddels al af en markeert ze als “onveilig”. Voorkom dat uw bezoekers en cliënten geen vertrouwen in uw website hebben en neem de minimale beveiligingsmaatregelen. Een (gratis!) SSL certificaat is wel het minste wat U kunt doen. U kunt het certificaat hier bestellen (eenmalige installatiekosten € 15,– ex BTW). Voor meer informatie over de beveiliging die wij kunnen bieden, klik hier.

 

Aanvallen op WordPress websites

Wij zien een toenemend aantal aanvallen op WordPress websites in onze serverloggings. Ondanks eerdere waarschuwingen en informatie over hoe dit is te voorkomen wanneer u WordPress gebruikt, is bij een aantal klanten nog steeds de website niet optimaal beschermd.

Wanneer wij aanvallen constateren op een website nemen wij maatregelen. In het ergste geval blokkeren wij uw website voor bezoekers van buitenaf. In de meeste gevallen plaatsen wij in uw webiste een klein bestandje dat bijvoorbeeld brute force aanvallen op de xmlrpc.php blokkeert. Echter, het is mogelijk dat u bepaalde plugins gebruikt, zoals JetPack, die hier gebruik van maken. Deze functioneren vanaf dat moment niet meer op de juiste manier.

OPLOSSING

U kunt dit oplossen door een goede beveiligingsplugin te gebruiken en daarna uw .htaccess bestand aan te passen.

Nb! Als host zijn wij niet verantwoordelijk voor de kwetsbaarheden in de door u gedane installaties van Joomla, WordPress, Drupal e.d.! Het is echter in het belang van alle klanten dat wij slecht beveiligde websites afschermen zodat daardoor andere klanten geen problemen krijgen.

Gratis SSL Certificaat AVG geschikt

Chrome markeert websites als onveilig

Het is lang aangekondigd maar nu is het dan zo ver: Google Chrome (en Firefox) markeren websites zonder SSL-verbinding als “onveilig”.

Uw website kan daardoor veel bezoekers kwijtraken en uiteraard zal dit leiden tot (potentieel) omzetverlies.

HOE WERKT DIT IN DE PRAKTIJK?

Wanneer iemand met Google Chrome (de meest gebruikte webbrowser op computers en mobiele apparaten) of met Firefox een website bezoekt krijgt deze de melding dat de website “niet veilig” is. Dit is een afschrikwekkende waarschuwing voor een bezoeker!

HOE LOS IK DAT OP?

Wij leveren aan alle klanten een mogelijkheid tot de installatie van een GRATIS certificaat van Let’s Encrypt. Deze zijn geschikt voor de meeste ‘gewone’ websites. Hebt U een webwinkel of een website welke data verwerkt? Kies dan voor een betaalde variant! De commerciële certificaten bieden een iets uitgebreidere beveiliging en daarnaast een verzekering. Eénmalige installatiekosten voor een gratis certificaat bedraagt slechts 15 euro (ex BTW). Klik hier om direct te bestellen.

MEER INFORMATIE

Meer informatie kunt U op deze pagina vinden.