Tag: DirectAdmin

computer-malware-hack

Apache Log4j-kwetsbaarheid (CVE-2021-44228), DirectAdmin en WordPress

Er is een ernstige kwetsbaarheid ontdekt in Apache Log4j (CVE-2021-44228) waarvoor wereldwijd gewaarschuwd wordt en mogelijk enorme impact zal gaan hebben (en al heeft).

De kwetsbaarheid treft DirectAdmin gebaseerde webservers, waar wij gebruik van maken, en WordPress websites, waar veel van onze klanten gebruik van maken, niet.

computer-malware-hack“Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, waarschuwt dat de computersystemen van bijna alle bedrijven en instellingen geraakt kunnen worden. Het lek maakt het voor hackers kinderlijk eenvoudig om de systemen binnen te dringen. [..] Het nieuwe lek zit in Apache Log4j, software die door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. De software registreert bijvoorbeeld welke gebruikersnamen er op een website inloggen en wanneer.” (NOS).

Het lek in de software kan er toe leiden dat systemen gegijzeld worden (ransomware aanvallen) en eventueel ernstige schade aanrichten. De fout treft alle versies van Log4j en is dus niet zozeer een nieuwe fout alswel een nooit eerder ontdekte hele oude fout.

Apache Log4j-kwetsbaarheid

CVE-2021-44228 is een kritieke kwetsbaarheid die het Java-logboekpakket Apache Log4j treft. Als uw organisatie de log4j-bibliotheek gebruikt, moet u onmiddellijk upgraden naar log4j-2.1.50.rc2. Zorg ervoor dat uw Java-instantie up-to-date is. Het log4j-pakket kan worden gebundeld met software die u gebruikt van een bepaalde leverancier. In dit scenario moeten de leveranciers helaas zelf de beveiligingsupdates downstream pushen.

DirectAdmin gebruikt Log4j nergens, zo laat DirectAdmin weten op het officiele forum,  “dus er is niets voor ons om aan te kondigen of op te lossen met betrekking tot CVE-2021-44228. De cPanel Solr plug-in is de enige software, door cPanel geleverd en ondersteund, die log4j bevat. En ze hebben een update gepubliceerd met de beperking voor CVE-2021-44228 naar de cpanel-dovecot-solr RPM. Als “dovecot-solr” niet is geïnstalleerd, hoeft u zich daar geen zorgen over te maken. Plesk gebruikt Log4j niet, misschien gebruiken sommige extensies van derden het. Controleer de pakketinstallaties en bevestig deze”.

In WordPress is er ook geen kwetsbaarheid volgens het officiële WordPress forum aangezien WordPress geen Java gebruikt.

Kaspersky schrijft over deze kwetsbaarheid het volgende:

“Many large software companies and online services use the Log4j library, including Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, and many more. Because of the library being so popular, some information security researchers expect significant increase of the attacks on vulnerable servers over the next few days.”

Hoewel het nooit uit te sluiten is dat onze systemen geraakt kunnen worden door een zero-day exploit als deze, hebben we na controle (zie bovenstaande) en navraag vooralsnog geen maatregelen hoeven te nemen. CloudFlare, waar diverse cliënten gebruik van maken, heeft inmiddels al maatregelen genomen. Eigenaren van webwinkels welke Magento 2.x gebruiken (met ElasticSearch) wordt door Magento aangeraden, hoewel men geen problemen voorziet, tóch te upgraden naar de allerlaatste versies van componenten als ElasticSearch.

Geldzaken Beurs Euro portefeuille

Prijsstijging webhosters door kosten Plesk, cPanel, SolusVM en WHMCS

Webhosters over de hele wereld zijn de afgelopen jaren onaangenaam getroffen door sterk gestegen prijzen voor de licenties van populaire software als Plesk, cPanel, SolusVM en WHMCS. Dit, en de overnamegolf die nog steeds gaande is, heeft de afgelopen tijd tot grote prijsstijgingen geleid bij een aantal collega-webhosters.

Geldzaken Beurs Euro portefeuille
Image by Steve Buissinne from Pixabay

Er is veel onrust op dit moment over de prijzen die webhostingbedrijven in rekening brengen aan de afnemers van domeinnamen en webhosting.

Op diverse fora (o.a. SiteDeals, Tweakers) valt te lezen dat sommige webhostingbedrijven de prijzen tot wel 500% verhoogd hebben, onder verwijzing naar ondermeer de “gestegen prijzen voor de licenties” maar vaak wordt ook gezegd dat “verbeterde dienstverlening” hier de reden van is (bijvoorbeeld meer ruimte voor uw website).

Vooral gebruikers van VPS’ses merken dit. Sommige bedrijven geven zelfs klip en klaar aan dat de licentiekosten voor de beheersoftware nu al hoger is dan de marge die ze maken. Met andere woorden: een verliesgevende situatie.

De oorzaak voor de prijsstijgingen is dat ook in de software-wereld er al een paar jaar een overnamegolf gaande is. Investeringsmaatschappij Oakley Capital heeft onder andere Plesk, cPanel, SolusVM en WHMCS opgekocht. Daarnaast, zoals wij eerder al gemeld hebben, vind er een tijdje nog een overnamegolf plaats.

Gaan onze prijzen ook omhoog?

Vraag van sommige cliënten is “wat de prijzen bij ons gaan doen” de komende tijd. Een terechte vraag! Maar voor we die helder kunnen beantwoorden willen we eerst kort wat verder ingaan op wat er gaande is.

Investeringsmaatschappijen

De investeringsmaatschappijen hebben als doel geld in een onderneming te steken om daar rendement mee te behalen. Een overname van een bedrijf of softwareproduct moet dus ‘renderen’ en dat liefst op een korte termijn en met zoveel mogelijk rendement.

Voor veel hostingbedrijven betekent dit dat ze zichzelf uit de markt prijzen. De dienst wordt te duur. Ze kunnen helaas vaak niet anders immers: ze moeten de licenties betalen voor de software die ze in gebruik hebben. Aan sommige software zijn ze ‘met handen en voeten’ gebonden; bijvoorbeeld Plesk of cPanel. Daarmee beheer je de webservers, geeft de cliënten toegang tot de dienst etc. Een migratie naar een ander beheerpakket is zomaar niet geregeld, zeker niet als het om grote aantallen servers en cliënten gaat.

WHMCS is een administratief pakket waarmee abonnementen en facturering voor webhostingbedrijven kan worden uitgevoerd. Het pakket heeft tienduizenden webhosters als cliënten.

Vendor Lock webhostingbedrijven

Voor veel webhostingbedrijven betekent dit dat ze klem zitten: een “vendor lock”. Zij krijgen een alsmaar hogere rekening gepresenteerd voor de software welke zij gebruiken. Met als gevolg dat uiteindelijk de cliënten die hosting van hen afnemen met fikse prijsstijgingen geconfronteerd worden.

Eigen software, Open Source, DirectAdmin

Wij maken voor de administratie van onze abonnementen gebruik van zelfgeschreven software. Voor de facturering gebruiken wij een OpenSource pakket. Voor het beheren van de servers gebruiken wij DirectAdmin, een beheerpanel dat een alleszins redelijk licentiemodel hanteert. Daarnaast is ons bedrijf zelfstandig en geen onderdeel van een investeringsbedrijf.

Dat alles betekent dat wij onze prijzen, eventuele kleine inflatiecorrecties daargelaten, de komende tijd zeker niet hoeven aan te passen. Over de periode 2012 tot 2020 hebben wij zelfs helemaal geen prijsverhogingen doorgevoerd. Terwijl we wel hebben geïnvesteerd in nieuwe hardware, meer ruimte voor websites hebben gecreëerd e.d. Recent hebben wij voor het eerst in acht jaar een kleine inflatiecorrectie toegepast voor een deel van de klanten.

De enige ‘onzekere’ factor zou kunnen zijn dat DirectAdmin de prijzen verhoogt (ze hebben het licentiemodel al iets gewijzigd) echter hebben wij van hen voor de meeste servers in de afgelopen jaren “Lifetime”-licenties afgenomen waarmee wij in één keer het licentiebedrag hebben voldaan en er geen verdere kosten meer zijn.

Meer informatie over onze hostingpakketten en de tarieven vindt u hier.

 

helpdesk en handleidingen callcenter headset Afbeelding van Clker-Free-Vector-Images via Pixabay

Backup en update een website met Installatron

helpdesk en handleidingen callcenter headset Afbeelding van Clker-Free-Vector-Images via PixabayInstallatron is een installatieprogramma voor onder andere Joomla, WordPress, Drupal en andere programma’s waar websites mee gemaakt en onderhouden kunnen worden. Met Installatron kunnen ook backups gemaakt worden van uw website en de software kun je er ook automatisch mee updaten.

Installatron vindt u in de DirectAdmin beheerschermen. In deze (nieuwe) handleiding wordt beschreven hoe u met Installatron een update uitvoert van uw website-software en hoe uiteraard, voordat de update wordt uitgevoerd, er een automatische backup gemaakt wordt. Zodat, ingeval er iets mis gaat, u altijd terug kunt naar de oude versie.

U vindt de handleiding hiervoor, net als veel andere handleidingen, op onze helpdesk-pagina onder ‘handleidingen’.

Storingen door updates WordPress 5.4 en plugins

wordpress logoWordPress heeft recent versie 5.4 uitgebracht van haar CMS-programma. Ook zijn veel plugin-makers erg actief met het uitbrengen van updates. Dit is uiteraard noodzakelijk want vaak gerelateerd aan beveiligingsupdates en/of nieuwe functionaliteiten.

Update: Inmiddels heeft WordPress in verband met onderstaande problemen een patch uitgebracht (versie 5.4.1). Dit lost de meeste problemen op echter zijn er nog wel een aantal plugins die problemen lijken te hebben.

PROBLEMEN DOOR UPDATES

Een aantal van onze cliënten ervaart echter problemen door deze updates: websites die opeens ‘vastlopen’ of crashen. Plugins die niet meer werken of, erger nog, de hele website ontoegankelijk maken. Ook was bij een aantal cliënten de website nog wel beschikbaar maar het dashboard niet te benaderen. Op de WordPress.org site lezen we dat dit probleem niet alleen bij ons voorkomt maar dat mensen wereldwijd er door worden getroffen.

Het lijkt er dus op dat ofwel in WordPress 5.4 er iets dusdanig veranderd is dat er problemen ontstaan ofwel dat bepaalde (verouderde) plugins niet meer ondersteund worden. Er is niet een éénduidige reden aan te wijzen op dit moment, we hebben het gelukkig tot nu toe ook nog maar op slechts een handjevol sites, verspreid over verschillende servers, gezien.

UPDATES UITVOEREN? MAAK EERST EEN BACKUP!

We kunnen het niet vaak genoeg herhalen: maak éérst een backup van uw website alvorens updates uit te voeren van plugins of WordPress zelf. Dit kan zelfs volledig automatisch, en gratis, via bijvoorbeeld UpDraft. Wanneer u gebruik maakt van de installatron module, die wij bij onze hosting gratis meeleveren in het DirectAdmin panel, en daarmee WordPress updates (eventueel automatisch) laat uitvoeren maakt Installatron in principe altijd éérst een backup. Let er wel op dat de backup goed wordt afgerond: als uw hosting account te weinig ruimte heeft, maak dan eerst ruimte vrij en/of upgrade naar een pakket met meer schijfruimte.

!! Let op – De backups die wij maken zijn “full account backups”, dus als wij die moeten terugzetten is de kans groot dat u “terug in de tijd” gaat: dus ook (zeer) recente email kan verdwijnen. Daarnaast: als u ons té laat van problemen op de hoogte stelt, kan het zijn dat de backup al overschreven is met de data van een inmiddels niet meer werkende site omdat onze backups incrementeel zijn. Handel bij storingen dus altijd direct en maak een support-ticket aan als u ons wilt inschakelen. Een incrementele back-up is namelijk een type backup, dat door nagenoeg alle hostingproviders maar ook door veel mensen thuis, dat alleen de wijzigingen wegschrijft naar een reeds bestaande backup. Is de wijziging een ‘niet werkende website’ dan heeft terug zetten van de backup géén zin meer.

ZORG DAT DE SOFTWARE UP TO DATE BLIJFT

Wij zien regelmatig dat WordPress, Joomla en Drupal websites door de beheerders niet of nauwelijks worden onderhouden. Dit gaat er op een dag onherroepelijk voor zorgen dat uw website het niet meer doet. De onderliggende software, zoals PHP en de MySQL/MariaDB databases worden wél up to date gehouden en verouderde WordPress-websites werken dan “opeens” niet meer. Deze updates móeten wij wel uitvoeren, als wij dat niet zouden doen zouden onze servers kwetsbaar (kunnen) zijn voor hacks. Echter, ook uw website is kwetsbaar als u géén regelmatige updates uitvoert.

HEALTH CHECK

WordPress 5.3 is voorzien van een nieuwe feature: “health check”. Deze controleert op een aantal functies en geeft soms ‘alarmerende’ waarschwuingen. Deze waarschuwingen zijn mede gerelateerd aan de nieuwe Gutenberg-editor, en een melding over cURL-problemen, die sinds versie 5.0 onderdeel uitmaakt van WordPress. Op de WordPress fora zijn daar diverse topics over geopend inmiddels.

https://wordpress.org/support/topic/site-health-status-3/
https://wordpress.org/support/topic/site-health-curl-issues/
https://wordpress.org/support/topic/your-site-could-not-complete-a-loopback-request-3/

We hebben zelf geconstateerd dat de melding over cURL-problemen ‘komen en gaan’.  We hebben dit nog in onderzoek. Het lijkt geen probleem op onze servers te zijn. Eén oorzaak lijkt te zijn het gebruik van bepaalde beveiligings-plugins die soms het uitvoeren van code blokkeren.

Ook zijn er meldingen over PHP-versies en wordt u aangeraden deze te upgraden naar ‘de laatste versie’. Wij werken altijd met een courante, recente, PHP-versie. We waken er echter voor niet altijd de állerlaatste versie direct te implementeren omdat we daarin afhankelijk zijn van de beschikbaarheid er van via DirectAdmin én het implementeren van de allernieuwste versie mogelijk problemen kan leveren voor onze cliënten. Daarnaast kunt u in  DirectAdmin zelf uw voorkeur instellen. Sommige cliënten hebben nog steeds een hele oude PHP-versie ingesteld. Pas deze eventueel aan.

LIEVER GEEN OMKIJKEN NAAR?

Hebt u liever geen omkijken naar het software-onderhoude van uw website? Voor slechts €17,50/jaar (ex BTW) regelen wij de updates van WordPress en de plugins (niet voor thema’s!). Klik hier voor meer informatie over onze managed wordpress oplossing.

ONDERHOUD IS NIET INBEGREPEN BIJ HOSTING

Wilt u zelf uw website onderhouden en het niet uitbesteden aan ons, dan hebben wij daar uiteraard alle begrip voor. Er kunnen namelijk veel redenen zijn, afgezien van de (bescheiden) kosten van een managed oplossing, waarom u ons liever géén toegang tot uw website geeft (AVG, omzetcijfers, klantenbestand, enz). Dit wordt echter afgedekt door de verwerkersovereenkomst (u bent verplicht, in veel situaties, die met ons af te sluiten).

Echter, we hopen dat u in voorkomende situatie dan ook begrip hebt voor het feit dat u ook zélf verantwoordelijk bent voor het oplossen van eventuele problemen en wanneer u ons hier alsnog voor inschakelt wij hiervoor ons reguliere uurtarief in rekening zullen moeten brengen. Ook kunnen we niet altijd per direct uw probleem oplossen in dergelijke gevallen.

We weten dat dit wellicht heel vervelend kan overkomen, en we vinden het ook vervelend als we u eventueel moeten laten wachten en extra kosten moeten berekenen, maar: laten we het eens vergelijken met het onderhoud van uw CV-ketel. Als u géén onderhoudscontract afsluit voor uw CV-ketel bent u zelf verantwoordelijk. Laat u dan, bij een storing, de installateur langs komen dan moet u hem (of haar) daar ook een vergoeding voor betalen. Onderhoud van uw website is nadrukkelijk niet bij uw hosting pakket inbegrepen.

 

ClassicPress nu ook in Installatron beschikbaar

ClassicPress, het (voornamelijk zakelijke) alternatief voor WordPress en zónder de omstreden Gutenberg Editor, is nu ook beschikbaar via de Installatron module. Daarmee wordt installatie van ClassicPress net zo eenvoudig als installeren van WordPress. ClassicPress is, net als WordPress, een open source project. U kunt de software dus gratis gebruiken.

ClassicPress in Installatron

Brinkman.IT’s eigenaar, Rudy, is al vanaf het begin bij ClassicPress betrokken geweest als beta-tester. Wij dragen het project dan ook een warm hart toe omdat het een project is dat naar haar gebruikers luistert en de focus legt op gebruikersvriendelijkheid én veiligheid. Daarnaast zijn veel WordPress plugins prima binnen ClassicPress te gebruiken omdat het een fork is van WordPress.

Op de website van ClassicPress staat uitgelegd hoe u dit programma voor het beheren van uw website kunt installeren via de Installatron applicatie-installer welke ook bij ons beschikbaar is in het DirectAdmin beheerpanel. DirectAdmin is voor elke client beschikbaar en hiermee kunt u als gebruiker van onze hostingpakketten onder andere email adressen aanmaken, statistieken beheren, backups maken én programma’s als WordPress, Joomla, Prestashop en nu ook ClassicPress installeren met slechts een paar muisklikken!

Voordelen ClassicPress
De voordelen van ClassicPress zijn vooral gelegen op het gebied van snelheid, gebruikersvriendelijkheid (conformeert aan de WordPress 4.9 standaarden en gaat daar op verder, geen Gutenberg editor) en veiligheid. Ook bevat de standaardinstallatie minder overbodige ‘bloatware’. Een voorbeeld van een ClassicPress website is bijvoorbeeld Rudy’s prive project LoftStudio. Meer informatie over het migreren van WordPress naar Classicpress en ervaringen (tests) met ClassicPress vindt u hier.

Uiteraard ondersteund ons Managed WordPress pakket ook ClassicPress en hebben wij, doordat we -op bescheiden wijze- deelnemen in het project en zelf ook diverse installaties van ClassicPress hebben draaien op een aantal sites, inmiddels ruime ervaring met ClassicPress opgedaan.

Installatie
Klik hier voor meer informatie over het installeren van ClassicPress. Laat u de installatie en configuratie, en eventuel ontwerp van de website, liever aan ons over? Dat kan natuurlijk ook! Neem voor meer informatie over het ontwerpen en bouwen van een website vrijblijvend contact met ons op.