Update Wordfence in verband met kritische kwetsbaarheid in InfiniteWP

Beveiligingsplugin WordFence heeft een belangrijke update ontvangen. De update is beschikbaar voor alle gebruikers inclusief gebruikers van de gratis versie. Wij raden gebruikers van WordFence aan direct te updaten, zeker als uw webhostingbedrijf en/of webdesigner InfiniteWP (zie de plugins in uw WordPress dashboard) gebruikt.

InfiniteWP is een beheerpanel waarmee websites grotendeels geautomatiseerd kunnen worden onderhouden. Cliënten van InfiniteWP zijn door hen direct na ontdekking van de kritische kwetsbaarheid geïnformeerd, zo ook Brinkman.IT. Wij hebben op alle websites welke onder ons beheer zijn de plugin onmiddelijk van een update voorzien. Zojuist hebben we waar nodig ook Wordfence updates uitgevoerd.

Wanneer U zelf uw website onderhoud, controleer en update dan regelmatig de plugins en WordPress software op updates. Het niet updaten van uw website of er in geïnstalleerde plugins kan tot grote problemen leiden. U kunt uw website(s), wanneer bij ons gehost, eenvoudig updaten met behulp van Installatron (beschikbaar binnen uw DirectAdmin panel). U kunt het onderhoud, voor een kleine vergoeding, ook door ons laten uitvoeren via onze Managed WordPress service. Dit is óók mogelijk wanneer u géén gebruik maakt van onze hostingdiensten.

Meer informatie over de Wordfence update kunt u hier lezen.

Firewall updates shared hosting en reseller servers

Deze week zijn onze shared hosting servers voorzien van extra, nieuwe, software. De software zorgt er voor dat websites op onze servers nog beter beschermd zijn tegen indringers van buitenaf.

De sotware zorgt voor een intelligente beveiliging van websites door requests naar de server te controleren. Met name SQL-injecties en cross-site scripting (XSS) wordt op die manier beter ondervangen. Met andere woorden: websites van onze cliënten profiteren hier met name van.

Anonieme bedreigingen

Aanleiding voor de update waren anonieme bedreigingen aan ons adres met betrekking tot inbraak op websites. De wanna-be hacker claimde middels SQL injecties onze “windows-servers” te hebben overgenomen en dreigde tevens onze data publiek te maken. Aangezien wij geen windows-servers hebben was het ons duidelijk dat er geen sprake van inbraak op onze systemen kon zijn. Na controle door de systeembeheerder op alle shared hosting en reseller servers werden er ook geen sporen van inbraak, virussen of SQL-injecte gevonden op de servers waar wij onze cliënten op hosten.

Better Safe Than Sorry

Echter, onder het motto ‘better safe than sorry’ hebben wij naast de firewall-software, welke wij op alle servers hebben draaien, de beveiliging verder aangescherpt. Naast recente software, regelmatige updates, en (gecontracteerd) regelmatig onderhoud van onze servers hebben wij nu eveneens additionele software toegevoegd welke scant op ondermeer SQL-injecties in websites van cliënten.

Eigen verantwoordelijkheid!

Natuurlijk doen wij er alles aan, zoals U duidelijk zal zijn, om het hostingplatform zo veilig mogelijk te houden. Echter, er is ook een grote verantwoordelijkheid voor U, als cliënt. Houd uw website up to date, uw computer veilig en up-to-date, verander regelmatig uw wachtwoorden (ook voor uw eigen website!). Zeker als U gebruik maakt van bijvoorbeeld Joomla, Drupal, WordPress of andere CMS systemen is het van het grootste belang dat U regelmatig updates uitvoert!

Managed WordPress, automatische updates

Liever geen omkijken naar het beheer van de software van uw website? U kunt dan kiezen voor “managed WordPress” of voor het (aanzetten van) automatische updates van uw software.

Een WordPress onderhoudsabonnement kost slechts € 17,50 (ex BTW) per jaar. Daar is bij inbegrepen:
– monitoring van uw website op kritische updates, direct doorvoeren van kritische updates;
– minimaal één keer per maand controle op WordPress en plugin updates;
– maandelijks bijwerken van plugins en updates van WordPress;
– advisering ingeval er problemen zijn of te verwachten zijn.

Daarnaast kan er, tegen uurtarief, ook additioneel onderhoudswerk worden verricht.

Deze dienst is niet alleen beschikbaar voor cliënten van Brinkman.IT. Ook als U elders hosting afneemt kunt U gebruik maken van deze aanbieding!

Automatische updates worden ondersteund door de Installatron module. U kunt bijvoorbeeld uw Joomla, Drupal e.a. websites automatisch laten bijwerken (minor en security updates).

 

PHP 5.6 en PHP 7.0.x end of life

Alle servers van Brinkman.IT zijn op dit moment voorzien van de meest recente PHP 7-versie. Zoals eerder gemeld zijn PHP 5.6 en 7.0 “End of Life”, met andere woorden: deze worden niet meer ondersteund. Wij hebben vanochtend de laatste server waar nog PHP 7.0.x op stond eveneens bijgewerkt naar PHP 7.2.x.

Wij hebben middels een steekproef een aantal websites gecontroleerd en geen problemen geconstateerd. Mocht u problemen ondervinden welke u niet zelf kunt oplossen, dan kunt u ons hier voor inschakelen. Klik hier om een supportverzoek in te dienen.

LET OP!
Is er een storing in uw website vanwege het gebruiken van verouderde software c.q. programmatuur, dan dient u deze software in principe te updaten en/of vervangen. Wij ondersteunen verouderde software niet meer in verband met de veiligheidsrisico’s die dit met zich meebrengt.

WordPress 4.9.9 en WordPress 5.0.1. Security Updates

Gebruikt U WordPress voor uw webiste? Er zijn zeven ernstige kwetsbaarheden gevonden in de software (lees hier verder). De laatste versie van WordPress 5.0. moet, net als de laatste versie uit de 4.x-branche, zo snel mogelijk worden geupdate.

De fix die beschikbaar is gesteld zorgt er voor dat een aantal ernstige beveiligingsproblemen worden opgelost. De problemen lijken op eerdere problemen in versie 4.9.6.

TIPGebruikt U installatron op onze servers zet dan, voorzover u dat niet gedaan hebt, het automatisch updaten naar fixes en kleine updates aan (“minor updates”). Dan bent u altijd verzekerd van een up-to-date WordPress installatie.

Alle servers bijgewerkt naar PHP7 (default)

In verband met een aantal oude websites die nog gebruik maakten van ‘legacy code’ (verouderde webshops e.d.) was alleen server12 nog niet bijgewerkt naar PHP7.x. Een situatie die echter niet langer houdbaar is zoals ook de onderstaande tijdlijn laat zien. Wij hebben de server bijgewerkt naar versie 7.2.

PHP support versies

(bron: PHP.NET)

Voor PHP 5.6 stopt de support volledig op 31 december 2018. Server 12 is nu voorzien van PHP 7.2.Dti betekent dat sommige websites niet meer werk(t)en. Wij hebben in die gevallen dat wij een melding kregen dit voor U aangepast. Er is namelijk nog wel een ‘fallback’ optie naar versie 5.6 voor websites die niet werken met 7.2. U kunt hier lezen (PDF-bestand) hoe u deze instelt.

GEBRUIK OP EIGEN RISICO

Aangezien versie 5.6 van PHP geen updates meer krijgt, betekent dit dat het gebruik er van potentieel onveilig is. Wij zullen op termijn deze PHP-versie daarom moeten uitfaseren. U dient Uw website hier op aan te passen.

Op dit moment is er nog zéér veel software die op versie 5.6 van PHP draait. Er zijn ook heel veel hostingbedrijven die hier nog mee werken. Wij kiezen er voor om als ‘default’ instelling áltijd een recente PHP-versie te gebruiken.

INSTALLATRON

Door de update naar PHP7 was de Installatron service, waarmee U ondermeer programmatuur als WordPress, Joomla, Prestashop e.d. kunt installeren, ook (tijdelijk) niet beschikbaar. Deze is eveneens bijgewerkt naar de allernieuwste versie zodat deze nu weer naar behoren werkt.