Tag: veiligheid

Google Chrome (pixabay)

Google Chrome verbergt deel url in adresbalk. Waarom?

Google Chrome (pixabay)Google Chrome verbergt in nieuwe beta-features (wederom) een deel van de links in de adresbalk. Waardoor je niet weet waar je op een site zit. Of zelfs niet weet of je wel op de site zit waar je heen wilde. Waarom doen ze dat en willen ze dat eigenlijk?

De Chrome-browser is nog steeds veruit de populairste browser. Dit zal ook nog wel even zo blijven, ook al weten mensen wel dat het qua privacy niet de meest verstandige keuze is.

Top 3 Browsers

Browser StatCounter
April 2020
NetMarketShare
April 2020
Wikimedia
November 2019
Chrome 62.48% 65.96% 48.7%
Safari 19.94% 17.26% 22.0%
Firefox 4.21% 3.19% 4.9%

(Bron: Wikipedia)

Verbergen URL in adresbalk

De site Android Police ontdekte dat Google wederom een deel van de url, de locatie van de website welke u bezoekt, verbergt, dat wil zeggen er is een beta-feature aanwezig welke dit kan doen. Het is niet de eerste keer dat Google experimenteert met deze opties.

Google Zoekmachine SEOVolgens de ontwikkelaars is dit omdat mensen bij een lange url niet zouden weten waar ze op moeten letten en veiligheidsrisico’s lopen op omleiding naar malafide websites. Anderen stellen echter dat Google zelf iets te verbergen heeft en wil voorkomen dat mensen zien dat ze terecht zijn gekomen bij content gehost door Google. Met, uiteraard, alle privacy- en eventuele veiligheids-consequenties van dien.

Het is belangrijk dat je altijd kunt zien waar je je bevindt op het internet. De URL van een site moet je in één oogopslag kunnen inspecteren. Google begon een paar jaar geleden al met het verbergen van de “www”-aanduiding en ook het “http”-voorvoegsel. Het is belangrijk dat gebruikers letten op de URL van een site. Door dit steeds meer te verbergen verdwijnt de kritische gebruikershouding omdat gebruikers er op gaan vertrouwen “dat het wel klopt” wat Google doet. Totdat het uiteraard een keer goed mis gaat.

Veilig op internet

Eén van de éérste controlepunten die wordt genoemd als we het hebben over veilig bankieren is immers: de adresbalk:

Controleer toch altijd voordat u daadwerkelijk uw gegevens intoetst of u op de echte beveiligde website van uw bank zit. Tover het volledige webadres tevoorschijn en let op “https://”, het hangslotje in of naast de adresbalk en de rest van het webadres.

Het moet niet nodig zijn, ons inziens, dat een gebruiker zélf deze stappen moet gaan nemen, laat staan dat die stappen alleen maar méér moeite gaan kosten. Internet moet transparant blijven want dat is veiliger!

gemankeerde adresbalk google chrome

(de adresbalk mist tegenwoordig http(s) en www in Chrome)

De reden die Google-ontwikkelaars aanvoeren voor het maskeren van het adres van een website is ons inziens daarom niet houdbaar. Ook technische ondersteuning voor gebruikers wordt lastiger wanneer Google Chrome gebruikers het adres van een pagina niet meer kunnen zien. Want, wat wordt het antwoord op de vraag: “Met welke pagina hebt u dan een probleem, waar ziet u de foutmelding?” als mensen een gemankeerd webadres zien of helemáál geen webadres meer?

Veilige browsers

Naast FireFox, een veiliger browser, zijn er ook andere, alternatieve, browsers. Het marktaandeel er van is zeer klein en daarnaast constateren sommigen ook daar regelmatig dubieuze zaken. Zo betrapte men recent de Brave-browser die is gebaseerd op dezelfde broncode als Chrome, namelijk de (Open Source) Chromium-browser, op het oneigenlijk “aanpassen” van de adresbalk. Mensen werden er door omgeleid waardoor ze via een zogenaamde “affiliate-link” op de doelsite terecht kwamen. Waardoor de makers van Brave geld verdienden aan deze bezoeken.

Google is your friend

Het is een gevleugelde kreet als je iets wilt weten: “Google is your friend”. Maar helaas niet altijd. Google is een héél groot bedrijf met enorme commerciële belangen. Die zeker niet altijd het beste met de gebruikers maar vooral met zichzelf voor heeft. Want uiteindelijk hebben zij één hoofddoel: een onderneming runnen, geld verdienen. Véél geld. Dat dit ten koste gaat van onze privacy mag ondertussen geen geheim meer worden genoemd.

De meest veilige browsers, met het meeste respect voor uw privacy, zijn Firefox en Opera. Beide zijn “oudgedienden” en hebben een reputatie hoog te houden. De nieuwe, experimentele, browsers als eerdergenoemde Brave zijn vooralsnog geen alternatief. Vooral omdat zij zoekende zijn naar ‘verdienmodellen’. En dat leidt er helaas toe dat ze soms dingen doen die echt niet door de beugel kunnen!

WP-VCD de WordPress malware die je zelf installeerde..

Ook websites kunnen besmet worden met (soms zelfs zeer agressieve) malware. En het ergste is: gebruikers en webdesigners installeren het zelf. Door gebruik te maken van ‘gekraakte’ plugins en thema’s.

Die thema’s en plugins worden soms in goed vertrouwen gekocht en geïnstalleerd via websites die onbetrouwbaar zijn. Maar ” goedkoop is duurkoop”, ook hier.

One of the most prevalent malware infections facing the WordPress ecosystem in recent weeks is a campaign known as WP-VCD. Despite the relatively long existence of the campaign, the Wordfence threat intelligence team has associated WP-VCD with a higher rate of new infections than any other WordPress malware every week since August 2019, and the campaign shows no signs of slowing down.
(WordFence, 4 november 2019)

Het aantal malware infecties blijft volgens Wordfence stijgen met een piek in de afgelopen week.

Wij adviseren iedereen:

  • download alleen legitieme plugins uit de WordPress libraries!
  • koop alleen legitieme thema’s en gebruik geen illegale downloads!

En bovenal: beveilig je website. Gebruik bijvoorbeeld WordFence. Lees de Wordfence Whitepaper hier.

Verbeter de veiligheid van WordPress

Het aantal brute force aanvallen op WordPress websites neemt de laatste tijd weer toe. Ook op ons hostingplatform. Hackers proberen op die manier (door een geautomatiseerde aanvalsgolf op de inlog voor het WordPress dashboard) in te breken op je website.

Dit doen ze niet met een paar pogingen .. maar met honderden, zoniet duizenden, pogingen achter elkaar. Met als gevolg dat je website onbereikbaar kan worden (in het gunstigste geval) of, erger, dat men er in slaagt in te breken.

Er zijn héél veel veiligheidsmaatregelen die je kunt én moet nemen.

Bijvoorbeeld:
– limiteren inlogpogingen;
– géén standaard inlog naam en wachtwoord;
– moeilijk wachtwoord voor de database-verbinding;
– installatie van een goede veiligheidsplugin (Wordfence bijvoorbeeld).

CODE EDITOR
Eénmaal ingebroken is één van de dingen die ze vrijwel direct proberen: code aan je website toevoegen. In het Worpress dashboard is dat helaas vrij eenvoudig met de editor die ook toegang geeft tot de code van je programma en thema’s. Het is aan te raden dit uit te zetten bij een live website (want het is onwaarschijnlijk dat je dit nodig hebt en in die gevallen kun je het weer tijdelijk aan zetten). Dit kan heel eenvoudig.

Ga naar het bestand wp-config.php en voeg deze regel toe:

define( 'DISALLOW_FILE_EDIT', true );

voor de regel

/* That's all, stop editing! Happy blogging. */.

Daarmee wordt de toegang tot de code editor geblokkeerd.

Geen idee of je website wel veilig is en/of hoe dit te doen? Geen tijd? Neem even contact met ons op. Wij regelen het graag voor je.

PHP7

Alle servers bijgewerkt naar PHP7 (default)

In verband met een aantal oude websites die nog gebruik maakten van ‘legacy code’ (verouderde webshops e.d.) was alleen server12 nog niet bijgewerkt naar PHP7.x. Een situatie die echter niet langer houdbaar is zoals ook de onderstaande tijdlijn laat zien. Wij hebben de server bijgewerkt naar versie 7.2.

PHP support versies

(bron: PHP.NET)

Voor PHP 5.6 stopt de support volledig op 31 december 2018. Server 12 is nu voorzien van PHP 7.2.Dti betekent dat sommige websites niet meer werk(t)en. Wij hebben in die gevallen dat wij een melding kregen dit voor U aangepast. Er is namelijk nog wel een ‘fallback’ optie naar versie 5.6 voor websites die niet werken met 7.2. U kunt hier lezen (PDF-bestand) hoe u deze instelt.

GEBRUIK OP EIGEN RISICO

Aangezien versie 5.6 van PHP geen updates meer krijgt, betekent dit dat het gebruik er van potentieel onveilig is. Wij zullen op termijn deze PHP-versie daarom moeten uitfaseren. U dient Uw website hier op aan te passen.

Op dit moment is er nog zéér veel software die op versie 5.6 van PHP draait. Er zijn ook heel veel hostingbedrijven die hier nog mee werken. Wij kiezen er voor om als ‘default’ instelling áltijd een recente PHP-versie te gebruiken.

INSTALLATRON

Door de update naar PHP7 was de Installatron service, waarmee U ondermeer programmatuur als WordPress, Joomla, Prestashop e.d. kunt installeren, ook (tijdelijk) niet beschikbaar. Deze is eveneens bijgewerkt naar de allernieuwste versie zodat deze nu weer naar behoren werkt.

 

Gratis SSL Certificaat AVG geschikt

Twee miljoen websites, maar hoeveel zijn er veilig?

In Nederland zijn er meer dan twee miljoen websites. Er zijn daarnaast (juli 2018) 5,8 miljoen .NL-domeinen geregistreerd volgens de SIDN. Hoeveel van die websites zijn veilig, als in: voldoen aan de voorwaarden welke onder andere de Nederlandse overheid als richtlijn stelt?

Op www.internet.nl kunt u uw website testen.Internet.nl is een initiatief van de Nederlandse Internet Standards Platform.

WAT IS VEILIG?

Een website met een 100% score, zoals ook de onze, is echter niet per definitie veilig. Dat lijkt zo, maar er zijn nog zeker een aantal andere, zéér belangrijke, criteria die deze test niet kan meten.Een 100% score op deze test is dus in sommige gevallen regelrechte schijnzekerheid.

Bijvoorbeeld: is de software (CMS als WordPress of Joomla) wel up-to-date en veilig? Zijn de wachtwoorden wel goed ‘opgeborgen’, of gebruikt de beheerder standaard gebruikersnamen en wachtwoorden?

Natuurlijk zijn wij er trots op dat we in de “Hall of Fame” zijn opgenomen bij internet.nl omdat onze website op de door hen aangelegde criteria 100% scoort. En natuurlijk doen we er alles aan om een zo veilig mogelijke website te bieden.

TIENTALLEN MILJOENEN ONVEILIGE SITES

Er zijn tientallen miljoenen, zoniet véél meer, onveilige websites. Wereldwijd. Websites die je kunnen besmetten met malware. Of websites die je gegevens stelen. Of websites die zo slecht beveiligd zijn dat de hackers “in en uit lopen”. Maar op zijn minst voldoen ze niet eens aan de standaard eisen die je kunt stellen aan een website tegenwoordig: een SSL-verbinding, goede wachtwoordbeveiliging.

Bij internet.nl zijn op dit moment, van de twee miljoen Nederlandse website, zo’n 8.500 websites bekend die 100% scoorden. Een groot aantal sites is natuurlijk niet daar getest. Maar ook veel websites van (grote, bekende) ondernemingen en organisaties voldoen niet aan de eisen. Op dit moment zijn zo’n 140.000 websites getest. Met zo’n 8.500 websites die aan de eisen voldoen betekent dit dat slechts 6% de test haalt. Dit betekent dus automatisch dat 94% van de websites niet aan de standaard criteria voldoet. Bedenk daarbij dat de massa zijn of haar website niet eens test op internet.nl en U begrijpt wat het treurig stemmende eindresultaat is…

MAAK UW WEBSITE VEILIGER!

Wij kunnen het niet vaak genoeg benadrukken: maak uw website veilig(er). Google Chrome keurt websites zonder SSL verbinding inmiddels al af en markeert ze als “onveilig”. Voorkom dat uw bezoekers en cliënten geen vertrouwen in uw website hebben en neem de minimale beveiligingsmaatregelen. Een (gratis!) SSL certificaat is wel het minste wat U kunt doen. U kunt het certificaat hier bestellen (eenmalige installatiekosten € 15,– ex BTW). Voor meer informatie over de beveiliging die wij kunnen bieden, klik hier.