Categorie archieven: Internet



Is WordPress al je tijd en moeite wel waard?

Door | | , ,
Reacties uitgeschakeld voor Is WordPress al je tijd en moeite wel waard?
Is WordPress al je tijd en moeite wel waard?

Is WordPress al je tijd en moeite wel waard?

Een kijkje naar alternatieven en WordPress-plugins om sites te beschermen.

Je kunt je WordPress-site natuurlijk goed beveiligen, maar dan moet je er wel bovenop zitten. Misschien is dat de tijd en moeite niet waard en ben je beter af met een systeem dat dit voor je doet.

Is WordPress al je tijd en moeite wel waard?

WordPress-sites liggen weer eens onder vuur door aanvallers die ervoor zorgen dat sites redirecten naar een exploitpagina in plaats van een domein dat advertenties host. De gebruikte exploitkit is Nuclear, die onder meer wordt gebruikt om ransomware Cryptowall te verspreiden. Als sitebeheerder of gebruiker heb je natuurlijk liever niet dat je hiermee in aanraking komt.

Voor de vorm zal ik hier nog even de zes richtlijnen voor het omgaan met ransomware opsommen:

  1. Zorg voor back-ups.
  2. Test de back-ups of deze kan herstellen.
  3. Ga niet in op losgeldeisen.
  4. Doe aangifte van de softwaregijzeling.
  5. Onderzoek hoe de malware is binnengekomen en dicht het gat.
  6. Werk je netwerkbeveiligingsplan bij.

WordPres is kwetsbaar omdat het een populair CMS is met een marktaandeel zo’n dertig procent van alle websites, er veel plugins van derden zijn met elk hun eigen beveiligingsissues en omdat de broncode van binnen en van buiten bekend is bij aanvallers. Nou hoor ik je denken: “Ik kan de boel beveiligen door alle plugins bijgewerkt te houden.” Dat is vaak zo, maar de recente aanvallen maken waarschijnlijk gebruik van een WordPress-zeroday.

Sniffers opgemerkt

Het aanvalsoppervlak van WordPress is door zijn complexe ecosysteem enorm groot. Zelf gebruik ik bijvoorbeeld de plugin 404 to 301 voor een aantal sites die ik beheer. Die zorgt ervoor dat 404-fouten die je krijgt als pagina’s niet bestaan worden omgezet naar redirects als 301, 302, 307. Ik had de e-mailmeldingen niet aangezet omdat ik na een maand testen enkele jaren geleden geen enkele melding had gekregen.

Maar toen ik de meldingen recentelijk inschakelde, zag ik een hoop requests van pagina’s waar een aanvaller naar zoekt, zoals

/404.php

/wp-content/themes/fonts/fontawesome-webfont.svg?v=4.1.0

/wp-includes/SimplePie/Net/IPv7.php

Die requests kwamen vooral uit Duitsland, Nederland en Rusland. De sites werden beschermd door WordFence en die had goed nieuws: de aanvallers zijn niet binnengekomen.

WordPress-back-up

Kijk trouwens eens naar de plugin Updraft als je back-up-oplossing voor je WordPress-site zoekt. Deze brengt back-ups automatisch (of handmatig, zo je wilt) naar allerhande opslagbronnen als Dropbox, Google Drive, S3, Rackspace, FTP, SFTP of WebDav. Het kan ook sites dupliceren en migreren en de plugin heeft mij al twee keer uit de problemen gered. Voor extra beveiliging kun je terecht bij Plugin Vulnerabilities die je geïnstalleerde plugins controleert op bekende beveiligingsfouten en waarschuwt als er nieuwe worden geconstateerd.

Maar met de risico’s die je loopt door dat grote aanvalsoppervlak, kun je je afvragen of het de tijd en moeite wel waard is om WordPress te beveiligen voor jouw organisatie of dat je beter kunt uitwijken naar een alternatief. Wat voor (wettelijke) risico’s loop je eigenlijk als jouw site wordt gehackt en wat zijn de standaardeisen van bijvoorbeeld een verzekeraar die wil dat je je data beveiligt?

Back-end uitbesteden

Er zijn alternatieven, zoals een ‘platte site’ – een statische pagina zonder gekoppelde databases die eenvoudiger kan worden beveiligd. Je zult nog steeds server-side diensten nodig hebben om bijvoorbeeld formulieren te verwerken. Met diensten als JotForm of FormStack heb je minder last van mogelijke kwetsbaarheden in je eigen back-end.

Wat WordPress betreft kun je een lokale of anderszins beveiligde versie van je site maken (die m.a.w. niet publiekelijk toegankelijk is) en deze als statische HTML te uploaden naar de publieke site. Of dat werkt is afhankelijk van allerlei factoren, maar het is de moeite van het kijken naar de mogelijkheden waard als je geen dynamische content die afhankelijk is van back-end diensten gebruikt. Lees dit artikel voor de haken en ogen van dit concept.

Met templates werken

Er zijn uiteraard ook plugins die nuttig kunnen zijn om statische content te maken van WordPress-installaties, zoals Really Static en Simply Static. Ik heb ze zelf nog niet geprobeerd, dus laat het graag weten als je ervaring hebt met een van deze.

Verder heb ik gekeken naar enkele aternatieven die WordPress laten voor wat het is en content aanmaken vanaf templates. Mocht je nog een nieuw webproject beginnen, is het wellicht de moeite waard om even te kijken naar Jekyll of Cactus (laatstgenoemde is alleen geschikt voor OS X). Voor meer opties kun je een kijkje nemen bij StaticGen, die een lijst bijhoudt van open source generatoren voor statische sites.

Bron: computerworld.nl


10 tips: veilig omgaan met je smartphone, laptop en internet

Door | | ,
Reacties uitgeschakeld voor 10 tips: veilig omgaan met je smartphone, laptop en internet
10 tips: veilig omgaan met je smartphone, laptop en internet

10 tips: veilig omgaan met je smartphone, laptop en internet

Gisteren was  Safer Internet Day, we staan samen stil rond online veiligheid. Google zocht uit waar in België het meest wordt gezocht naar zoektermen die betrekking hebben tot internetveiligheid. De resultaten zijn op zijn minst opvallend te noemen.

10 tips: veilig omgaan met je smartphone, laptop en internet

Uit de resultaten van het onderzoek van Google blijkt dat er nergens in ons land meer naar ‘hacking’ gezocht dan in het Waals-Brabantse Waver. Beveren en Olen vullen de top 3 aan. Het valt op dat geen enkele Belgische grootstad in de top 10 is terug te vinden.

Kontichnaars zoeken op hun beurt het meest naar informatie rond ‘passwords’. Ook hier komt Waver terug, op de tweede plaats. Vilvoorde vervolledigt de top 3. Wanneer het gaat om ‘firewall’ als zoekterm, merkt Google dat het vooral Antwerpenaars zijn die daar meer over willen weten. Antwerpen wordt op de voet gevolgd door Villers-le-Bouillet (Luik), een gemeente van amper 6.000 inwoners en Ruiselede (West-Vlaanderen) dat 5.000 inwoners telt.

Google stelde daarnaast een lijst op met tien tips om je online beter beschermen. Het gaat om eenvoudige en gratis tips waarmee je online risico’s tot een minimum beperkt.

Safer internet day 2016

Safer internet day 2016

  1. Kies een sterk wachtwoord
    Stel een wachtwoord in dat hackers niet zomaar kunnen raden. Jouw geboortedatum of 123456 zijn slechte keuzes. Hoe langer het wachtwoord, hoe moeilijker dat het gedetecteerd of gehackt kan worden. Ook nummers en symbolen met afwisselend grote en kleine letters maken het complexer om je wachtwoord te achterhalen. Het is cruciaal om steeds verschillende wachtwoorden te kiezen. Daarnaast is het aanrader om ze regelmatig te vervangen.
  2. Beveiligingscontrole
    Maak je account veiliger en neem een kijkje bij Google’s Security Check-up. Deze beveiligingscontrole duurt slechts twee minuten. Je kan er nagaan wanneer en vanuit welke toestellen op jouw Google account is ingelogd. Als er iets niet pluis is dan kan je met Google meteen actie ondernemen. Wie de Security Check-Up voor 18 februari uitvoert, krijgt gratis 2 GB aan Google Drive storage (Google Drive, Gmail en Photos).

  3. Verdubbel de veiligheid met 2-Step Verification
    Met 2-Step Verification kan je veiligheidshalve – in twee stappen – inloggen met iets dat je weet (jouw wachtwoord) en iets dat je hebt (een code die je via sms krijgt). Als je de 2-Step Verification activeert dan krijg je een melding wanneer iemand probeert in te loggen op jouw account via een onbekende computer.
  4. Vind je verloren toestel terug
    Laptop of smartphone kwijt? Met Android Device Manager kom je snel te weten waar jouw toestel zich bevindt of wanneer het laatst gebruikt werd.
  5. SafeSearch
    Google’s SafeSearch optie is een automatische filter voor mogelijk beledigende of leeftijd-gevoelige informatie. Als je SafeSearch activeert in een Google Account dan zal ongewenste informatie geblokkeerd worden.
  6. Vergrendel vanop afstand
    Vergeet niet dat je jouw toestel kan vergrendelen, lokaliseren en bellen vanop afstand.
  7. Houd nieuwsgierige ogen weg
    Gooi jouw info niet zomaar te grabbel. Je kan jouw toestel vergrendelen met een wachtwoord, patroonbeweging of pin. Zelfs met gezichtsherkenning kan je jouw toestel beveiligen.
  8. Laat je browser je wachtwoorden beheren
    Als je dezelfde inloggegevens (username en wachtwoord) gebruikt op verschillende websites en één van die websites wordt gehackt, dan kunnen je gegevens gebruikt worden om in te loggen op andere websites. Laat Chrome je wachtwoord automatisch onthouden en verklein zo het risico op phishing.
  9. Me on the Web
    Met Me on the Web kan je te weten komen wat anderen zien wanneer ze je opzoeken op Google. Google Alerts kan je een melding geven wanneer er iets nieuws over jezelf verschijnt op het web.
  10. Check jouw Google Dashboard
    Beheer jouw Google accounts. Google Dashboard toont wat er is opgeslagen op jouw Google account en geeft een overzicht van jouw recente activiteiten. Vanuit deze centrale locatie kan je gemakkelijk in de gaten houden wat er speelt op diensten zoals Google Calender, Google Docs, Google + en meer.
Bron:  www.belgiancowboys.be