Goede voornemen voor 2016: standaard beveiliging met https

Surf safely.Address bar showing safe navigation icon.Goede voornemen voor 2016: standaard beveiliging met https.

Wie 2016 goed wil beginnen, schakelt zijn of haar website over van http naar https. Dit is niet per se nodig voor je eigen beveiliging, maar is belangrijk voor de privacy en beveiliging van bezoekers. Nu overschakelen kost weinig, is goed voor je karma en wordt beloond door Google.

Screen Shot 2015-12-20 at 22.26.03Het verschil tussen open en beveiligd webverkeer

Een korte analogie: wie belangrijke informatie verstuurt, doet dat niet op een ansichtkaart. De postbode en alle huisgenoten kunnen immers meelezen. We doen brieven daarom in een envelop om een stukje privacy toe te voegen. Toen het world wide web begin jaren ’90 uitgevonden werd, was dit soort basisprivacy helaas niet standaard. Het standaard webprotocol (http) is bedacht in een tijd dat bescherming duur en lastig was. Iedereen kan meeluisteren, en zelf berichten aanpassen en vervalsen.

In de loop van de tijd is https bedacht, met de s van security: een beter protocol dat moeilijk af te luisteren is. Het wordt veel gebruikt bij websites waar je kunt inloggen: banken, e-commerce en social websites. Het alleen lezen van pagina’s of het doorkijken van producten gebeurt echter vaak nog op de onveilige manier. Https kost iets meer rekenkracht, maar door de steeds snellere computers is dit inmiddels verwaarloosbaar. Net zoals alle auto’s tegenwoordig goede remmen hebben, kan elke webserver https aan. Alleen wordt dit nu vaak niet aangezet.

De doorbraak van Wikipedia

Veel experts zijn er al langer van overtuigd dat https voor al het verkeer verplicht moet zijn. Weten wat iemand leest, zegt namelijk al veel over de persoon. Wie bijvoorbeeld zoekt naar informatie over zeldzame ziektes, doet dat meestal omdat iemand in de omgeving deze ziekte heeft. Ook wie zoekt naar bepaalde gay-vriendelijke hotels en bars, naar relatie-advies, of romantische cadeautips, doet dingen die privacy-gevoelig zijn en dus bescherming verdienen. Wikipedia had daarom al langer de wens om volledig over te gaan op de veilige variant, https, voor al het verkeer. Voor Wikipedia was dit een uitdaging, omdat de site een klein budget heeft (geen advertentie-inkomsten) en extreem veel bezoekers. In 2015 is het echter gelukt, vanaf juni 2015 gebruikt Wikipedia standaard https.

Wikipedia zelf ziet dit als een heel belangrijke stap: “To be truly free, access to knowledge must be secure and uncensored. At the Wikimedia Foundation, we believe that you should be able to use Wikipedia and the Wikimedia sites without sacrificing privacy or safety.” En dat is het eigenlijk ook: een vrij internet is belangrijk en daar is https bij nodig. En als Wikipedia het technisch aankan, kunnen alle Nederlandse sites dat ook.

Https en google-rankings

Google zelf heeft veel van de slimste data-scientists in dienst en weet hoeveel informatie je kunt halen uit iemands zoekopdrachten. Google heeft daarom zelf al langer geleden stappen genomen om te zorgen dat andere bedrijven niet kunnen zien wat Google wel ziet: het zoekgedrag. Er is veel negatiefs te zeggen over google en privacy, maar onprofessioneel zijn ze niet. De basisbeveiliging staat bij Google zelf aan.

Wie in 2016 wil winnen, zal milliseconden moeten inruilen voor meer privacy.

Het goede nieuws van dit jaar is dat Google nu ook bij de ranking rekening houdt met het gebruiken van het juiste protocol. Websites met https worden beter beoordeeld en iets hoger geplaatst dan minder professionele websites zonder https. Deze beslissing is een doorbraak: veel e-commerce-websites kozen voor de hoogste snelheid en geen https om een paar milliseconden te winnen: de privacy verloor het van de commercie. Wie in 2016 wil winnen, zal deze milliseconden moeten inruilen voor meer privacy. Google voert de factor https geleidelijk in. Op een technisch google-blog uit aug 2014 werd de toevoeging aangekondigd. De factor https heeft nu nog een kleine waarde omdat Google zijn eigen klanten niet voor verrassingen wil laten staan, maar de factor zal langzaam blijven toenemen tot iedereen de hint heeft begrepen.

Nederlandse websites slapen

Nederlandse e-commerce-partijen liepen dit jaar helaas achter. Als je op Bol.com zoekt naar boeken over kanker of depressie, krijg je onbeveiligde pagina’s terug die iedereen kan lezen. Hetzelfde geldt voor wie naar babykleding zoekt bij Hema of bloeddrukmeters bij Coolblue. Een gemiste kans van deze bedrijven om hun gebruikers te beschermen en om internationaal voorop te lopen. In al deze gevallen gaat het om privacy-gevoelige informatie, en bedrijven zijn verplicht om hier zorgvuldig mee om te gaan. Op 1 januari 2016 gaan de boetes omhoog (gelijktijdig met de invoering van de meldplicht datalekken), dus nu is een goed moment om dit probleem aan te pakken.

Screen Shot 2015-12-20 at 22.57.21Zelf aan de slag met https

Het aanzetten van https is technisch niet moeilijk. Het is een kwestie van de internet-hosting provider te vragen om een SSL-certificaat aan te vragen. Voor de meeste websites is het goedkoopste certificaat goed genoeg. Wie veel gebruik maakt van subdomeinen (bijvoorbeeld niet alleenmijnwebsite.nl maar ook xyz.mijnwebsite.nl) heeft een duurder wildcard-certificaat nodig. In het verleden waren de kosten van deze ssl-certifcaten een probleem: de certificaten werden als melkkoe gebruikt en met name organisaties met veel verschillende websites hadden geen zin om zich uit te laten melken. Er is een initiatief om de certificaten gratis te maken public beta: Let’s encrypt. Voor wie toch nog bij een duurdere provider zit die certificaten uitmelkt: wissel alsjeblieft. SSL is belangrijk.

Screen Shot 2015-12-20 at 23.00.14Sites testen

Als je een certificaat hebt, kun je de website checken met je eigen browser, en met de Qualis ssl-testtool. Deze doet een aantal testen. Voor het schrijven van dit artikel zijn aantal websites getest: Bol.com en Coolblue hebben beiden wel SSL-certicaten. Bol.com scoort het hoogst (A), Coolblue iets lager maar nog steeds goed (A-). 

Ontloop privacy-boetes en kies voor https

Als je tussen het kerstdiner en de oliebollen door tijd over hebt, en toch iets aan een betere wereld en je eigen website wil doen: neem https. Binnen een paar uur en voor een paar tientjes ontloop je hoge privacy-boetes, stijg je op de lange termijn in Google en heb je een bijdrage geleverd aan een veiliger internet. Een goed begin van het nieuwe jaar.

Deels overgenomen van Frankwatching.com

WordPress beveiligen? Dat doe je zo!

WordPress is een ontzettend populair CMS. De verwachting is dat die populariteit de komende jaren alleen maar verder groeit. Eén systeem voor miljoenen websites, is dat nou wel zo veilig? WordPress stond er in het begin helaas om bekend een 'onveilig CMS' te zijn waar je als hacker zonder problemen binnenkwam. Dat is tegenwoordig zeker niet meer het geval, maar niets is waterdicht. De grootste kwetsbaarheden van WordPress heb je echter zelf in de hand!

Wordpress beveiligen, hoe?

Het WordPress CMS is veilig, maar door de duizenden plugins en themes waarwordpress-onveilig WordPress zelf geen zicht op heeft, kan het zijn dat je website onveilig wordt. Het is ook mogelijk dat je WordPress niet goed hebt geïnstalleerd of een slechte gebruikersnaam/wachtwoord-combinatie hebt gekozen.

Ik heb een lijst gemaakt van zeven punten die vaak misgaan als het gaat om de beveiliging van een WordPress website. In dit artikel behandel ik elk punt. Heb jij alle stappen uit dit artikel gevolgd, dan is de kans dat je WordPress website getroffen wordt door een hacker minimaal en heb jij er alles aan gedaan om dit te voorkomen.

  1. Onveilige hosting.
  2. Slechte installatie WordPress.
  3. Slechte gebruikersnaam/wachtwoord combinatie.
  4. Onveilige plugins en themes.
  5. Gedateerde WordPress installatie.
  6. Onjuiste bestandsrechten.
  7. Overbodige bestanden.

Natuurlijk kan het geen kwaad om wat extra’s te doen. Verderop geef ik een overzichtje van goede plugins voor de beveiliging van je WordPress website en geef ik tips over preventieve maatregelen die je kunt nemen.

1. Onveilige hosting

Een onveilige website is vaak gevestigd in een onveilige omgeving. De hosting van je WordPress website is erg belangrijk!.
Niet alleen voor de veiligheid, maar ook voor de snelheid van je website en eventuele support als het misgaat. Ga niet in op gratis hosting of hosting voor een dollar per maand, je gaat hier later spijt van krijgen. Deze hostingpartijen bieden geen tot weinig support en plaatsen vaak links op jouw website naar andere websites. Begin er niet aan en schaf een goed hostingpakket aan bij (het liefst) een Nederlandse hostingpartij.

2. Slechte WordPress-installatie

Een goed begin is het halve werk. Zorg voor een volledige en zo optimaal mogelijke installatie van WordPress voordat je met je website aan de slag gaat. Als je al een WordPress website hebt, is het lastig om de volgende punten nog goed te zetten. Doe dit dan ook niet zomaar en vergeet vooral geen backup te maken. Dit is een geavanceerd onderdeel, vraag hulp als je het niet snapt en wijzig niet zomaar dingen in je database!

Gebruik onderstaande kennis als je een nieuwe WordPress website gaat maken: dit kan een hoop ellende besparen.
Bij een goede installatie komen een aantal zaken kijken:

  • Table Prefix.
  • Naam database.
  • Gebruikersnaam & wachtwoord database gebruiker.
  • Salts & Keys.

Wijzig de Table Prefix

De Table Prefix is een veiligheidsmaatregel die al lang in WordPress te vinden is. Het voegt een aantal tekens toe aan het begin van elke tabelnaam in de database van je WordPress website zodat een hacker niet zomaar de juiste naam van een tabel in handen kan krijgen. Normaal ziet de naam van een tabel er zo uit: wp_naam. Een voorbeeld is de tabel met alle gebruikers: wp_users. Dit is de standaard voor WordPress installaties en hackers weten dit.

Als jij de naam van je tabellen echter wijzigt naar (bijvoorbeeld) wp123_users, is de kans dat een hacker de naam van je tabel raadt veel kleiner. Je vindt dit in het wp-config.php bestand van je website, maar ik raad het je af om dit te wijzigen bij een bestaande WordPress website. De kans dat het fout gaat is dan (erg) groot!

Gebruik een willekeurige naam voor je database

WordPress heeft een database nodig om te kunnen functioneren en voordat je WordPress kunt installeren, moet je een database aanmaken. Gebruik een willekeurige naam bestaande uit kleine letters, hoofdletters en cijfers en voorkom dat de naam van je database gelijk is aan de naam van je website. Dit is niet veilig genoeg!

Kies een random gebruikersnaam & wachtwoord voor je databasegebruiker

In het wp-config.php bestand moet je de naam van je database invullen, net als de gebruikersnaam van de MySQL-gebruiker en het bijbehorende wachtwoord. Zorg ervoor dat zowel de gebruikersnaam als het wachtwoord bestaan uit een willekeurige string van kleine letters, hoofdletters, cijfers en symbolen. Instrallatron, een tool die je kunt gebruiken om een CMS te installeren zonder dat je zelf bestanden hoeft te downloaden (de meeste Nederlandse hosts bieden deze tool gratis aan), doet dit meestal automatisch.

Gebruik unieke salts & keys

Het laatste onderdeel van de WordPress-installatie zijn de salts en keys. Dit zijn regels code die je in het wp-config.php bestand plaatst. Het zijn bepaalde waarden die je WordPress website beveiligen tegen cookie hacks. Het is uitermate belangrijk dat deze waarden uniek zijn! WordPress heeft een generator gemaakt: kopieer de code (elke keer uniek) en plaats deze in het wp-config.php bestand van je WordPress-installatie. Wijzig je salts & keys niet als je al een bestaande WordPress website hebt met salts & keys! Voor de salts & keys geldt ook: Instrallatron vult dit meestal automatisch in.

3. Onveilige gebruikersnaam/wachtwoord

Je zou het misschien niet zeggen, maar dit is het grootste beveiligingsrisico van elke WordPress website. Niet omdat WordPress gegevens zo onveilig opslaat, maar puur omdat gebruikers van WordPress slechte gebruikersnamen en wachtwoorden kiezen. De gebruikersnaam is vaak admin en het wachtwoord heeft meestal iets met het onderwerp van de website te maken, of het is in de lijst met 20 meest voorkomende wachtwoorden te vinden.

Een aantal tips om te helpen bij het kiezen van een veilige gebruikersnaam en wachtwoord:wordpress login

  • Gebruik nooit, maar dan ook nóóit ‘admin’ als gebruikersnaam! Is het hier al te laat voor? Geef het admin account dan dezelfde rechten als een abonnee en maak een nieuw account aan voor de administrator.
  • Gebruik niet de naam van je website als gebruikersnaam of wachtwoord.
  • Zorg dat je wachtwoord uit hoofdletters, kleine letters en cijfers bestaat.
  • Zorg dat je wachtwoord minimaal één speciaal teken bevat (bijvoorbeeld $ of %).
  • Bedenk dat je tegenwoordig ook spaties kunt gebruiken in je wachtwoorden; zo kun je dus een zin maken, bijvoorbeeld: ‘!k k@n z0 33n g03d w8w00rd m@k3n’.
  • Zorg dat je wachtwoord tenminste uit acht tekens bestaat.

4. Onveilige plugins en themes

Over het algemeen geldt: in de WordPress.org directory zijn de plugins en themes veilig. WordPress controleert ze uitvoerig en je kunt deze dus met een gerust hart gebruiken. Het kan echter zo zijn dat er een item tussendoor glipt, maar WordPress-gebruikers melden dit meestal netjes in de vorm van ratings en reviews. Controleer dus eerst de rating, reviews en het aantal downloads voordat je een plugin of theme besluit te gebruiken. Je vindt deze onderdelen op de pagina van de betreffende plugin of thema op WordPress.org.

Overige aanbieders

Er zijn talloze aanbieders van WordPress plugins en themes te vinden en op veel websites kun je gratis WordPress themes downloaden. Pas echter wel op! Het gaat vaak om themes die zijn geïnfecteerd met base64-code of andere kwaadaardige code en dit is schadelijk voor je website.

Veilige aanbieders van WordPress plugins en themes zijn :
Themeforest (themes), Codecanyon (plugins) WPexplorer (themes), WooThemes (WooCommerce themes) en Elegant Themes (themes).

5. Gedateerde WordPress-installatie

WordPress wordt regelmatig voorzien van een update en het gaat vaak om beveiligingsupdates: updates die bepaalde (veiligheids)lekken dichten. Het is extreem belangrijk dat je WordPress-installatie up-to-date blijft! Na een onveilige gebruikersnaam/wachtwoord-combinatie is dit de meest voorkomende beveiligingsfout als het gaat om WordPress websites. Maak voordat je gaat updaten eerst een backup van je website voor het geval dat het misgaat.

Je kunt WordPress ook automatisch laten updaten (kleine versies), zodat je dit niet steeds handmatig hoeft te doen. Ook voor themes en plugins geldt dat ze geüpdatet moeten zijn voor optimale veiligheid, maar controleer voordat je alles gaat updaten eerst of ze wel met je huidige versie van je WordPress-installatie werken.

6. Verkeerde bestandsrechten

De bestandsrechten van je bestanden moeten standaard op 644 staan. Veel mensen zetten (nadat ze een bestands rechten error hebben gezien) de bestandsrechten van al hun bestanden op 777, maar dit is erg onveilig. De bestandsrechten kun je aanpassen door in te loggen via bijvoorbeeld FTP. Ik raad je aan de volgende getallen over te nemen.

  • root website 755
  • wp-admin 755
  • wp-content 755
  • wp-includes 755
  • .htaccess 644
  • readme.html 400 (of nog beter: verwijderen!)
  • wp-config.php 644
  • wp-admin/index.php 644
  • wp-admin/.htaccess 644

7. Overbodige bestanden

Ook dit is een tip voor gevorderden, begrijp je het niet goed, schakel dan zeker hulp in voor je zelf aan de slag gaat. Bij een automatische WordPress-installatie met bijvoorbeeld Instrallatron blijft het wp-config-sample.php bestaan, terwijl het wp-config.php bestand wel wordt gebruikt. Verwijder het wp-config-sample.php bestand dus uit de root van je website: WordPress gebruikt dit bestand niet. Ook een database optimizer is geen overbodige luxe om overbodige data te verwijderen en het is ook nog eens goed voor de laadsnelheid van je website.

Houd je versienummer privé

Het is al een lange tijd een discussieonderwerp in de WordPress-wereld: bij elke installatie wordt het readme.html bestand standaard geplaatst. Dit bestand bevat het versienummer van de WordPress-installatie en dat is voor iedereen beschikbaar. Heb jij een WordPress website en wil je controleren of het versienummer van je WordPress-installatie op straat ligt, ga dan naar ‘www.jedomeinnaam.nl/readme.html’. Zie je hier een pagina met je versienummer, verwijder dit bestand dan van je server. Het is nergens voor nodig om je versienummer open en bloot aan de wereld te tonen.

Gebruik speciale plugins voor extra beveiliging

Het WordPress CMS is zoals gezegd veilig en als jij de bovenstaande punten in orde maakt, is de kans dat je website wordt gehackt minimaal. Het kan echter geen kwaad om wat extra beveiligingsmaatregelen in te voeren. Daarbij komen beveiligingsplugins goed van pas.

Wat je in ieder geval moet doen, is een regelmatige backup van je website instellen. Wordt je website getroffen, dan heb je in ieder geval nog een schone versie.


Bij alle problemen en Issues die je tegenkomt, of in het geval je WordPress Website gehacked is of geinfecteerd kunnen wij hulp bieden.

 

WordFence Security

Wordfence Security

WordFence-WordPress-beveiliging-plugins

Wordfence Security is gratis als je genoeg hebt aan de basis beveiliging (en bij de meeste sites is dit prima), maar je kunt ook een premium versie aanschaffen. De plugin bevat een firewall, anti-virus scanner en URL scanner. De plugin controleert eerst of je site toevallig niet al geïnfecteerd is door een zogeheten deep server-side scan van je broncode uit te voeren. Vervolgens wordt je site beveiligt. Met deze plugin wordt je site niet alleen veiliger, maar ook tot wel 50 keer sneller!

Vooruitgang is niet altijd een verbetering, vernieuwing is niet altijd vooruitgang, denk goed na wat nodig is en vooral of je Privacy gevoelige informatie voldoende afgeschermd hebt. Een gehackte website kan ook schade aan anderen toebrengen en in het ergste geval zelfs Identity Fraude met alle gevolgen van dien..

InterExTranet helpt u graag met deze vraagstukken.