0616670516

WordPress Meetup 024 van 11-03-2015 deel 1

Op 24 maart 2015

WordPress Meetup 024 van 11-03-2015 deel 1

MediaMaus was aanwezig bij de 4e 024 WordPress Meetup die werd georganiseerd door Yoast en Savvii.
In deze tweedelige blogserie geef ik een verslag van de WordPress Meetup en hoop ik jullie tegen te komen bij de volgende Meetup.
Na de binnenkomst volgde het welkomstwoord door Taco Verdo.
Hier gaf hij aan dat dit de 4e WordPress Meetup is in Nijmegen en dat hij blij is met de grote opkomst.
Tevens legde hij uit dat deze avond anders zou verlopen dan de voorgaande meetups.
Allereerst kregen we presentatie voor iedereen die aanwezig was en daarna konden we ervoor kiezen om de beginnerstrack presentatie of de expertstrack presentatie te volgen.
In deze blog doe ik verslag van de algemene presentatie en volgt in deel 2 een verslag van de beginnerstrack.
Vervolgens gaf Taco Verdo het woord aan Brecht Ryckaert.

Presentatie 1: Brecht Ryckaert – WordPress security 101

Bekijk via deze link de slideshare presentatie

WordPress Meetup van 11-03-2015 deel1

De eerste presentatie van de avond was voor iedereen die aanwezig was bij de WordPress Meetup en werd gegeven door Brecht Ryckaerts over WordPress security. Een interessant onderwerp dat bij veel mensen (nog) niet op orde is of waar mensen geen verstand van hebben.
Een goede security is essentieel voor de bescherming van onder andere je persoonsgegevens, klantgegevens, creditcard gegevens, je online reputatie etc. De onderstaande tekst werd gebruikt als inleiding voor de presentatie:

“Brecht neemt u mee doorheen de wereld van hacks, attacks en de middelen die u kan gebruiken om uzelf hiertegen te wapenen.
Hij gaat dieper in op beveiliging in WordPress zelf, en bekijkt ook alle randfactoren die van invloed zijn.
Security is iets dat ons allen aanbelangt, ongeacht of je nu blogger of systeembeheerder bent, daarom zal Brecht zorgen dat iedereen iets nieuws leert!”

Veel succes met het lezen van dit verslag en hopelijk kun je het een en ander opsteken over het beveiligen van je WordPress installatie. Wellicht ga ja na het lezen van deze blog direct aan de slag met het beschermen van je WordPress installatie, mocht je hierbij assistentie nodig hebben dan kun je uiteraard contact opnemen met MediaMaus.

Brecht Ryckaert

  • Support engineer @ Combell.com;
  • WordPress sinds 1.5;
  • Blogger (tot 2010 techblogger);
  • WordCamp Netherlands 2014 spreker;
  • Auteur van WordPress Security 101;
    o Amazon Kindle;
    o + 1800 exemplaren verkocht;
    o Blijft een “work in progress”;
    o Eerstkomende update ergens in de komende 4 weken;

Na zichzelf voor te stellen begon Brecht de presentatie door een vraag aan het publiek te stellen en om te zorgen dat het een interactieve presentatie zou worden. Brecht vroeg aan de zaal:

Wie zijn site werd al gehacked of had een site van een cliënt die gehacked is geweest?

Hierbij gingen een aantal handen de lucht in.

50.000 WordPress websites zijn gehacked door plugin vulnerabilities. Malware infecties zorgen dat WordPress websites niet meer werken en 100.000+ website zijn onveilig geworden door het gebruik van de Revolution Slider met de beveiligings vulnerability die de plugin destijds had.

Is WordPress dan wel veilig?

Natuurlijk is WordPress nog wel veilig maar ook hier gaat het spreekwoord op:
“een keten is zo sterk als zijn zwakste schakel”

WordPress hacking – de dreigingen

Onderzoek van WPMUdev heeft uitgewezen dat hacking gebeurt voor de volgende oorzaken:

  • 50% van de hacks komen door plugins/thema’s
  • 25% door een verouderde WordPress installatie
  • 25% serverconfiguratie en andere zaken…

Wederom volgde er na het voorgaande verhaal een aantal vragen aan het publiek.

Wie van jullie installeert security plugins in zijn/haar WordPress websites?

Vrijwel iedereen aanwezig maakt hier gebruik van.

En bij wie van die mensen is dat de enige beveiligingsmaatregel?

Opmerkelijk was dat iedereen hier de hand naar beneden hield, de aanwezige mensen zijn dus al een stapje verder als het gaat om het beveiligen van de WordPress installatie. Je WordPress website beveiligen door alleen gebruik te maken van beveiligingsplugins is niet genoeg.

Wie gebruikt FTP om bestanden op zijn website te plaatsen en eventuele code te bewerken?

Bijna iedereen maakt gebruik van de FTP voor de bovenstaande zaken, slechts een enkeling gebruikt hiervoor een andere tool of maakt alleen gebruik van de functionaliteiten die WordPress biedt.

FTP is een zwakke schakel

Brecht heeft uit persoonlijke ervaring geleerd dat FTP eveneens een bijzonder zwakke schakel is. Heel wat hacks gebeuren middels gestolen FTP-gegevens die men heeft bemachtigd via:

  • Keyloggers;
  • Virussen (meestal trojans);
  • Malware of spyware;
  • Lekken in oudere versies van software (Acrobat Reader 8, Flash Player);

Maar hoe vermeiden we dan hacking via FTP?

  • Geen FTP gebruiken! Gebruik SFTP waar mogelijk;
  • OS up to date houden;
  • Software up to date houden;
  • Gebruik anti-virus en anti-malware + firewall software;

Welke (meest voorkomende) soorten aanvallen zijn er?

  • Type 1: Backdoors, aanvallen op de achtergrond van je website installatie;
  • Type 2: Drive by downloads, verstopte downloads binnen de code van de website;
  • Type 3: Pharma hack, deze kun je herkennen aan de links naar andere websites die verschijnen in de zoekresultaten naar je website. Ze lijken op links naar pagina’s binnen de website maar verwijzen ergens anders heen;
  • Type 4: Malafide redirects, deze staan binnen je .htaccess bestand en verwijzen naar malafide websites;
  • Type 5: Trojan downloads binnen de code, downloads van trojan aanvallen die worden aangeroepen in de code;

Hoe gaan we dergelijke hacks vermeiden?

Er is online veel informatie te vinden over het beveiligen van je WordPress installatie maar we gaan onderstaand kijken hoe we WordPress op en top kunnen beveiligen.

Plugins

  • Security in WordPress | Plugins, Themes, & Best Practices die je online kunt terug vinden;
  • Security door middel van pugins | iThemes Security, Wordfence Security, Sucuri Security, Sucuri Security Website Firewall, Bulletproof Security, Limit Login Attempts, All in one WP Security & Firewall en nog vele andere;

Er zijn wel een aantal kanttekeningen te plaatsen bij het beveiligen van je WordPress installatie door middel van plugins.

  • Beperk het aantal plugins waar mogelijk;
  • Verwijder gedeactiveerde plugins altijd;
  • Hou je plugins altijd up to date;
  • Probeer je te beperken tot de plugins uit de officiële WordPress plugin repository (//www.wordpress.org/plugins);
  • Check altijd hoe lang geleden de laatste update uitgegeven werd van een plugin;

WordPress Gebruikers

  • Geen admin user gebruiken, verwijder deze na de installatie!
  • Kies een goed wachtwoord:
    o Hoofdletters & kleine letters;
    o Cijfers;
    o Speciale tekens (@, !, ?, …);
    o Gebruik geen bestaande woorden;

WordPress Thema’s

  • WordPress thema’s altijd up to date houden;
  • Gratis theme? Altijd via //www.wordpress.org/themes;
  • Premium themes? Hou dit altijd goed up to date;
  • Nooit themes aanpassen in de theme files zelf. Werk ALTIJD met een child theme voor aanpassingen;

Eigen thema gemaakt?

Deze kun je testen met: https://wordpress.org/plugins/theme-check

WordPress opties

  • Pingbacks uitschakelen;
  • User registration uitschakelen indien niet noodzakelijk;

De bestandsstructuur | Tweaks binnen je hosting

  • Toegang tot gevoelige files blokkeren via je .htaccess bestand, plaats het .htaccess bestand in de hoofdmap van WordPress-installatie en test je website na elke aanpassing (zie presentatie sheet 30);
  • Injections blokkeren via je .htaccess (zie presentatie sheet 31);
  • Robots.txt disallow je WordPress files en blokkeer de toegang van buitenaf (zie presentatie sheet 32);
  • Wp-content/uploads beveiligen met je .htaccess (zie presentatie sheet 33);

Serverconfiguratie | Tweaks in php.ini (wanneer je toegang hebt tot dit bestand)

PhP is een groot probleem binnen de WordPress beveiliging.

  • Huidige PhP versie is 5.6;
  • Er hebben heel wat security tweaks plaatsgevonden vanaf versie 5.4;
  • Veel hostings draaien nog 5.3;
  • Vraag actief naar updates bij je hoster! Een goede hoster standaardiseert op 5.5;

PhP.ini

  • Safe_mode (weg sinds 5.4, deprecated in 5.3);
  • allow_url_fopen;
  • register_globals (weg sinds 5.4, deprecated in 5.3);

Fail 2 ban

Wat als je zelf onvoldoende technisch onderlegd bent om dit zelf te implementeren?

Maak gebruik van managed (WordPress) hosting bijvoorbeeld Savvii (https://www.savvii.nl/)

  • Ze nemen de serverconfiguratie voor hun rekening;
  • Ze doen de WordPress & plugin updates voor je;
  • Ze ondersteunen je bij hacking;

Hoe kan je een website proactief doorlichten?

WpScan

  • Scanner voor WordPress;
  • Scant naar vulnerabilities;
  • Kan gebruikt worden om DDOS te simuleren;
  • Via CLI;
  • Self hosted;
  • Gratis te gebruiken;

Securi sitecheck

Site toch gehacked? | Wat nu?

  • Keep calm and call support;
  • Wijzig alle wachtwoorden van onder andere: WordPress, MySQL Database, FTP…
  • Update je gehele installatie van WordPress, de thema’s en plugins;
  • Controleer de database op eventuele malafide entries of verdachte users, dit is veel werk en moet je handmatig doen;
  • Het alleen terug plaatsen van je backup is niet de oplossing;
  • Controleer je eigen PC op onder andere malware en virussen;

Dit was de eerste presentatie van de 4e WordPress meetup door Yoast en Savvii. Binnen enkele dagen volgt het 2e deel van de blogserie. Was je ook aanwezig bij de WordPress Meetup of heb je plannen om bij de volgende meetup aanwezig te zijn?
Wat zijn de belangrijkste dingen die je hebt geleerd en heb je zelf nog tips voor het beveiligen van je WordPress website?
Laat je reactie horen onderaan dit bericht en help elkaar om hackers buiten je website te houden!

Bekijk hier deel 2 van deze blogserie →

Gerelateerde Berichten

  • Door Maurice De Busschere  0 Reacties   
  • 024, meetup, nijmegen, plugin, savvii, webontwikkeling op maat, wordpress, wordpress plugin, yoast

    0 Comments

    Leave a Reply

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *