In de SiteSafe nieuwsbrief plaats ik beveiligingstips die voor iedereen van toepassing zijn. Bij deze de eerste tip!

Online versie: http://eepurl.com/o7xGj
Inschrijven: https://www.sitesafe.nl/contact/nieuwsbrief

3 september 2012

Het is al vaker gezegd, maar je zou eens moeten weten hoevaak het toch
wordt vergeten: houd je website up-to-date!

Onlangs werd ik gebeld door een klant. Haar website was verdwenen. In
ruil daarvoor stond een Turkse vlag met de melding dat haar website was
gehackt. Omdat Nederland iets verkeerds zou hebben gedaan.

Al snel kwam ik erachter dat ze gebruik maakte van WordPress. Een
fantastisch systeem, ware het niet dat er veel beveiligingslekken zijn
gevonden in de afgelopen jaren. Groot voordeel is echter wel, dat het
updaten naar de nieuwste versie heel makkelijk is geworden.

Dat hadden de webbouwers haar niet uitgelegd.. Zij zat nog
steeds op een oude versie, die een aantal kwetsbaarheden bevatte en het
was dan ook kinderspel om haar website te hacken.

De oplossing was heel simpel: updaten naar de nieuwste versie.
Zo snel als de website in eerste instantie was gehackt, zo snel was
deze nu weer veilig. Zo simpel is het.

Iedere CMS, blog en andere OpenSource systeem brengt om de zoveel tijd
een nieuwe versie uit. Houd dit altijd in de gaten! De nieuwe updates
zijn er niet voor niets.

Klinkt heel logisch, betrap me zelf er alleen ook af en toe op

Maar bedankt voor de tip
Zal de nieuwsbrief gaan volgen

Vergeet ook niet dat de meeste lekken in de plugins van derden zitten omdat die vaak niet onder dezelfde kwaliteitscontrole en updates van het cms vallen. Met alleen je CMS updaten ben je er niet altijd.

Daar heb je zeker gelijk in John :-)

Iedereen gebruikt bij inloggen bij de administratie admin als naam, doe keer eens voor de verandering een zelf bedachte naam. Minder kans op een brute force hack

Dit is wel erg eenvoudig en kort, maar het is inderdaad wel de basis. Het komt anno 2012 waar het inmiddels toch behoorlijk tot de algemene kennis behoort dat veel sites gehackt worden nog steeds voor dat mensen op 2 jaar oude systemen leven. Een CMS, en zeker een CMS die gebruikt wordt door miljoenen mensen (Wordpress, Joomla, etc.), zijn zeer interessant voor hackers. Immers, één gevonden bug kan potentieel miljoenen sites beďnvloeden. Het is daarom cruciaal dat mensen vaak updaten.

Zo simpel is het echter niet. Veel layouts zijn matig in elkaar gezet en zullen bij een update soms totaal onwerkbaar worden omdat de CMS bepaalde functies niet meer ondersteund of juist nieuwe functies heeft toegevoegd. Mijn advies is daarom om allereerst een design te laten maken bij iemand die veel ervaring op dit gebied heeft om de kans te verkleinen dat er iets misgaat tijdens een update. Daarnaast kun je (als je nogal vergeetachtig/lui bent aangelegd) kiezen voor een webhoster met Installatron. Wij hebben hier uiteindelijk voor gekozen om aan te bieden omdat Installatron de optie biedt automatisch het systeem te updaten, wat naast gebruikersgemak gewoon een stuk veiliger is.

Ten slotte, maar dat is hierboven al even aangegeven, gebruik zo min mogelijk plugins. Dat is werkelijk een drama. Veel zien er leuk uit maar blijken achteraf door een hobbyist in elkaar gezet te zijn die niet aan veiligheid heeft gedacht. Daarnaast ben je nooit zeker van de continuďteit aangezien veel pluginmakers na enkele maanden stoppen met het maken van nieuwe versies. Hackers zullen echter altijd blijven speuren als de plugin populair is, en dan is het een kwestie van tijd voordat het mis gaat.

Helemaal mee eens! Eigenlijk zou de bouwer van de website, zelf moeten testen of een nieuwe update wel of niet werkt met het design. Of eventueel zelf de lekken in het systeem moeten verhelpen met aanwijzingen die worden verstrekt door de makers van het CMS. En er zijn inderdaad ook voor veel plugins exploits te vinden. Er wordt veel te weinig aandacht aan gegeven :(

Origineel gepost door Chris Horeweg

Eigenlijk zou de bouwer van de website, zelf moeten testen of een nieuwe update wel of niet werkt met het design. Of eventueel zelf de lekken in het systeem moeten verhelpen met aanwijzingen die worden verstrekt door de makers van het CMS.

Je hebt helemaal gelijk, maar dit is een van de redenen dat ik geen 'klusjes' meer doe. Ik leg meestal wel uit dat een website (gebouwd met een populair CMS) nooit 'af' is en ze ook een onderhouds-overeenkosmt moeten hebben, maar het is vaak opleveren en wegwezen.
Behalve als er iets stuk gaat natuurlijk, of je het dan even wilt fixen, gratis.