Tag Archief van: veiligheid

,

Waarom een SSL certificaat of Groen Slotje?

waarom een ssl-certificaatAlle websites beginnen met http. Tenzij het een webshop is, of een bank. Dan staat er https voor. Althans, zo was het.

Totdat Google aankondigde dat vanaf 2017 waarschuwingen worden getoond als een website geen SSL certificaat heeft.

Behalve Google heeft ook het College Bescherming Persoonsgegevens zich hierover uitgesproken. Dit college vindt dat jij verantwoordelijk bent (lees: aansprakelijk) voor wat jouw bezoekers op je site kunnen achterlaten. Boetes kunnen oplopen tot 4.500 euro.

SSL al nodig bij contactformulier en Google Analytics

Je valt al onder deze wettelijke verplichting als je een website hebt die gevoelige data verwerkt. En dat is zeker het geval bij een webshop, maar ook al bij het gebruik van een contactformulier (!) of Google Analytics.

Je bezoeker krijgt met een SSL certificaat meer bewijs dat de site ook echt van jou is, zo is het idee. En ook mail kan hiermee versleuteld worden verstuurd.

Google laat je zonder groen slotje zakken

Google laat je website slechter scoren als deze geen SSL certificaat of slotje heeft.

Waarom wil je een SSL Certificaat?

  • De wettelijke verplichting voor o.a. je contactformulier, Google Analytics en webshop
  • Je vindbaarheid in Google en hun waarschuwing voor een onbeveiligde website
  • Het vertrouwen van je (potentiële) klant

Welke SSL Certificaten zijn er?

Je kunt kiezen voor een:

Single Domain Certificaat

Deze wordt het meest gebruikt. Je beveiligt hiermee je domeinnaam.nl. Heb je subdomeinen geïnstalleerd, zoals webshop.domeinnaam.nl of watdanook.domeinnaam.nl, dan is dat gedeelte niet beveiligd. De kans is groot dat je geen gebruik maakt van subdomeinen en aan deze optie dus genoeg hebt.

Wildcard Certificaat

Hiermee zijn ook je subdomeinen beveiligd. Dus ook webshop.domeinnaam.nl of watdanook.domeinnaam.nl

Extended Validation (EV) Certificaat

Dit werkt als de Single versie maar nu staat de bedrijfsnaam erachter. Kijk bij Rabobank.nl bijvoorbeeld, hier staat het groene slotje met de naam van de bank erachter, ook in het groen. Bij de Single variant staat alleen het groene slotje zonder de bedrijfsnaam erachter, zoals op mijn website.

Multi Domain Certificaat

Hiermee kun je verschillende domeinnamen met 1 certificaat beveiligen. Handig als je in meerdere landen actief bent met bijvoorbeeld domeinnaam.nl en domeinnaam.be

Kosten

Het Single Certificaat is het goedkoopst en zal voor de meeste sites voldoende zijn: Voor trainers en coaches, maar ook voor je webshop die op .nl eindigt.

Een Single Certificaat wordt soms gratis of voor 12 euro per jaar aangeboden. Een Wildcart kost al gauw 100 euro per jaar, een EV certificaat 150 euro per jaar. Maar dat kan echt alle kanten opgaan. Let dus goed op wat je hosting provider vraagt voor zo’n certificaat.

Mijn Tip

Eigenlijk ben je wel gedwongen om een SSL Certificaat te gebruiken. Ben je trainer of coach, of heb je webshop die eindigt op .nl? Ik zou dan kiezen voor een Single Domain Certificaat. Check de extra kosten voor het certificaat. Ik heb zelf goede ervaringen met Sohosted.com (helaas geen aandelen of provisie). Zij rekenen voor een Single Certificaat 1 euro per maand, dus 12 euro per jaar.
Loont het hiervoor de moeite om van de ene naar de ander provider te verhuizen? Misschien kun je het zelf en loont dat ook anders de moeite om het uit te besteden.

Kan ik iets voor je doen?

Ik hoor het graag, neem dan contact met mij op.

366 keer gelezen

Facebook en privacy: veranderingen in 2015

privacyFacebook verandert de voorwaarden per januari 2015. En dat doet stof opwaaien. Maar wat is er nu eigenlijk zo nieuw aan?

Helaas was niet ook alle berichtgeving  even secuur. Zo vergaloppeerde het programma Kassa zich in de hype: Volgens de ‘internetdeskundige’ in dit programma zouden al je foto’s vanaf 1 januari door bedrijven gebruikt kunnen worden bij advertenties. Stel je de combinaties eens voor… horror! Elke foto van je zou bij elke advertentie geplaatst kunnen worden.

Maar… dit was eigenlijk al zo… En dat kon je in 2014 – en daarvoor – al uitzetten bij je instellingen. Dus niets nieuws onder de zon.

Zou Facebook deze toestemming ineens overboord gooien? Dat ze je privacy instellingen ineens zo zouden overrulen? Zoals ik laatst in een interview hoorde, met een Facebook man: ze zouden wel gek zijn, want ze zouden geen gebruiker van Facebook meer overhouden.

Daarom, voor alle duidelijkheid:

  • Mag Facebook je foto’s zonder jouw toestemming aan adverteerders verkopen? -> Nee.
  • Krijgt Facebook na het plaatsen van je foto het auteursrecht over je foto? -> Nee.
  • Mag Facebook jouw openbare informatie koppelen om advertenties bij andere gebruikers te tonen, en dus ook je foto naast een advertentie plaatsen? > Ja.

Dit laatste was al zo. Heb je leuke laarsjes bij Zalando bekeken of een nieuwe gadget, en ga je daarna naar Telegraaf.nl of een andere website, dan zie op die pagina ineens een leuke advertentie voor diezelfde laarsjes of gadget. Zo werkt het bij Facebook ook, en Facebook plaatst daarbij nog eens schaamteloos je profielfoto bij zo’n advertentie. Tenzij dit uitschakelt bij je privacy settings. En deze mogelijkheid om dat uit te schakelen is er al sinds november 2013.

Een groot misverstand is dus dat Facebook jouw foto’s nu zomaar mag verkopen. Facebook moet nog altijd rekening houden met jouw privacy instellingen. Het grootste verschil met 2014 is misschien wel dat Facebook nu alleen maar duidelijker is geworden in hoe dit werkt. En ik raad je daarom des te meer aan om al je privacy settings zorgvuldig na te lopen.

  • Perpermunt.net geeft je een goed overzicht voor het instellen van al je Facebook privacy instellingen, ook voor apps.Want heb je alle instellingen goed aangevinkt op je computer, dat alleen vrienden je berichten of leeftijd mogen zien, dan kan iemand met een app alsnog die gegevens bekijken.

    Raar maar waar. Dit lijstje is dus zeer de moeite waard.

  • Charlotte van Charlotte’s Law geeft je op haar blog alle informatie als je op de juridische details verder wilt inzoomen en geeft je hiervoor ook de gelegenheid voor verdere vragen.

1491 keer gelezen

WordPress onderhoud: zelf doen of uitbesteden?

En dan heb je je WordPress site gemaakt of laten maken, laten optimaliseren voor Google en dan ga je aan de slag. Maar hoe zit het met het onderhoud? Na een tijdje merk je dat er een nieuwe versie van WordPress uit is en dat er updates zijn voor de plugins die je gebruikt. Natuurlijk kom je een heel eind om daarvoor op de update links te klikken.

Na een paar updates merk je dan dat je bepaalde delen van je site niet meer kunt wijzigen. Of erger, als je een tijd geen update hebt gedaan: dat je site is gehacked. In de vorige weken heb ik zowel de ene als de andere situatie aan de hand gehad, en gelukkig kunnen oplossen.

kapitaal

Kun je ook daarmee overweg, dan is er niets aan de hand. Wil je die zorgen niet, dan kun je het onderhoud beter uitbesteden. Zo ben je er altijd van verzekerd dat je website het doet, vaak toch het meest cruciale middel voor je vindbaarheid en – dus – ook voor je omzet. Een ‘schatkist’ die je toch wel goed wilt bewaken. Bedenk zelf wat het voor jouw website betekent om – in het ergste geval – dagen of weken offline te zijn.

Wanneer is onderhoud nodig?

Net als bij Microsoft of Apple, of bij Firefox en Internet Explorer, worden regelmatig updates aangeboden. Omdat alles weer beter en mooier kan, maar ook omdat er weer een betere beveiliging nodig is. Tussen software leveranciers en hackers zal er altijd een kat en muis spel bestaan. Updates zorgen er daarom ook voor dat ontdekte beveiligingslekken weer worden gedicht. Zo geldt dat ook voor WordPress en plugins.

Tip: Gebruik geen plugins die al te lang niet zijn bijgewerkt.

Update je je site niet, dan zal die trager worden en ook gevoeliger voor hackers. En om die laatste reden zal je webhoster je op een gegeven moment dringend verzoeken om je website te updaten of deze anders offline halen. Ook hosting providers willen geen hackers op hun servers.

Met de nieuwste versies en wat voorzorgmaatregelen hoef je niet zo bang te zijn voor hackers. Zeker niet als je ook altijd voor een goede back up zorgt.

Wat komt er kijken bij al dat updaten?

Doe in elk geval het volgende:

  • Maak regelmatig een back up van je theme en bestanden (via FTP).
  • Maak regelmatig een back up van je database, bijvoorbeeld maandelijks of wekelijks.
  • Update steeds de nieuwe versies van WordPress en plugins.

Gebruik je een betaald template, dan krijg je hiervoor doorgaans een update zodra WordPress een versie verder gaat.

Houd dan ook deze volgorde aan:

  • Maak eerst een back up van je site
  • Update eerst WordPress
  • Update dan je theme
  • Update daarna pas je plugins

Update je eerst een plugin, dan zoekt die naar de nieuwste versie van WordPress. Heb je die nog niet draaien, dan kan dat vervelende errors geven, dus hou deze volgorde in de gaten. Gaat het met de update van een plugin toch nog mis en kun je niet verder werken, dan zit er niets anders op dan deze plugin via FTP uit te schakelen en eventueel een vervangende plugin te zoeken.

Maak altijd eerst een back up van je site voordat je gaat updaten. Ook daarvoor zijn plugins, maar het meest betrouwbaar is om dat rechtstreeks via het dashboard van je hosting provider te doen.

Wat is het voordeel van uitbesteden?

Je krijgt naast alle back ups en updates ook advies over te gebruiken plugins. Plugins die niet meer zijn bijgehouden kunnen teveel verouderd zijn en niet meer werken met de nieuwste WordPress versie. Er zijn ook plugins die met elkaar conflicteren of teveel memory limit ‘vreten’, waardoor je ineens (en onnodig) ineens een duurder hosting pakket zou moeten aanschaffen.

Besteed je het onderhoud uit, dan wordt dat allemaal voor je geregeld, krijg je altijd juist advies en een goede instructie bij de installatie van een nieuwe/vervangende plugin. Zo maak je ook altijd gebruik en heb je kennis van de nieuwste features die WordPress biedt.

Vaak zit er bij een onderhoudscontract ook de mogelijkheid om voor een klein bedrag meer ook je content te laten bewerken, zoals het uploaden van foto’s en het installeren van extra opties. Informeer daarnaar bij je websitebouwer of vraag meerdere offertes op.

onderhoud wordpress websiteEn als het goed is, word je dan ook geadviseerd voor de verdere beveiliging van je website, of wordt dat al in het onderhoudscontract meegenomen. Ook hiervoor kun je zelf het nodige doen.

Wat is het je waard?

Als ik moet kiezen tussen zelf mijn administratie doen, of het huishouden, dan ben ik snel klaar: ik maak dan liever uren voor mijn bedrijf en doe liever waar ik wel goed in ben.

Ik stel mezelf dan altijd de vraag: Kan ik in diezelfde tijd ook een klant werven die me in verhouding meer oplevert?

Tip: Maak ook zelf die afweging hoe belangrijk de website voor je is, hoe goed die is te vinden en wordt onderhouden, en in hoeverre je hier zelf tijd in wil steken.

Meer weten?

Ik laat graag weten wat ik voor je kan doen. Ik beschik bovendien over een groot netwerk van websitebouwers, zodat ik je vraag ook altijd wel kan koppelen aan een passende oplossing.

 

 

2550 keer gelezen

Help, hackers voor de deur! Beveilig je WordPress site

Sinds vorige week en vooral afgelopen weekend zijn er wereldwijd ineens meer aanvallen op WordPress websites gedaan, oftewel ‘brute attacks’.

Je hebt vast ook te maken gehad of op zijn minst gehoord over de aanvallen die banken, iDeal en KPN dagenlang plat konden leggen. Dat zijn hele andere aanvallen dan die nu op WordPress sites worden gedaan. Maar het kan wel zo zijn dat ze graag veel en meer sites willen hacken om zo nog meer servers te kunnen gebruiken voor nieuwe en nog grotere aanvallen op dergelijke instellingen.

Het is hoe dan ook zaak om je WordPress site goed te beveiligen.

Blijkbaar ben ik een trendwatcher of heb ik een neus voor goede plugins. Ik houd het op beide 😉 en zag het aantal pogingen al sinds maart steeds meer toenemen, met afgelopen weekend als – voorlopig – hoogtepunt.

Gebruik je geen plugin om inlogpogingen te monitoren, dan heb je ook geen idee hoe vaak jouw site de afgelopen periode onder vuur heeft gelegen of nog ligt.

Hoe heet wordt de soep nu werkelijk gegeten?

brute aanvallen wordpressDe aanvallen richten zich op url’s die eindigen op bijvoorbeeld login.php, signup.php, register.php of een author/admin/page/2 en waarbij nu voor bijna 100% wordt gezocht naar het wachtwoord van de gebruiker Admin.

Maar ook naar Admin1, Administrator, Support, Sysadmin, Manager, Webmaster en Test wordt gevist. Ik heb ook al mijn voornaam en die van anderen voorbij zien komen.

Er zijn meerdere plugins waarmee je IP nummers kunt laten blokkeren. Als je de verhalen moet geloven zijn er wel veel IP adressen om te blokkeren; al meer dan 90.000. Ook het blokkeren van IP adressen uit een bepaald land is niet waterdicht: Ook de herkomst van een IP adres kunnen ze volledig faken. Oftewel, dat is onbegonnen werk.

Wat helpt wel?

1. Kies een goede gebruikersnaam

Het advies om je admin gebruikersnaam te veranderen, geldt nu des te meer.

Verander daarom meteen je Admin gebruikersnaam.

Lees hier hoe je dat doet.

2. Beperk het aantal inlogpogingen

Installeer een plugin waarmeee je het aantal inlogpogingen kunt beperken. Een goede plugin hiervoor is Limit Login Attempts. Edit: Gebruik Brute Protect, deze plugin verzamelt wereldwijd alle inlogpogingen en is dus het meest up to date.
Update: Bruteprotect is overgenomen door Jetpack. Wil je geen Jetpack gebruiken dan is Wordfence een goed (lichter qua laadtijd en gebruiksvriendelijk) alternatief voor de beveiliging van je site.

3. Beveilig je map /wp-admin

In het control panel van je provider vind je een optie zoals ‘Beveiligde mappen’. Vink daarin aan dat je de map wp-admin wilt beveiligen en kies een gebruikersnaam en wachtwoord.

Er verschijnt nu een extra inlogscherm (pop up) om in te loggen. Hebben ze je WordPress inlogcodes gekraakt dan hebben ze hier met dit extra scherm nog niets aan.

Zie hiervoor de uitleg bij Sohosted of Google op ‘mappen beveiligen’ gevolgd door de naam van je hosting provider. Of neem hiervoor contact op met je hosting provider of webbouwer.

Gebruik je een PopUp plugin (om bijvoorbeeld de inschrijvingen op je nieuwsbrief te bevorderen), gebruik dan deze optie 3 niet.

4. En zorg natuurlijk altijd voor een goede back up

Een fijne plugin hiervoor is BackWPup. Lees hier hoe je die slim gebruikt.

Wil je meer controle?

Ben je al wat handiger met WordPress, installeer dan een plugin zoals Wordfence Securtity of Better WP Security. Deze laatste laat ook zien wat je nog meer kan doen aan je beveiliging, zoals het aanpassen van je htaccess bestand.

En zorg natuurlijk altijd voor de nieuwste versies van WordPress en de plugins die je gebruikt en voor ook een afdoende beveiliging in je wp-config file met de codes van

Doe ik het beheer voor jouw site?

Dan heb je hierover een e-mail ontvangen en ben je ervan verzekerd dat er geen gebruiker Admin op je site te vinden is en dat je site voortdurend wordt gemonitord en opgeslagen.

Is WordPress nog wel veilig?

Deze brute aanvallen richten zich op de ‘voorkant’ van je site en het inloggen via je inlogscherm. Aan de ‘achterkant’ zijn er ook altijd wel  jongens (zijn er ook meisjes die dit doen?) op zoek naar zwakheden in je FTP-verbinding, mappen en rechten daarvan, je htaccess file en oudere versies van WP en plugins. Maar dat is nou niet bepaald nieuw en heeft helemaal niets met deze actuele golf van aanvallen te maken. Oftewel; laat je ook niet gek maken.

Ben je afhankelijk van je website voor omzet en klanten, besteed het onderhoud dan bij voorkeur uit aan een pro. Maak sowieso gebruik van de nieuwste versies van WordPress en plugins, zorg voor regelmatige back ups en neem ook deze voorzorgmaatregelen in acht. Maar geldt dat ook niet voor alle updates van Microsoft, je internetverbinding en je internetbrowser?

Ik krijg nog regelmatig mails omdat mensen een site anders zien en die dan ook hoognodig Internet Explorer of Firefox moeten updaten. Ook dat doe je voor je veiligheid!

Daarom….

Bonustip

Gebruik de laatste versie van je internetbrowser. Check welke browserversie je nu gebruikt. Klik bovenin je browser op Help en op Over. Of klik even op deze link van whatismybrowser.com

Meer weten?

Wil je meer tips voor je online marketing & verkoop? Dit artikel verscheen eerder in mijn nieuwsbrief. Ontvang ook elke maand weer nieuwe en handige tips voor je online marketing en het gebruik van WordPress.

Wil je meer advies voor je vindbaarheid en verkoop? Neem dan contact met mij op.

2830 keer gelezen

Beveilig je WordPress site: Gebruik geen user ‘admin’!

Je website kan altijd het doelwit zijn van hackers en spammers.

Ze kunnen je website soms werkelijk ‘bombarderen’ met comments op je blogberichten. Gelukkig zijn daar ook maatregelen voor te nemen, met bijvoorbeeld een plugin die URL’s (internetadressen) niet toestaat.

Omdat spammers (of pubers die te lang vakantie hebben…) graag je site willen gebruiken, willen ze ook je wachtwoord achterhalen. En dat doen ze soms met grof geschut, door programma’s te gebruiken die automatisch proberen in te loggen.

Ze beginnen met het wachtwoord voor de gebruiker ‘Admin’. Dit is namelijk de gebruiker die standaard staat ingevuld als je een WordPress website installeert en die bovendien alle rechten heeft.

Maak je een nieuwe website aan?

Verander dan meteen Admin in een andere naam.

Heb je al een website met Admin als gebruiker?

Doe dan het volgende:

  • ga naar de optie gebruikers en maak een nieuwe gebruiker aan met een nieuwe naam, bijvoorbeeld ‘New13’.
  • maak voor New13 een ‘sterk’ wachtwoord aan, met letters en cijfers.
    • Tip: gebruik voor je gebruikersnaam en wachtwoord andere niet voorspelbare woorden en letters en zeker niet die uit je website zijn te herleiden. Kies dan ook niet een voor de hand liggende en veel gezochte gebruikersnaam als: administrator, manager, support, admin1 of aaa.
  • stel in dat deze nieuwe gebruiker beheerrechten of administrator rechten heeft.
  • log uit
  • log in met je nieuw aangemaakte gebruiker.
  • ga naar de optie gebruikers en klik bij de Admin gebruiker op ‘verwijderen’. Er is nog niets aan de hand, hierna krijg je de vraag wat je met deze gebruiker wilt doen:

  • Kies er hierbij voor om de berichten en links toe te wijzen aan een andere gebruiker. Doe je dit niet, dan ben je alle berichten van je Admin gebruiker kwijt.

Wil je eerst weten hoe erg die ‘aanvallen’ op je site zijn en op welke gebruikersnaam ze zoeken (meestal dus ‘Admin’, soms de naam van je site), installeer dan de plugin Login Attempts. Daarmee kun je ook het aantal inlogpogingen limiteren.

Ben je klant van mij?

En heb je een onderhoudscontract? Dan hoef je uiteraard niets te doen 🙂

1132 keer gelezen

Cookiewet plugin voor je WordPress website

wordpress cookie plugin

Ken je ze inmiddels ook? Websites waar je meteen een melding ‘in your face’ krijgt over cookies? Vaak lelijk en drempelverhogend (want irritant en verwarrend) is het op die manier ook niet nodig.

Wat zegt de Cookiewet?

De ‘Cookiewet’ is sinds deze zomer van kracht. Eigenlijk is het een onderdeel van de Telecommunicatiewet die kort gezegd meldt:

Websites moeten u informeren als zij cookies willen plaatsen die bijvoorbeeld uw surfgedrag bijhouden. Zij mogen deze alleen plaatsen als u hiervoor toestemming geeft. Websites hebben uw toestemming niet nodig voor cookies die noodzakelijk zijn om een dienst of webshop te laten functioneren. Dit zijn bijvoorbeeld bestanden die bijhouden wat u in uw virtuele winkelwagentje heeft.

Wat doen de grote spelers?

Ik heb even afgewacht hoe heet de soep wordt gegeten, omdat niemand zit te wachten op grote banners en/of gebruiksonvriendelijke oplossingen op je website.

Maak je geen gebruik van plugins die cookies plaatsen, dan is er uiteraard geen actie nodig. Voor het overgrote deel en dus ook voor kleine ondernemers zal het vooral gelden als je gebruik maakt van Google Analytics. Daarmee plaats je een cookie op de pc van je bezoeker. Officieel moet je nu je je bezoeker hiervoor om toestemming vragen, maar eerlijk gezegd wordt die soep niet zo heel heet gegeten.

Heb je een webshop en/of bewaar je andere gegevens van je bezoekers, dan is een melding aan te raden.

Wil je het liever zelf doen? Installeer dan een plugin hiervoor.

985 keer gelezen

Slimme back up voor je WordPress site

beveiligen wordpressWil je elke week of dag een back up maken en laten verzenden via e-mail? Maak dan daarvoor een apart e-mail account aan bij Gmail, daar heb je lekker veel ruimte en dus ook voor je back ups. Of bij Dropbox bijvoorbeeld.

Installeer vervolgens de WordPress plugin BackWPup en stel deze in voor een dagelijkse, wekelijkse of maandelijkse back up.

Let er wel op dat je niet teveel aanvinkt (dus geen data files). Anders kan het bestand te groot worden en krijg jij of je klant toch problemen met de eigen e-mailserver.

Het is handig om voor tussentijdse back ups een plugin te gebruiken. Maar de meest betrouwbare back up maak je natuurlijk via je admin (phpadmin) panel bij je hosting provider, dan heb je altijd de meest 1:1 betrouwbare kopie.

910 keer gelezen