We weten allemaal hoe belangrijk back-ups zijn. Een paar jaar geleden schreven we al eens een artikel hierover, waarna we opeens een toename zagen in het gebruikte aantal MB’s op onze back-up servers. Een goede wake-up call dus.

Dit artikel is gericht op onze klanten met een eigen server, bijvoorbeeld een VPS of Dedicated Server.

Bij iedere VPS die bij ons besteld wordt, leveren wij externe back-up ruimte. Met de nadruk op extern, maar daarover later meer. DirectAdmin, het controlepaneel dat 99% van al onze servers draaiend en beheersbaar maakt, biedt ideale functionaliteit om deze back-up ruimte te gebruiken. Geheel geautomatiseerd, waardoor je er zelf geen omkijken meer naar hebt. Toch merken we nog vaak dat er onduidelijk is waar die back-up ruimte nou eigenlijk voor bedoeld is en hoe deze gebruikt kan worden. Die onzekerheid helpen we graag de wereld uit.

Waarvoor krijg je externe back-up ruimte?

De externe back-up ruimte die we bij jouw VPS aanbieden, is er zodat je back-ups kunt maken en opslaan op een andere plek dan je eigen server. Hierdoor ben je in de gelegenheid om gegevens veilig te stellen, mocht er onverhoopt een beroep op gedaan moeten worden. Je weet immers maar nooit.

Wie maakt de back-ups?

De externe back-up ruimte die we bij jouw VPS aanbieden, is bedoeld voor jou om jouw back-ups op te maken. Ook deze is vrij vanzelfsprekend, maar vraagt misschien toch nog om wat toelichting.

Zoals je ook in de welkomste-mail bij de bestelling van je (eerste) server hebt gelezen – en ook in de algemene voorwaarden als je een Pietje Precies bent – maken wij zelf geen back-ups voor jou en ben je dus zelf verantwoordelijk voor je eigen data. De reden hiervoor is dat wij al je bestanden al meerdere keren opslaan door de gebruikte RAID-configuraties en dat we aan onze kant het hardware-gedeelte al zo goed mogelijk proberen af te vangen.

Maar, dat wil dus zeggen dat als je per ongeluk de verkeerde gebruiker weggooit of je klant per ongeluk een e-mailadres verwijderd, wij geen back-up voor je hebben. Het betekent helaas ook dat, in het geval dat er een hardware storing optreedt waarbij (een gedeelte van) een een aantal harde schijf tegelijkertijd onleesbaar is geworden, wij geen back-up voor je hebben. En dat zou heel jammer zijn.

Je back-ups maak je dus zelf. Je stelt ze zelf in op een manier waarop jij vindt dat je met voldoende zekerheid de meest up-to-date data voor jou of je klant terug kunt zetten.

De 3-2-1 back-upregel

Volgens de 3-2-1 back-upregel moet je minstens drie kopieën van jouw gegevens hebben. Twee back-ups sla je op in verschillende soorten locaties, zoals onze webserver en de back-upserver. Ten minste één back-up sla je offsite op, bijvoorbeeld op je thuiscomputer.

Hoe maak je back-ups?

Het kan natuurlijk zijn dat je niet weet hoe je de back-ups in moet stellen. Gelukkig is dit helemaal niet zo moeilijk als dat het klinkt en dat is vast heel fijn om te lezen. Er komt niet eens een terminal of iets server-technisch aan te pas. Het enige wat je hoeft te doen, is in te loggen in DirectAdmin als Admin-gebruiker.

Onder de Admin Tools vind je dan de optie Admin Backup/Transfer. Als je daar op klikt, krijg je een scherm met verschillende stappen naar voren.

Step 1: Who

Selecteer hier de gebruikers die je veilig wilt stellen tegen rampspoed. Je kunt hier kiezen voor Alle gebruikers, Alle gebruikers behalve de geselecteerde of Alleen de geselecteerde gebruikers. Afhankelijk van het schema dat je in wilt stellen en de wisselvalligheid van de dynamische inhoud van de gebruiker, kun je hier een keuze in maken.

Step 2: When

Wanneer moet de back-up gemaakt worden? Standaard gezien is dat gewoon nu, maar er is dus ook de mogelijkheid om te kiezen voor het Cron schedule. Daarmee richt je zelf een fijn schema in en doet DirectAdmin de rest.

Als voorbeeld schema raden we bijvoorbeeld de volgende configuratie aan:

Op deze manier is er van iedere dag een back-up, terwijl er toch maar vier kopieën worden opgeslagen. Je kunt dan terugvallen op de volgende momenten:

Stel, je komt er ’s middags achter dat er gisteravond iets gebeurd is bij één van je gebruikers en je moet terugvallen op een back-up. Dan kom je dus, met dit schema, op een back-up van maximaal drieënhalve dag dag oud. In veel gevallen is dat nog wel te overzien.

Step 3: Where

Hier komt de externe back-upruimte te pas. Back-ups kun je namelijk lokaal op de server zelf maken. Maar, als er dan iets met de server gebeurt, ben je je back-ups ook kwijt. Niet handig dus.

Gebruik hiervoor dus de externe ruimte en selecteer het bolletje bij FTP. De gegevens hiervoor vind je in je klantenpagina bij het server-overzicht.

Step 4: What

Je kunt hier nog selecteren welke data je veilig wilt stellen. Alles is het gemakkelijkste, maar kan veel (onnodige) ruimte in beslag nemen. Stel dat je de bestanden van de site eigenlijk nooit verandert maar er wel dagelijks nieuwe inhoud op je blog of webwinkel komt, kun je er voor kiezen om alleen maandelijks alles te back-uppen en de rest van de dagen alleen maar de database te pakken.

Step 5: Submit

Dat is dus niet zo heel moeilijk. Knopje klikken, even wachten, klaar!

Step 6: Check

Geen stap van DirectAdmin, maar wel eentje van ons. Als je namelijk op ‘submit’ hebt geklikt, gaat DirectAdmin eerst eens even kijken of ze wel naar de server kunnen verbinden. Heb je wel de juiste hostnaam of gebruikersgegevens ingevuld dus. Controleer dus altijd de terugkoppeling die DA direct op het scherm geeft.

Controleer regelmatig jouw back-ups

Als je regelmatig je back-ups laat maken, wil je nog wel eens vergeten dat het gebeurt. Een lekker gevoel is dat, je nergens zorgen over hoeven maken, toch?

Doe dat niet. Denk er met enige regelmaat tóch even aan. Bijvoorbeeld ’s ochtends, als DirectAdmin de hele nacht voor je bezig is geweest en aan het einde van de taak je een overzicht stuurt met de resultaten. Of iedere maand even checken of de back-up ruimte nog niet vol is.

We vergeten allemaal wel eens wat. Van het zetten van een wekker (gaap) tot de sleutels van de voordeur (oeps).

Online worden er ook veel dingen vergeten. Ter ere van “I forgot day” hebben we de dingen die het vaakst vergeten worden verzameld. Dit is de top 3.

3 – Je bent verhuisd

Afhankelijk van wat voor en hoe veel diensten je gebruikt, krijg je misschien maar eens per jaar een factuur. Niet verwonderlijk dan ook dat wij niet bovenaan het lijstje van verhuisberichten staan.

Toch is het belangrijk om te zorgen wij je goede post- en e-mailadres hebben. Want het is toch vervelend als er opeens een aanmaning op de (digitale) deurmat valt.

Tip: ga je verhuizen, scroll dan eens door de afschrijvingen in Internetbankieren van het afgelopen jaar. Veel posten komen daarin maandelijks terug (denk aan huur, energie en verzekering), maar er zal ook genoeg per kwartaal of zelfs per jaar gaan. Dit zijn precies de partijen waar je vergeet je profiel te updaten.

2 – Je hebt een website

Je computer geeft iedere week wel een melding. Of je opnieuw wilt opstarten, want er is weer een update. Met een beetje mazzel, doet je telefoon dat ook. Sterker nog, mijn Kobo e-reader begon ook spontaan te updaten toen ik net lekker op de bank lag gisteren.

Toch vreemd dat het updaten van een website vaak vergeten wordt. Terwijl zo’n website wordt gebruikt als visitekaartje, communicatiekanaal of zelfs het brood op de plank. Pas als er iets fout gaat, wordt er aan de bel getrokken (maar dan ben je te laat).

Tip: zet een afspraak in je agenda die periodiek terugkomt. Controleer bijvoorbeeld iedere week of je website het nog doet en geen foutmeldingen geeft, en log dan ook even in om te kijken of er updates beschikbaar zijn.

1 – Dat verdraaide wachtwoord…

Met stip op nummer 1.

“Ik moet mijn Outlook opnieuw instellen, maar weet mijn wachtwoord niet meer.”

Gelukkig valt dat best gemakkelijk te herstellen. Je hoeft er alleen maar voor in te kunnen loggen in de klantenpagina. Weet je daar het wachtwoord ook niet meer van? Dan is het misschien tijd voor een wachtwoord-manager.

De consumentenbond heeft daar laatst nog eens een test van gedaan, de resultaten zie je op hun website (helaas alleen als je een abonnement hebt). Beveiligingsguru heeft er afgelopen februari ook nog een stuk over geschreven, dat is wel gewoon in te zien.

Bonus – Beveiligd communiceren

Twee jaar geleden werd de AVG actief. Alles wat met het verzamelen van persoonlijke gegevens te maken heeft, moet vanaf dat moment met “passende technische en organisatorische maatregelen”. Dat betekent dus dat je veilig moet werken.

Stel je e-mailprogramma daarom in om versleuteld te maken via SSL of TLS. En zorg dat je website niet alleen up-to-date is, maar ook gebruik maakt van een SSL-certificaat. Hierdoor voorkom je dat internetcriminelen met de gegevens van jouw klanten aan de haal kunnen gaan, ze of kunnen luisteren of te infecteren met allerlei ongein.

Reken jij jezelf al rijk met het aantal bezoekers dat je in je statistieken ziet? Misschien werken die statistieken dan niet helemaal lekker en is het tijd voor wat anders!

Een website heb je niet voor niets. Je wilt natuurlijk bezoekers die je pagina’s bekijken, artikelen lezen of producten bestellen! Het is dan uiteindelijk ook handig, soms zelfs noodzakelijk, om te weten welke pagina of pagina’s bezocht worden en hoe veel keer dat gebeurt.

Bij onze basic en premium hostingpakketten wordt dit standaard door de hostingserver zelf bijgehouden. Deze zijn terug te vinden in het controlepaneel onder Statistieken / Logs. Per domeinnaam of sub-domein worden simpele statistieken weergegeven, gesorteerd op maand met grafiekjes en tabelletjes.

Hartstikke handig. Toch? Dan moet je wel weten waar je naar kijkt en, belangrijker nog, hoe je moet interpreteren wat je ziet. Wat is bijvoorbeeld het verschil tussen een Hit en een Visit? Wat is een Page, is dat gewoon een pagina?

Statistieken lezen

De eerste tabel geeft eigenlijk direct de meeste informatie die je zoekt. De termen kunnen wat verwarrend zijn, daarom eerst daar maar eens duidelijkheid in verschaffen.

Verderop de pagina staat dezelfde informatie, maar dan verder uitgewerkt met extra statistieken, grafieken en tabellen. Wanneer je bovenstaande uitleg naast de betreffende tabel houdt, krijg je dus een redelijk overzicht van wat de server aan verkeer heeft waargenomen.

AVG, anyone?

De oplettende lezer heeft zich natuurlijk al lang bedacht dat hier iets niet aan klopt. Als de server (in beheer van Flexwebhosting dus) dit soort gegevens monitort en daar statistieken uit haalt, valt dit dan niet onder de AVG? Moet het apart aangegeven worden en mag het überhaupt wel?

Goede vraag! Een van de belangrijkste punten uit de AVG is dat persoonsgegevens die naar een bepaalde persoon kunnen leiden, niet zomaar mogen worden opgeslagen of verwerkt. In dit geval is een IP-adres ook een persoonsgegeven en zelfs een User Agent zou daar onder kunnen vallen, mits er een IP-adres is waarvandaan die User Agent af komt.

Waarom kunnen deze statistieken dan toch worden bijgehouden? Heel simpel.

De server slaat uitgebreide logs op voor vijf dagen. In deze logs staat:

• • Het tijdstip van het bezoek;

• • Het IP-adres van de bezoeker;

• • De opgevraagde pagina;

• • Het resultaat van deze aanvraag (is het gelukt, kwam er een foutmelding, bestond de pagina wel?)

• • De User Agent waarmee de pagina werd opgeroepen;

Als je al deze informatie bij elkaar op telt, heb je het dus echt wel over persoonsgegevens. Deze logs worden door de server bijgehouden en voor een korte periode bewaard, niet alleen om statistieken van te maken maar juist om te kunnen controleren of en wanneer er iets fout gaat.

Als een site gehackt wordt, kunnen we op basis van deze logs namelijk vaak bepalen hoe dat het gebeurd is. Welke URL werd er aangeroepen vanuit welk IP-adres? Valt het te blokkeren of betreft het hier een lekke plug-in in bijvoorbeeld WordPress of Joomla?

Vijf dagen is een redelijke termijn om deze informatie te behouden. Je merkt immers nooit direct wanneer een hacker zich naar binnen heeft weten te wurmen. Dat kan best wel eens morgen zijn, of misschien wel pas na het weekend.

Als die vijf dagen vervolgens voorbij zijn, worden die uitgebreide logs verwijderd. Geheel volgens AVG is er dan geen spoor meer van deze persoonsgegevens te vinden.

Ondertussen zijn er dan wel die statistieken van gemaakt. Uit die gegevens zijn de persoonsgegevens inmiddels verwijderd of zijn dusdanig uit elkaar getrokken dat ze niet meer te herleiden vallen naar een specifieke persoon of bepaalde bezoeker. IP-adressen worden niet opgeslagen *. User Agents wel, maar alleen om te turven. En alle andere informatie valt niet onder de categorie ‘persoonsgegevens’.

Privacy: check!
* Standaard worden IP-adressen door Webalizer wel opgeslagen bij het omgezetten tot statistieken. Op ons shared hosting platform wordt in het eerste kwartaal van 2020 een configuratie-wijziging uitgerold, waardoor de IP-adressen daarbij weggepoetst worden. 

Betrouwbaarheid

Hoe betrouwbaar zijn de statistieken die de hostingserver bijhoudt? Als we hier een eerlijk oordeel over vellen, zou de uitkomst zijn dat je beter voor een alternatief kunnen kiezen. Dit komt door de manier waarop dat deze statistieken worden bijgehouden.

Ieder bezoek aan de website wordt door de server zelf bijgehouden. Hierbij wordt dus alleen maar de basis informatie opgeslagen, zoals datum en tijd, het IP-adres, de pagina of het bestand dat werd aangevraagd. Daar houdt het dan vervolgens mee op.

Waar geen rekening mee wordt gehouden, is met wie die bezoeker daadwerkelijk is. Ben je het zelf? Is het de buurman? Of is het Google, Bing of Yahoo die je website komen indexeren?

Daarnaast is er ook totaal geen indicatie van de herkomst van de bezoekers. Demografische informatie, zoals een land, is nauwelijks te herleiden. Dit is natuurlijk wel belangrijk om te weten, want als het grootste gedeelte van je bezoekers uit België of Duitsland komt en je woont toevallig in die grensstreek, zou je kunnen overwegen om je werkgebied te gaan uitbreiden.

Ten slotte maken spammers en hackers ook vaak gebruik van technieken die een aanvraag nabootsen en daarbij verkeerd beginnen of niet helemaal afmaken. Dit doen ze bijvoorbeeld om een website te scouten, om te zien of het waard is om er meer aandacht aan te besteden. Dit soort aanvragen worden door de server als legaal gezien (en dus verkeer), terwijl een geavanceerdere dienst deze negeert.

Alternatieven

Natuurlijk zijn er meer mogelijkheden dan alleen maar de statistieken-software die DirectAdmin standaard installeert en bijhoudt. Je kunt ze over het algemeen onderverdelen in twee categorieën:

a)      Lokaal, op het hostingpakket zelf geïnstalleerd
b)      Online, bij een derde partij gehost

In de eerste categorie valt bijvoorbeeld Piwik. Dit is een stukje software dat je op je hostingpakket zelf installeert en koppelt aan een database. Vervolgens voeg je een stukje extra code toe aan iedere pagina van je website en Piwik doet de rest. Inzien van die resultaten gaat dan vaak via een subdomein van je eigen website.

In de tweede categorie kun je denken aan Google Analytics. Zoals de naam al doet vermoeden, is dit een dienst die door Google wordt aangeboden om je websites in de gaten te houden.

Beide varianten zijn gratis te gebruiken. Piwik is Open Source, wat zo veel wil zeggen als ‘je kunt de hele broncode lezen’, mocht je willen. Ontwikkelaars met ervaring in PHP kunnen dus precies controleren wat de software doet en daar door middel van plug-ins op inhaken om extra functionaliteit in te bouwen. De ontwikkelaars van Piwik verdienen zelf geld door advertentie-inkomsten of het leveren van support.

Analytics van Google is ook gratis, alleen wordt daar vermoedelijk op een andere manier betaald. Ze zeggen wel eens dat voor bedrijven zoals Google en Facebook persoonlijke informatie de prijs is die je betaalt voor het gebruik van die dienst. Dat zal in dit geval niet minder zijn, alleen welke informatie dat er dan daadwerkelijk gebruikt kan worden, is natuurlijk een raadsel.

Beide types van statistiek-providers hebben zo hun voor- en nadelen. Eén voordeel van de lokale software zoals Piwik is dat de informatie niet in handen komt van een derde partij zoals Google, maar dat deze niet buiten de digitale deur van onze hostingserver komt.

Dit is ook meteen weer een nadeel, want als er bijvoorbeeld een nieuw netwerk van spammers of een nieuwe hack-methode wordt ontdekt die de statistieken kan beïnvloeden, zal Google Analytics of een andere online dienst dit meteen door kunnen voeren. Bij een lokale Piwik installatie moet je dan zelf eerst updaten.

Een ander punt in het voordeel van een online dienst is nog dat deze ook kan checken of de website überhaupt nog online is. Google doet dit bijvoorbeeld standaard al. Op het moment dat de website niet bereikbaar is, wordt dat opgemerkt en genoteerd. Maak je daarentegen gebruik van een lokaal geïnstalleerde dienst, zal die ook niet werken als de server down is of de website om een andere reden niet bereikbaar is.

Conclusie

Onder de streep zijn er dus feitelijk drie manieren om een website te monitoren en de bezoekers in de gaten te houden.

Je kunt gebruik maken van de basis functionaliteit die door de server zelf wordt geboden. Hier hoef je niks voor te doen, maar je levert in op betrouwbaarheid.

Wil je meer informatie zonder daar veel moeite voor te hoeven doen, kiest je voor een online dienst zoals Google Analytics. Gemakkelijk in te stellen en uitgebreide mogelijkheden, maar het levert wel een extra vermelding op in je privacy-verklaring.

Wilt je uitgebreide statistieken zonder dat er een derde partij zich er mee bemoeit? Doe het dan zelf met een lokaal geïnstalleerde dienst. Het kost even wat kennis en tijd om het op te zetten, maar dan heb je wel the best of both worlds.

In de afgelopen tijd is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over de plug-ins InfiniteWP Client, WP Database Reset en Code Snippets.

De volgende plug-ins zijn de laatste tijd in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de november-update, mocht je die gemist hebben.

Het zat er natuurlijk al lang aan te komen. Op een gegeven moment is de koek op. Ook al is die digitaal. Ook IP-adressen zijn er ‘maar’ een beperkt aantal. Hoe zit dat nu met het internet en de opvolger, IPv6?

Het zat er natuurlijk al lang aan te komen. Op een gegeven moment is de koek op. Ook al is die digitaal.Eind november publiceerde de RIPE NCC een nieuwsbericht. Hierin schrijven ze dat ze vanaf dat moment met lege handen staan. Er wordt dus geen enkel nieuw IPv4 adres meer uitgegeven door deze organisatie.

Wat betekent dat voor jou als internetter, voor ons als provider en voor het internet in het algemeen?

IP-adressen

Wat is nou een IP-adres? Heel simpel. Net zoals dat ieder flatje, huis of winkel een adres heeft, heeft ieder apparaat dat op het internet is aangesloten dat ook. Dat is een IP-adres, oftewel een “Internet Protocol Address”: een adres voor op het internet.

Een IP-adres zorgt er voor dat jij een website kunt bezoeken. Zodra dat je een adres in je browser intypt, wordt er een verbinding opgezet tussen jou en de server waar de website op gehost wordt. De communicatie tussen deze twee eindpunten gebeurt via het Internet Protocol. Niet alleen de hostingserver heeft een IP-adres, jij hebt dat zelf ook.

Jouw IP-adres krijg je aangeboden door je internetprovider. Soms heb je altijd hetzelfde IP-adres, wat handig is voor bijvoorbeeld bedrijven met een mailserver op kantoor. De meeste huis, tuin en keuken-internetters hebben een dynamisch IP-adres. Dit krijg je (volledig willekeurig) van jouw internetprovider uitgedeeld.

IP-adressen zijn er in twee varianten. Het “ouderwetse” IPv4 is een aaneenschakeling van vier nummers, gescheiden door punten, waarbij ieder nummer niet groter kan zijn dan 255. Voorbeelden van zo’n IP-adres zijn 8.8.8.8 (een bekende van Google) en 46.17.7.222 (het IP-adres van onze website).

IPv6 is de opvolger van versie 4. Het protocol is veel gecompliceerder en heeft 8 blokken van 4 karakters (gescheiden door dubbele punten), waarbij ieder karakter een 0 t/m 9 of A t/m F kan zijn. Bijvoorbeeld 0123:4567:89AB:CDEF:0123:4567:89AB:CDEF.

Hoe veel IP-adressen zijn er?

Als je maar tot maximaal 255 kan gaan, en dat 4 keer, kun je ook uitrekenen hoe veel IPv4-adressen er zijn: 256⁴ = 4.294.967.296.

Van die ruim 4 miljard zijn er wat gereserveerd en niet publiekelijk te gebruiken, maar dan nog. 4 miljard.

Toch is dat niet genoeg. Daarom is er een nieuwe variant van het Internet Protocol, met nieuwe adressen: IPv6. Een IPv6 adres bestaat niet uit vier blokken van 256 mogelijkheden, maar uit 8 blokken met ieder 4 plekken voor 16 karakters. De som om dat uit te rekenen is dus niet 256⁴, maar 16³².

Mijn rekenmachine weet hoe die dat uit moet rekenen. Ik heb geen idee hoe je het uitspreekt…

RIPE NCC

Om het gebruik van zo’n groot aantal IP-adressen in goede banen te leiden, is er één centrale partij dit ze allemaal bijhoudt. IANA, dat staat voor Internet Assigned Numbers Authority, is verantwoordelijk voor de wereldwijde verdeling van IP-adressen, zowel de bekende IPv4 als ook de nieuwe IPv6.

IANA heeft die taak verdeeld onder vijf “Regional Internet Registries”. Ieder van deze vijf partijen krijg een gedeelte van alle beschikbare IP-adressen tot haar beschikking, waarna zij bepalen welke internetprovider, datacenter of hostingprovider welke IP-adressen mag gebruiken.

RIPE NCC is opgericht in 1992. Vanaf dat moment zetten ze zich in voor de ontwikkeling van het internet. Zij zijn door IANA verantwoordelijk gemaakt voor het uitgeven en beheren van alle IP-adressen die zijn toegewezen aan de regio Europa, het midden oosten en delen van Azië.

Al vanaf net na de millenium-wissel wordt er gewaarschuwd voor het opraken van IPv4-adressen. In 2003 verschenen de eerste rapporten. Toen waren er nog 90 volledige “slash-acht” ranges beschikbaar bij IANA, wat neerkomt op 90 x 256³ (is anderhalf miljard) adressen.

Maar, door de wereldwijde groei van bevolking en technologie, zijn alle IP-adressen inmiddels door de IANA verdeeld onder de vijf regionale registries. Van deze vijf is RIPE NCC nu zo ver dat het door hun beheerde deel volledig is uitgegeven.

10.0.0.0/8 is privé

IANA heeft alle IP-adressen die beginnen met een 10. gereserveerd voor intern gebruik. Dat wil zeggen dat ze niet publiekelijk benaderbaar zijn. In ons netwerk kan dus een server met IP-adres 10.0.1.243 hangen, maar dat kan bij Hostnet of TransIP of Google net zo zijn. Zonder dat onze 10.0.1.243 iets te maken heeft met die van een andere provider. Sterker nog, je zou in een thuis-netwerk ook de 10-range kunnen gebruiken, zodat een PC, laptop of smartphone óók 10.0.1.243 als IP-adres heeft.

Even rekenen: 10.0.0.0 t/m 10.255.255.255 is 256³ = 16.777.216 verschillende IP-adresssen.

Fun fact: een paar grote providers zoals Google en Microsoft zijn inmiddels verplicht overgestapt op IPv6. Waarom? Omdat hun privé IP-adressen op zijn. Ze hadden daar dus geen IP-adressen die beginnen met een 10 meer over om uit te delen. Dat betekent dus dat ze bijna 17 miljoen apparaten in hun netwerk hebben hangen!

En nu?

Op het eerste gezicht lijkt er dus niet zo veel aan de hand. Oké, IPv4 is op, maar IPv6 is voldoende beschikbaar. Dat IPv4 adres krijg je toch wel van je internetprovider, want je bent al jaren klant.

Ook bij ons zit het wel snor. We moeten weliswaar een gedeelte van onze gehuurde voorraad teruggeven aan het datacenter, maar toch hebben we nog voldoende adressen beschikbaar om nieuwe servers te kunnen opleveren.

Wat is dan het probleem?

Neem XS4all. Door het opheffen van de merknaam door KPN, heeft een actiegroep een eigen internetprovider opgezet onder de naam Freedom Internet. Ook Freedom moet een IP-adres aan kunnen bieden aan haar klanten om ze met het internet te verbinden.

Om dat te kunnen doen, moeten ze IP-adressen toebedeeld krijgen van RIPE NCC. IPv4-adressen krijgen ze niet (want… op!) en ze zijn daarom genoodzaakt om IPv6-adressen te gebruiken.

Nu is het zo dat een verbinding alleen maar op hetzelfde protocol kan verbinden. Als je thuis een IPv4-adres krijgt van je provider, kun je alleen met servers verbinden die ook een IPv4-adres hebben. Krijg je thuis een IPv6-adres, verbind je met servers die via IPv6 te benaderen zijn.

Hier zit het probleem. Want nog lang niet alle web- en e-mailservers zijn via IPv6 bereikbaar. Het begint steeds meer te komen, maar het in gebruik nemen van IPv6 gaat te langzaam.

De bottom line is dus dat als je thuis alleen maar IPv6 hebt, je een groot gedeelte van alle websites niet kunt bezoeken.

Nu is daar wel weer een oplossing voor. Providers hebben een soort vertaalmachine in hun netwerk staan, waardoor je via-via toch wel met servers op het andere Internet Protocol kunt communiceren. Toch blijft het niet ideaal, maar beter dan dat kan niemand het maken.

IPv6 bij Flexwebhosting

Als hostingprovider hebben we ook een hele reeks IPv6-adressen toegewezen gekregen om uit te delen. Ons netwerk en de apparatuur zoals switches en routers is daar al klaar voor. Het kunnen verdelen van de adressen onder klanten (en dat bijhouden) blijkt een grotere uitdaging dan oorspronkelijk gedacht. Vandaar dat IPv6 bij ons nog niet beschikbaar is.

Spoiler alert: Wel wordt er op dit moment uitvoerig getest met IPv6-adressen op een van onze nieuwe clusteromgevingen. Als die tests goed uitpakken, kunnen we op de VPSsen die we op dat cluster-platform gaan opleveren, wél IPv6 aanbieden.

Al met al zal de wachtlijst bij RIPE NCC er niet korter op worden. De roep om een globale uitrol van IPv6, niet alleen voor internetgebruikers, maar ook voor apparaten, wordt dan ook alleen maar harder en sterker.

Volgens het platform internet.nl is ongeveer een kwart van de verbindingen die hun tests uitvoeren geschikt voor of maken gebruik van IPv6. Dat is december 2019. Wie weet is dat volgend jaar december wel een stuk hoger.

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over de plug-ins WP Maintenance en Email Subscribers & Newsletter.

De volgende plug-ins zijn in november 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de oktober-update, mocht je die gemist hebben.

WP Maintenance

Als je een melding krijgt over een kwetsbaarheid in jouw software en een dag later heb je een update in de schappen liggen, heb je het als ontwikkelaar goed voor elkaar. Florent Maillefaud heeft het dus goed voor elkaar. En fouten maken is menselijk, toch?

Zijn WP Maintenance plug-in geeft je de mogelijkheid om achter de schermen aan je website te werken, terwijl het grote publiek de tijd ziet aftellen totdat je klaar bent. Wat Florent vergeten was, was te controleren of een bezoeker van de admin-pagina wel ingelogd was. Beetje jammer, want hierdoor kon van afstand de maintenance-mode worden ingeschakeld en de bezoeker worden doorverwezen naar malafide websites.

De update 5.0.6 lost dit probleem in ieder geval op, zodat we weer met een gerust hart kunnen werken

Email Subscribers & Newsletters

Komt deze plug-in je bekend voor? Dat kan kloppen. In augustus is Email Subscribers & Newsletters namelijk ook al voorbij gekomen, toen omdat Fortiguard labs een probleem in de database ontdekten.

Dat bleek niet alles te zijn. De afgelopen maand hebben de ontwikkelaars samengewerkt met de onderzoekers van Wordfence om 6 serieuze kwetsbaarheden te verhelpen. De ergste betrof een manier waarop Jan en Alleman een lijst kon downloaden met alle gegevens van alle mensen die zich aan hadden gemeld op de nieuwsbrief.

Alle gevonden problemen zijn opgelost in de twee weken gelden uitgebrachte versie 4.3.1.

WP-VCD

Iedereen weet dat illegaal downloaden niet mag. Dat geldt dus niet alleen voor films en muziek en voor spellen en software, maar ook voor plug-ins en thema’s van je WordPress website.

Als je je afvraagt wat er mis kan gaan, raad ik je aan om het whitepaper “WP-VCD: The Malware You Installed On Your Own Site” te lezen. In 26 pagina’s legt Mikey Veenstra, onderzoeker bij Wordfence, uit hoe een specifieke vom van malware al sinds 2017 duizenden websites heeft geïnfecteerd.

En nee, niet door een lek in een plug-in, thema of de code van WordPress zelf.

Het venijnige van deze malware is dat het zich richt op de gierigheid van gebruikers. Liever dan de prijs te betalen die ontwikkelaars vragen voor hun harde werk, wordt een “gratis” variant gedownload via een ongure site. Deze download installeert inderdaad de plug-in, maar plaatst meteen ook een achterdeurtje in je website. Vanaf dat moment wordt je site misbruikt om over jouw rug advertentie-inkomsten en nog meer slachtoffers te genereren.

Dit is dus niet specifiek een melding over een plug-in of een thema, maar een veel bredere waarschuwing. Want zo blijkt maar weer eens dat het installeren van illegale gedownloadde software een risico is. Doe het dus vooral niet.

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over het Bridge thema en de plug-ins Easy FancyBox en Fast Velocity Minify.

De volgende plug-ins (en een thema) zijn in oktober 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de september-update, mocht je die gemist hebben.

Bridge theme

Een WordPress-thema is veel meer dan alleen maar een lay-out. Het geeft je website niet alleen vorm en kleur, maar biedt (vaak) extra functionaliteiten. Dit gebeurt door middel van plug-ins die bij een thema worden meegeïnstalleerd.

In het thema Bridge werd er in twee van de meegeleverde plug-ins een open redirect vulnerability gevonden. Hiermee kan een bezoeker van je website zonder al te veel moeite worden doorgestuurd naar een andere website, bijvoorbeeld om inloggegevens te stelen of bestellingen te onderscheppen.

De gemakkelijkste manier om dit ongewenste doorsturen tegen te gaan, is door het thema te updaten naar versie 18.2.1. Daardoor worden ook de meegeleverde plug-ins geüpdatet en heb je er geen last meer van.

Mocht je nou niet willen (of kunnen) updaten, omdat je geen koppeling hebt met de Envato marktplaats of er op een verkeerde manier aanpassingen zijn gedaan aan het thema speciaal voor jouw website, kun je jezelf en je bezoekers toch beschermen. De mannen en vrouwen van Wordfence hebben hiervoor een (engelstalige) handleiding geschreven.

Fast Velocity Minify

Een goede manier om het laden van je website te versnellen, is door het minimaliseren van het aantal te downloaden bestanden. Fast Velocity Minify scant je WordPress website op CSS en JavaScript bestanden, om deze vervolgens samen te voegen tot één bestand.

Door een foutje in het controleren van de rechten, kon het volledige installatie-locatie op de server van de WordPress site worden achterhaald. Geen ernstig probleem op zich, maar het opent wel deuren naar andere aanvallen waarvoor deze informatie essentieel is om te weten.

Door te upgraden naar versie 2.7.7 bescherm je jouw website tegen dit informatie-lek.

Easy FancyBox

Het oog wil ook wat. Een gemakkelijke plug-in om je afbeeldingen op een mooie manier op je website te tonen, is dan een goede oplossing. Easy FancyBox is er zo een.

Heb je een admin-account, dan kun je de afbeeldingen en andere media-bestanden bepaalde extra informatie meegeven. Op die manier kan je bij het instellen van een kleurtje ook extra script-code opslaan. Die code kan vervolgens weer in de browser van de bezoeker uitgevoerd worden, waarna misbruik van een bezoeker kan beginnen.

Om deze kwetsbaarheid te misbruiken, moet er wel al sprake zijn van toegang tot het admin-dashboard. Tenzij iemand jouw inloggegevens heeft, zal het lek dus niet misbruikt kunnen worden.

Desalniettemin is upgraden natuurlijk altijd aan te raden. Vanaf versie 1.8.18 ben je er tegen beschermd.

Andere plug-ins met updates

Bovenstaande drie zijn de plug-ins die het meest gebruikt worden op ons shared hosting platform. Er zijn nog wat minder populaire plug-ins die ook een update kunnen gebruiken. De genoemde versie is de laatst bekende veilige versie van de plug-in.

• SyntaxHighlighter Evolved – 3.5.1
• GiveWP – 2.5.5 (in augustus ook al overigens)
• Theme Editor – 2.3
• Download Plugins and Themes from Dashboard – 1.6.0

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress (plug-in) community. In deze post lees je informatie over de update van WordPress zelf en over de plug-ins Bold Page Builder, Formidable Forms en Rich Reviews.

De volgende plug-ins zijn in augustus en september 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de augustus-update, mocht je die gemist hebben.

Geen artikel meer missen? Stel de RSS-feed in binnen je e-mailprogramma of RSS-reader!

WordPress

Je hoort vaak commentaar op WordPress. “Het is super-onveilig en wordt continu gehackt!” wordt er dan gezegd.

Als er iets is wat je van deze maandelijkse security-updates hebt kunnen opsteken, is dat dat hacken niet aan WordPress zelf ligt. Het zijn veelal de plug-ins en thema’s die voor achterdeurtjes in het systeem zorgen. En tja, als je dan binnen bent, dan kun je de uitgebreide functionaliteit van WordPress misbruiken om een website over te nemen of haar bezoekers te misleiden.

WordPress daar de schuld van geven, is dan niet logisch. Het is net zo krom als dat je zegt dat het slot van je voordeur niet deugt, omdat er inbrekers zijn binnengekomen via het keukenraam (dat je ’s morgens zelf open hebt laten staan).

Dat neemt natuurlijk niet weg dat iedere programmeur wel eens wat fouten maakt. En in dit geval waren het de mensen achter WordPress zelf. In versie 5.2.2 zitten namelijk een aantal fouten waardoor hackers via Cross Site Scripting (XSS) bezoekers van websites kunnen infecteren met virussen of gevoelige informatie kunnen stelen.

Update je WordPress versie naar 5.2.3 om deze lekken te dichten. Voor alle versies vanaf WordPress 3.7 is een update uitgebracht. Dus ook als je nog een mega-oude website hebt, kun je je beschermen tegen deze XSS-aanvallen.

Bold Page Builder

Het maken van een mooie website hoeft niet moeilijk te zijn. Daarom zijn website-builders zoals onze eigen SLIMON zo populair onder hobbyisten en ZZP’ers. Feitelijk zijn ze daardoor niets anders dan een doos met Lego-blokjes waarmee je een kunstwerk bouwt. WordPress is daarin heel anders, daar heb je namelijk te maken met de basis, verschillende thema’s en ook nog plug-ins.

De Bold Page Builders streeft er naar om ook WordPress om te toveren in een soort website-builder. Door het aanbieden van verschillende blokken die je op je website kunt slepen, wordt het ook met WordPress makkelijk om zonder al te veel inhoudelijke kennis een in het oog springende website te maken.

De onderzoekers van The Ninja Technology Network vonden een manier om, zelfs zonder ingelogd te zijn, functies aan te roepen die alleen voor admins beschikbaar moeten zijn. Ze noemen daarbij het aanpassen van instellingen en importeren van gegevens als voorbeelden. Je moet er niet aan denken dat je klanten opeens hun gevoelige persoonlijke gegevens onbeveiligd gaan versturen omdat een hacker je SSL-instelling uitgeschakeld heeft…

Gebruik je de Bold Page Builder plug-in? Eind augustus brachten de ontwikkelaars versie 2.3.2 uit, waarmee je niet meer kwetsbaar bent voor dit lek. Inmiddels zijn ze al bij 2.3.9, maar dat zijn alleen maar functionele updates.

Formidable Forms

Soms moet je maar ergens uit afleiden dat iets een probleem had kunnen zijn. Zo lazen ze bij WordFence dat er met een update van de Formidable Forms plug-in een security-dingetje gefixt wordt.

De plug-in claimt de meest krachtige formulier-bouw-oplossing te zijn voor je WordPress site. Zoals zo veel, natuurlijk wel mét een pro-variant waar je voor moet betalen. In oudere versies hebben ze een XSS-probleem (hey, waar hebben we die eerder gezien?) opgelost. En ook al is er nog geen misbruik geconstateerd door onderzoekers zoals die van WordFence en NinTechNet, adviseren we toch om de update te installeren.

Gebruik je Formidable Forms? In versie 4.02.03 hebben ze dit lek gedicht.

Rich Reviews

Als je ook maar iets van advies geeft over hoe je een WordPress site veilig houdt, dan heb je het over het updaten en weggooien van plug-ins. Een plug-in die namelijk al langer dan een jaar geen update meer heeft gehad, moet je gewoon niet meer willen gebruiken. Klaar, uit.

Toch zijn er volgens een recente WordFence scan nog 16.000 websites die gebruik maken van de Rich Reviews plug-in, waar een developer 2 jaar geleden voor het laatst naar keek. Hackers deden dat helaas wel, wat er toe geleid heeft dat websites die deze plug-in toch nog gebruiken actief misbruikt worden.

Updaten gaat niet, want zelfs WordPress heeft deze plug-in een half jaar geleden al uit de ‘winkel’ gehaald. Ze werken schijnbaar wel aan een nieuwe versie. Of dat dan een update van de bestaande of een hele nieuwe plug-in wordt, is nog onduidelijk.

Gebruik je Rich Reviews? Verwijder deze plug-in dan direct en gebruik een alternatief! Kijk eens naar WP Customer Reviews.

Een onderzoeker heeft een nieuw lek ontdekt in mailsoftware Exim, waarmee hackers op afstand een server kunnen overnemen. Lees meer of en zo ja welke actie je moet ondernemen om je server te beschermen.

Dat we in het weekend collega’s aan het werk zetten, weten de meeste mensen wel.

Gelukkig hoeft die collega zich dit weekend niet te vervelen. Een nieuw lek in mailsoftware Exim zorgt voor genoeg te doen. Gisteren kwam het Nationaal Cyber Security Centrum met een waarschuwing hiervoor.

Fix na fix?

Nog niet eens zo heel lang geleden kwam versie 4.92.1 uit. Hals over kop, want er werd een lek (CVE-2019-10149) gedicht waarmee (hele geduldige) hackers een server van afstand konden overnemen.

Vier dagen voordat die update op 25 juli werd uitgebracht, werd er al een nieuw lek gevonden. In anderhalve maand tijd werd dit onderzocht, geanalyseerd, een oplossing geprogrammeerd en getest.

Dit nieuwe lek (CVE-2019-15846) is aanwezig op ALLE versies van Exim die TLS (versleuteling van een verbinding) ondersteunen en kan misbruikt worden op alle servers die TLS-verbindingen accepteren. In de praktijk betekent het dat iedere server die Exim als mailserver gebruikt kwetsbaar is.

Inmiddels is de nieuwe versie 4.92.2 uitgebracht en kunnen alle servers hiervan voorzien worden.

Actie

Op het moment van schrijven (zaterdagochtend) is al 80% van ons shared hosting platform geüpdatet.

Ook alle managed VPS en Dedicated servers worden geautomatiseerd voorzien van de nieuwste versie. Alleen servers waarbij onze systemen door de beheerder worden buitengesloten, kunnen we niet meenemen in onze updates.

Heb je een unmanaged server en voer je de update zelf uit? Dan lees je hier meer informatie over wat je kunt doen.

Versie controleren

Gebruik je DirectAdmin als controlepaneel van je server? Door in te loggen als admin en te klikken op System Information krijg je een overzicht van de geïnstalleerde software. Je ziet meteen welke versie van Exim actief is.

Geen DirectAdmin? Log dan in via SSH en geef het volgende commando:

exim --version

Krijg je de melding command unknown of iets vergelijkbaars? Dan gebruik je geen Exim als mailserver en hoef je verder geen actie te ondernemen.

Is de gevonden Exim-versie NIET 4.92.2? Lees dan verder voor de te ondernemen stappen.

Updaten

Je hebt je eigen server in beheer, dus heb je waarschijnlijk een update-procedure of heb je dit uitbesteed aan een collega of andere partij. Mocht je het deze keer zelf moeten doen, zijn dit de commando’s voor een DirectAdmin server nadat je ingelogd bent via SSH:

cd /usr/local/directadmin/custombuild
./build update
./build exim

CPanel heeft een blog-artikel online gezet over hoe je een server met cPanel als controlepaneel kunt updaten. Dit artikel is geschreven naar aanleiing van CVE-2019-10419, maar de informatie kan voor nu net zo goed gebruikt worden.

Een ander of helemaal geen controlepaneel? Bij CentOS servers wordt Exim door de YUM package manager beheerd en hoef je alleen maar het commando yum update te geven. Voor Ubuntu/Debian servers doet de APT package manager dat en is het commando sudo apt update exim4.

Draai je nog CentOS 5? Updaten van Exim wordt dan behoorlijk lastig tot onmogelijk. We adviseren dan om zo snel mogelijk je server door ons te laten updaten naar CentOS 7. Schakel tot die tijd Exim uit op de server via je DirectAdmin controlepaneel onder Service Monitor. 

Support vragen

Niet zeker hoe je de update en controle zelf moet doen? Stuur via je klantenpagina een ticket naar de technische dienst met de servernaam en het verzoek om te updaten. De kosten hiervoor bedragen in het weekend eenmalig €50 ex btw per server, doordeweeks vallen ze onder de normale support en zijn de kosten afhankelijk van je type SLA.

Let op:

• Gebruik voor het aanmaken van het ticket als onderwerp EXIM UPDATE
• Geef in het ticket duidelijk aan over welke server of welke servers dit verzoek gaat.
• Kies als soort vraag Technische vraag / Product ondersteuning
• Geef in het ticket direct aan dat de kosten van €50 ex btw akkoord zijn, dan kunnen we direct aan de slag.
• Tickets worden behandeld op volgorde van binnenkomst.

Waarom zou je voor Linux kiezen, als Windows ook een optie is?

Wij steken het niet onder stoelen of banken. Linux servers, en dan voornamelijk die op CentOS draaien, zijn onze specialiteit. Combineer dat met DirectAdmin en je hebt de basis voor ons hele hostingplatform.

Daar valt zo een aantal redenen voor te bedenken.

• Onze collega’s hebben daar al jarenlang ervaring mee;
• Het is gemakkelijk te bedienen met zo’n zwart schermpje – als je maar weet wat je doet;
• Het hele besturingssysteem is open source én gratis;
• Er zijn enorme online communities boordevol informatie.

Toch zijn er ook legio redenen te noemen om een (web)server op te zetten met good old Windows als drijvende kracht.

Waarom Windows?

Oké, er zijn een aantal punten die als negatief ervaren kunnen worden.

• De licenties van Windows en bijvoorbeeld MSSQL kosten (veel) geld en het licentiemodel is ingewikkeld;
• Windows is en blijft Windows: een populair doelwit voor hackers en andere cybercriminaliteit;
• Microsoft is een commercieel bedrijf. Ook hier doen genoeg privacy-gerelateerde geruchten de ronde;
• Standaard kies je niet voor PHP op een Windows server, maar voor bijvoorbeeld ASP.

Vooral de licentiekosten zijn vaak een drempel om Windows als webserver in te zetten, maar die kosten kun je redelijk binnen de perken houden door voor een virtuele server te kiezen. De volledige licentie wordt dan door de hostingprovider betaald en verdeeld tussen de gebruikers.

Linux wordt een steeds populairder doelwit voor cybercriminelen, die lekken zoals Heartbleed in OpenSSL aangrijpen om servers binnen te dringen. Daarbij worden websites vaker gehackt via een lek in de website dan dat een server als ingang wordt gebruikt.

Is geld geen probleem? Dan kun je Windows Server prima als besturingssysteem voor jouw volgende webserver kiezen. Zo heb je de volgende voordelen van het door Microsoft ontwikkelde platform:

• Het is makkelijk te beheren, doordat je dezelfde grafische interface hebt als dat je Windows-PC thuis heeft – geen geklooi met een moeilijke terminal;
• Door Microsoft gegarandeerde ondersteuning en updates van minimaal 10 jaar na release-datum;
• Ondersteunt veel extra software van derde partijen én populaire Windows-programma’s, zoals Exchange mailomgevingen;
• Updates gebeuren veelal automatisch en de updates van nog ondersteunde  hardware komen snel uit.

Voor- en nadelen dus. Hetzelfde rijtje kun je in omgekeerde hoedanigheid voor Linux opstellen trouwens. De voordelen van Windows zijn vaak de nadelen van Linux en vice versa.

Windows als webserver

Verreweg het grootste gedeelte van onze servers wordt gebruikt voor het hosten van websites. De combinatie van Apache als webserver, MySQL voor de database en PHP voor dynamische websites is een stabiele en goed presterende set-up. Met DirectAdmin als controlepaneel beheer je gemakkelijk je hostingpakket of eigen server, zonder dat je je zorgen hoeft te maken over welk besturingssysteem alle processen draaiende houdt.

Kun je datzelfde bereiken met een server die Windows gebruikt in plaats van CentOS?

In de afgelopen maanden lijkt daar de mening over veranderd te zijn. Waar in november 2018 IIS, de webserver van Microsoft, nog op 39% van alle webservers draaide (en in juli 2017 zelfs op 53%!), komen ze in de laatste meting van NetCraft maar uit op een schamele 15%. Apache en NginX krabbelen weer omhoog van respectievelijk 21% en 22% in november vorig jaar naar 29% en 32% afgelopen augustus.

“Vroeger” stond de combinatie Windows Server, IIS en PHP bekend als een trage set-up. Voor snelheid in je PHP website moest je zeker kiezen voor Linux met Apache. Inmiddels is er bij alle software verbetering doorgevoerd en wordt het gat tussen de twee steeds kleiner – als het al niet gedicht is.

Wel wordt er gezegd dat je als je veel media-bestanden gebruikt, IIS een betere keuze is. Omdat de webserver beter integreert met Windows en de daarop aanwezige modules dan dat Apache dat doet met Linux, heeft het de betere papieren voor het afspelen van audio en video.

Probeer het zelf

Zet je Windows en Linux of IIS en Apache tegenover elkaar, zijn er veel verschillen te ontdekken.

Waar jouw voorkeur ligt, is dan ook afhankelijk van een aantal factoren. Persoonlijk ervaring is daarin erg belangrijk, net zoals kennis van zaken. Maar ook de te gebruiken software en het doel van de server telt mee. Je portemonnee hoeft nu in ieder geval geen issue te zijn.

Bestel je namelijk voor 31 oktober 2019 een nieuwe Windows VPS 1 of 2, krijg je de eerste 6 maanden 50% korting op je factuur.

Zo kun je nog eens op een leuke manier je eigen voorkeur bepalen.

Bronnen:

• https://www.ionos.com/digitalguide/server/know-how/linux-vs-windows-the-big-server-check/
• https://www.comparitech.com/net-admin/iis-vs-apache/
• https://www.upguard.com/articles/iis-apache
• https://news.netcraft.com/archives/2019/08/15/august-2019-web-server-survey.html
• https://www.vyrazu.com/iis-vs-apache-vs-nginx/
• https://www.comparitech.com/net-admin/iis-vs-apache/

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins WP Fastest Cache, Popup Builder, Woody Ad Snippets en Email subscribers & Newsletters.

De volgende plug-ins zijn in juli en augustus 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de juli-update, mocht je die gemist hebben.

WP Fastest Cache

Snelheid is voor websites van groot belang. Niet voor niets zijn er honderden verschillende caching plug-ins waar tientallen miljoenen websites gebruik van maken.

WP Fastest Cache is een van de populairste caching plug-ins binnen WordPress. Met ruim 1 miljoen actieve installaties, is het de op een na meest geïnstalleerde plug-in. Alleen WP Super Cache heeft er meer.

Eind juli vonden onderzoekers drie lekken in WP Fastest Cache. Twee daarvan zijn alleen van toepassing op Windows systemen en zijn dus niet van toepassing op onze Linux hostingservers. De derde wel: in combinatie met de Google Translate plug-in kan een aanvaller de homepagina van je website aanpassen.

Gebruik je WP Fastest cache? Update dan naar de laatste nieuwe versie 0.8.9.6 om niet meer kwetsbaar te zijn voor dit lek.

Popup Builder

Omhoog springende schermpjes. Soms verdraaid irritant, soms erg handig. Met de Popup Builder plug-in van Sygnoos wordt het binnen WordPress gemakkelijk om de aandacht van je bezoekers te trekken.

Eind juli vonden onderzoekers een kwetsbaarheid in de Popup Builder plug-in. Misbruik daarvan zorgt er voor dat aanvallers van afstand de database van je website kunnen manipuleren. Bijvoorbeeld door een extra admin-gebruiker voor zichzelf aan te maken om zo je website over te nemen.

Gebruik je Popup Builder? Op 6 augustus brachten de ontwikkelaars versie 3.45, waarmee je niet meer kwetsbaar bent voor dit lek.

Woody ad snippets

WordPress biedt uit zichzelf al veel functionaliteit. Voeg daar enkele plug-ins aan toe en je komt nooit iets te kort, zou je denken. De Woody ad snippets plug-in maakt het mogelijk om gemakkelijk kleine stukjes herbruikbare code toe te voegen op je websites, zonder dat je daarvoor een hele extra plug-in hoeft te installeren. Ideaal voor bijvoorbeeld Google Analytics code in een footer of advertenties voor of na iedere post.

Onderzoekers vonden op 29 juli een kwetsbaarheid, waardoor er op afstand scripts geïnstalleerd kunnen worden op een WordPress website zonder ingelogd te hoeven zijn. Wel hebben ze daarvoor een admin-account nodig dat een keer inlogt, maar dat gebeurt nogal regelmatig op een actieve website.

De ontwikkelaars noemen “some issues with plugin security” in hun changelog zonder veel poespas. Op het blog van the Ninja Technologies Network staat een uitgebreide uitleg over deze kwetsbaarheid, het risico en misbruik.

Gebruik je Woody ad snippets? In versie 2.2.5 is dit lek gedicht, inmiddels zijn ze bij versie 2.2.7.

Email Subscribers & Newsletters

Nieuwsbrieven en andere updates per e-mail versturen, is een ideale manier om contact te houden met je doelgroep. De Email Subscribers & Newsletters plug-in maakt het mogelijk om op een gemakkelijke manier je mailinglijst op te bouwen en de geadresseerden te benaderen.

Ook hier maakten de ontwikkelaars een fout, waardoor aanvallers van afstand de database konden manipuleren. Sinds dat de onderzoekers van FortiGuard Labs dit lek vonden en onder de aandacht gebracht hebben, hebben de ontwikkelaars de plug-in al voorzien van zeven updates met een oplossing en nieuwe functionaliteit.

Gebruik je Email Subscribers & Newsletters? In versie 4.1.7 is het lek gedicht, inmiddels zijn ze bij versie 4.1.13.

Andere plug-ins met updates

Van de 11 plug-ins waar in de afgelopen maand een probleem bij is ontdekt, zijn de vier genoemde het meest populair op ons shared hosting platform. Maar, zorg er ook voor dat je de genoemde nieuwste versies hebt van de volgende plug-ins om problemen met hackers te voorkomen:

• Adaptive Images for WordPress – 0.6.67
• Components for WP Bakery Page Builder – 5.9
• Give – 2.5.1
• rtMedia for WordPress, BuddyPress and bbPress – 4.5.8
• Simple 301 Redirects – Addon – Bulk Uploader – 1.2.5
• Login or Logout Menu Item – 1.2.0
• WP SVG Icons – 3.2.3

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins Shortlinks by Pretty Links, Yoast, Easy Digital Downloads en Ad Inserter.

De volgende plug-ins zijn in juni en juli 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de juni-update, mocht je die gemist hebben.

Shortlinks by Pretty Links

Shortlinks geeft je de mogelijkheid om op een gemakkelijke manier simpel onthoudbare (korte) redirects in te stellen naar andere pagina’s in je website of op het web, een beetje in de trend van het bekende bit.ly.

De plug-in verzamelt gegevens van de bezoekers die de verkorte link bezoeken. In versie 2.1.9 en eerder werd die data niet goed schoongemaakt voordat deze werd opgeslagen. Hierdoor kon er zowel in het WordPress dashboard als in exports voor bijvoorbeeld Excel extra code toegevoegd worden. Met die toevoeging kon dan je dashboard of je computer geïnfecteerd worden.

De laatste nieuwe versie is 3.0.0 en hierin is dit (en nog een ander) veiligheidsrisico opgelost.

Yoast

Dat niemand perfect is en zelfs de populairste plug-ins niet helemaal veilig zijn, bewijst Yoast deze keer. Deze twijfelachtige eer krijgen ze, omdat er sinds een van de allereerste versies al vergeten wordt om HTML tags uit te filteren in bepaalde informatie van een WordPress post of pagina. Hierdoor maakten ze onbedoeld script-injectie mogelijk.

Inmiddels is er een update beschikbaar en kan versie 11.6 weer met plezier gebruikt worden.

Easy Digital Downloads

Als je als geld wil vragen om iets te kunnen downloaden, moet je er voor zorgen dat niemand dat bestand kan downloaden zonder betaald te hebben. De plug-in Easy Digital Downloads maakt dit mogelijk binnen je WordPress webshop.

De ontwikkelaars maakten helaas dezelfde fout als die van Shortlinks: het niet goed controleren van data voordat je het opslaat. Zodra je als admin in je dashboard de logs bekeek, liep je daardoor het risico om geinfecteerd te worden.

Dit probleem is opgelost in versies 2.9.16, 2.8.19 en 2.7.13.

Ad Inserter

Als je advertenties op je website wil plaatsen, is de Ad Inserter plug-in een handige toevoeging voor je WordPress website.

Door de rechten van gebruikers niet helemaal goed te controleren, kon iedereen met een geldige gebruikersnaam en wachtwoord ongewenste PHP code uitvoeren. Dat klinkt niet zo heel spannend, maar dat soort code kan dan gebruikt worden om bestanden te manipuleren of thema’s en plug-ins te infecteren.

Kudo’s voor de ontwikkelaar van deze Ad Inserter plug-in. Hij kreeg op 12 juli te horen dat dit lek in zijn plug-in aanwezig was en een dag later publiceerde hij al een update. In versie 2.4.22 heeft hij het lek gedicht. Dat is nou nog eens snel en verantwoordelijk handelen.

Met WordPress een website maken is simpel. Die website bijhouden, is wat anders. Met deze 7 tips wordt het net een stukje makkelijker.

Een tijdje terug schreven we een gastartikel op het blog van ReviewPilot met 6 tips om goed te beginnen met je WordPress website.

Een goed begin is het halve werk. De andere helft bestaat dan uit het goed bijhouden tot er een einde aan komt. Daarom nu het vervolg op die ene post: 6 (+1) manieren om je WordPress website goed bij te houden.

Back-ups instellen

Er is niks zo vervelend als voor niks werken. Vooral als je veel tijd besteed aan je website en die vervolgens door een hack, storing of fout verloren gaat. Zorg daarom altijd dat je genoeg back-ups beschikbaar hebt.

De vorige zin heeft twee belangrijke woorden:

• Genoeg is afhankelijk van hoe vaak je bezig bent met je website. Verander je dagelijks iets, dan wil je ook dagelijks een back-up maken en die een week lang bewaren. Heb je je website in de afgelopen drie maanden twee keer bijgewerkt, dan is een back-up per maand genoeg.
• Beschikbaar betekent dat je er bij kunt, altijd. Daarom zet je een back-up ergens centraal neer. Dat kan online zijn in bijvoorbeeld DropBox, op je NAS op kantoor of thuis op je PC. Bewaar een back-up niet alleen op het hostingpakket! Stel dat er daar iets mee gebeurt, is je back-up ineens niet meer betrouwbaar.

Back-ups maken is niet moeilijk en neemt weinig tijd in beslag. Gebruik hiervoor een plug-in binnen WordPress, laat Installatron het automatisch doen of maak periodiek even een herinnering in de agenda om een back-up via het hostingpakket te maken.

Update, update, update

WordPress installeren is makkelijk. Door de ingebouwde marktplaats is een mooi thema en handige plug-in installeren ook makkelijk. Maar dan ben je dus nog niet klaar.

De ontwikkelaars van WordPress en die van de uitbreidingen zijn dagelijks bezig met het verbeteren van hun code. Extra functionaliteit wordt toegevoegd, fouten worden opgelost en lekken worden gedicht.

Het is daarom belangrijk om een nieuwe versie zo snel mogelijk na het verschijnen te installeren. Gelukkig gaat ook het updaten van WordPress zelf, je uitgekozen thema’s en de gebruikte plug-ins gemakkelijk via je WP Dashboard of via Installatron. Sterker nog, WordPress zelf update tegenwoordig automatisch en ook Installatron kun je instellen om helemaal zelf je website bij te werken. Hoe handig is dat?

Opschonen

Raak jij ook wel eens ergens op uitgekeken? Stel jezelf eens de vraag wat je er dan mee doet. Gooi je het weg? Of verstop je het in dat vrije hoekje in de schuur?

Bij je WordPress website betekent het dat een plug-in wordt uitgeschakeld of een ander thema wordt geactiveerd. De achterblijvers blijven dan wel bestaan, maar worden vergeten. Met een lonkende knopje Activeren. Zo van, gebruik me, alsjeblieft.

Dit soort uitbreidingen brengen meteen een risico met zich mee. Een vergeten plug-in of thema wordt namelijk ook niet bijgewerkt. Want waarom zou je iets updaten als je het ook niet gebruikt, toch?

Hetzelfde geldt voor gebruikersaccounts, want ook die vormen een risico. Iedere gebruiker met toegang tot je website is een mogelijke ingang tot je WP-admin. En van een vergeten account wordt het wachtwoord niet geüpdatet, met alle risico’s die daar aan vastzitten.

Neem dus even de tijd om rigoureus met een digitale bezem door je dashboard te gaan. Plug-ins en thema’s die niet meer gebruikt worden? Gooi ze weg! Gebruikersaccounts van oud collega’s of lang gevlogen deelnemers? Schoon ze op! Des te minder vergeten achterdeurtjes er zijn, des te kleiner de kans op een misbruiker in je website.

Tip: kijk ook eens kritisch naar plug-ins die je wel actief gebruikt, maar die al langer dan een jaar niet meer bijgewerkt zijn. Als de ontwikkelaar er niet meer naar om kijkt, kan dat betekenen dat er ook niet meer op de veiligheid wordt gelet. Zoek dan een alternatieve plug-in die wel nog bijgehouden wordt.

Ben eerlijk

Een van de redenen dat WordPress zo populair is en blijft, is omdat er een grote community aan gebruikers en ontwikkelaars bij betrokken is. Die ontwikkelaars maken, vaak in hun vrije tijd, de duizenden uitbreidingen waar iedereen dankbaar gebruik van maakt.

De meeste hiervan zijn gratis te gebruiken. Voor een klein deel betaal je een bedrag om de volledige functionaliteit te mogen gebruiken. Dat is dan vaak door middel van een premium versie. Zo is WordFence basic een prima beveiligingsplug-in, maar biedt de premium variant nét even wat extra’s. Snellere blokkades, uitgebreidere controle, dat soort dingen.

Om te controleren of je wel echt voor die plug-in betaald hebt (of het abonnement daarvoor nog actief is), wordt er een connectie gemaakt tussen jouw website en een controleserver van de ontwikkelaars. Louche programmeurs brengen voor gewilde premium plug-ins en thema's een gecrackte versie van zo'n betaalde plug-in uit.

Hiervoor zoeken ze uit waar die connectie wordt gemaakt, onderscheppen die verbinding en fabriceren dan een nep antwoord. Jouw website weet niet beter dan dat je een OK terug krijgt van de controle-server en dee controle-server weet niet eens dat je gebruik maakt van hun plug-in.

Hoe verleidelijk het ook is om zo’n betaalde plug-in gratis te kunnen downloaden, doe het niet. Naast dat het gewoon illegaal is en onder de noemer heling valt, loop je ook nog eens een ander risico. Want hoe weet je dat er niet alleen de controle uit is gehaald, maar ook niet een extra achterdeurtje in de plug-in is gebouwd? Zodra jij de plug-in installeert, is het niet de controle-server van de echte partij die de verbinding ontvangt, maar de neppe programmeur.

Wil je niet betalen voor de functionaliteit van de premium plug-in? Even goede vrienden. Zoek dan even verder naar een echte plug-in die de gewilde functies wel biedt.

Gebruik plug-ins

Denk je na de vorige drie punten nu ook “ik gebruik gewoon helemaal geen plug-ins, dan blijf ik veilig”? Helemaal back to basics hoeft ook weer niet. Er zijn echt genoeg plug-ins te vinden die wel nuttig en veilig zijn. Denk hierbij aan Yoast voor je SEO, Wordfence voor de beveiliging, Akismet of Google Captcha tegen spammers en UpdraftPlus om je back-ups te maken.

Maar, bedenk wel welke plug-ins je gebruikt en vooral hoe veel het er zijn. Iedere actieve plug-in neemt ruimte in beslag, maakt de database groter en logger en maakt je website over het algemeen net ietsje trager. Met een paar plug-ins merk je het verschil nauwelijks, maar met tien of twintig actieve uitbreidingen ga je je zeker achter je oren krabben waarom het zo lang duurt.

Beveilig je WP-admin dashboard

Je beheert je WordPress website via het dashboard. Daar kun je van alles, van het schrijven van pagina’s en berichten tot het bepalen van het uiterlijk van de website en het installeren en beheren van extra plug-ins. Het is een haast magische plek.

Zoals met alle magische dingen, is het dus ook een gewilde plek om te zijn door misbruikers. Op allerlei manieren proberen ze binnen te komen. Hiervoor gebruiken ze bijvoorbeeld standaard gebruikersnamen met bekende wachtwoorden en beveiligingslekken in de code van WordPress of de uitbreidingen (vaak dat laatste).

Het afschermen van je WP-admin is dan ook geen overbodige luxe. Als je de website in je eentje beheert en standaard vanuit een of twee locaties inlogt, kun je dat doen door alleen jouw IP-adres toegang te geven. Niemand anders mag dan inloggen, tenzij ze dat vanuit die locatie doen. Dit geldt natuurlijk ook als er meerdere personen in moeten loggen, maar dat vanuit een kantoortuin gebeurt. Zo lang het maar hetzelfde IP-adres is, kan iedereen er bij.

Het afschermen van de WP-admin op basis van IP-adres doe je met een .htaccess-bestand in de public_html van je hostingpakket. Hierin zet je dan de volgende regels code:

Order Deny,AllowDeny from allAllow from 123.45.67.89

Op de een-na-laatste regel vervang je 123.45.67.89 door het IP-adres dat je toegang wilt geven. Je vindt dit door te surfen naar watismijnip.nl. Een extra IP-adres voeg je toe door de Allow from regel te herhalen met ieder ander IP-adres.

Bonus: Maak een contactpagina

Mensen zijn naar je op zoek. Tenminste, dat hoop je. Je hoopt dan ook dat ze bij vragen naar je toe komen en bij problemen aan de bel trekken.

Je moet dan wel bereikbaar zijn. Het is belangrijk om te zorgen dat je een contactpagina hebt met up-to-date gegevens. Ben je niet recentelijk verhuisd? Heb je nog hetzelfde telefoonnummer? En werkt je contactformulier nog?

Wen jezelf aan om dit soort dingen periodiek te controleren, voordat je er na twee maanden pas achter komt dat er tientallen bestellingen zijn binnengekomen op een antiek @chello-adres. En zijn het geen bestellingen, dan is het misschien wel een toevallige passant of bezorgde bezoeker die je wijst op een (spel)fout op de website. Wel zo fijn als je dan bereikbaar bent!

Heb je nog vragen naar aanleiding van dit artikel, laat dan wat van je horen via een e-mail of ticket. We helpen je bijvoorbeeld graag met het instellen van een .htaccess-bestand of automatische back-ups en updates via Installatron. Benieuwd naar de mogelijkheden om ons je WordPress website te laten hosten? Kijk op onze website of mail naar wordpress@flexwebhosting.nl voor meer informatie.

Met de enorme populariteit van WordPress, kan dit platform natuurlijk niet ontbreken in onze serie. In dit vierde deel en afsluiting van onze SEO-maand krijg je de beste tips om jouw WordPress site zoekmachine klaar te stomen.

Dit is het laatste deel van onze vierdelige serie over SEO. Vorige week de vijf meest gemaakte fouten (en de oplossingen daarvoor).

Dat WordPress al lange tijd het meest gebruikte platform is voor websites en blogs over de hele wereld, is geen nieuws. Dat dit nog wel even zo zal blijven, zal dan ook niemand verbazen. Bijna wekelijks komen er updates met nieuwe functionaliteit of verholpen fouten.

Je kunt ook (of zelfs?) met een WordPress website of blog hele goede resultaten boeken op het gebied van zoekmachine optimalisatie. Soms zit hiervoor de optie al in WordPress zelf, soms is het een kwestie van een plug-in installeren of eens iets anders doen dan dat je gewend bent. In dit laatste deel in onze serie SEO-artikelen krijg je wat tips om je website nog beter te laten scoren. Dus, pak een kop koffie, log in op je dashboard en Let’s go!

• Yoast SEO plug-in
• Permalinks
• Sitemap
  • XML sitemap
  • HTML sitemap
• Interne links
• Social media
• Beveiligd met SSL
• Snelheid
  • Caching
  • Hosting
• Gastbloggen en gastbloggers

Yoast SEO plug-in

Dit is direct een sterke binnenkomer. Met ruim vijf miljoen actieve installaties en een gemiddelde score van 5 sterren door bijna zevenentwintig duizend gebruikers, mag de Yoast SEO plug-in met recht de (met afstand) meest populaire en gebruikte SEO-plug-in voor WordPress genoemd worden.

Deze plug-in heeft een gratis en betaalde versie. Zelfs de gratis versie biedt al zo veel functionaliteit dat die eigenlijk onmisbaar is voor iedere website die met SEO aan de gang wil. Alleen al de directe SEO-analyse die Yoast uitvoert terwijl je aan het typen (of plakken) bent, is het waard om de plug-in te installeren.

Verder heeft Yoast SEO zo veel functionaliteit, dat het onbegonnen werk is om die hier allemaal te benoemen. Niet getreurd, een aantal komen verderop in dit artikel nog wel voorbij.

Permalinks

Iedereen houdt van duidelijkheid. Niet alleen je bezoekers, maar ook de robots die je webpagina’s indexeren, willen weten waar ze aan toe zijn. Dat begint al met je URL, de link van je pagina. WordPress noemt dit permalinks, wij noemen het gewoon leesbare URL’s.

Standaard stelt WordPress de URL uit SEO-oogpunt slecht in. Want ?p=54 in de adresbalk vertelt mij als bezoeker -en dus ook bijvoorbeeld GoogleBot- niets over wat er op de pagina te vinden is. Andere opties, zoals Berichtnaam of een aangepaste structuur met een Categorie er in verwerkt, zijn veel duidelijker. Een link wordt dan een onderdeel van je pagina en ondersteunt de inhoud, waardoor deze extra mee telt in de beoordeling van de ranking.

Om permalinks in te stellen is een .htaccess-bestand nodig. Als je er nog geen hebt, maakt WordPress het automatisch aan zodra je de instellingen bij de permalinks aanpast. Ook vind je onder de Extra functies van Yoast de Bestandsbewerker om het .htaccess en robots.txt bestand aan te kunnen passen.

Sitemap

Het niet hebben van een sitemap is een van de meest voorkomende fouten die gemaakt worden bij het goed willen laten scoren van een website bij de zoekmachines. En dat, terwijl ze er eigenlijk juist in twee varianten zouden moeten zijn.

XML sitemap

Robots willen graag linkjes zien. Die kunnen ze volgen en daar zijn ze voor gebouwd. Een XML-sitemap is niets anders dan een (vaak) automatisch gegenereerde inhoudsopgave van je hele website. Hierop staan alle berichten en pagina’s genoemd in een voor een robot logische indeling. Met het blote oog snappen we er niks van, maar een crawler wordt er blij van.

Het maken van een XML-sitemap doet Yoast voor je. Je vindt dat terug onder Algemeen > Functies > XML-sitemaps. Zorg daar dat die Aan staat.

HTML sitemap

Dat blote oog wil ook wat. Vooral als je een uitgebreide website hebt waarin niet iedere pagina los in het menu te vinden is, is een HTML-sitemap een echte aanwinst.

Als je een kleine website hebt, hoeft dat niet eens een aparte pagina te zijn. Je zou dan gewoon in de footer van je website alle pagina’s een linkje kunnen geven. Het gaat er maar om dat ik als bezoeker zonder al te veel omzwervingen meteen een pagina kan vinden.

Een HTML-sitemap kun je zelf maken. Je maakt hiervoor een nieuwe pagina aan en noemt (en linkt) daar alle pagina’s en artikelen op. Voordeel: je hebt de complete controle over je sitemap en houdt het in je eigen beheer. Nadeel: je moet na iedere nieuwe of verwijderde pagina of blogpost je sitemap bijwerken.

Liever geen gedoe? Gebruik dan de Simple Sitemap plug-in van David Gwyer.

Interne links

Links zijn belangrijk. Zo ver zijn we al. Daarom is er een duidelijk menu en heb je sinds drie tellen geleden ook een sitemap of twee.

De volgende stap is het intern doorlinken naar relevante pagina’s of artikelen. Dit dient twee doelen:

1. Een crawler heeft weer een link om te volgen: hoera!
2. Een bezoeker is eerder geneigd om op een link in een pagina te klikken, dan om in een menu of op een website te gaan zoeken.

Beide punten zijn goed voor je SEO score. Vooral het tweede punt blijkt ondergewaardeerd. Als bezoekers steeds terugkeren na de zoekmachine als ze je pagina gescand of gelezen hebben, geeft dat bij Google aan dat het aangeklikte resultaat klaarblijkelijk niet het gewenste antwoord heeft gegeven. Dit is een ranking factor: bij een volgende soortgelijke zoekopdracht wordt jouw pagina lager gewaardeerd.

Door in je artikel te verwijzen naar andere pagina’s of artikelen op je eigen website, hou je bezoekers binnen en zijn ze (als je informatie relevant is) minder snel geneigd om terug te keren naar de zoekmachine waar ze vandaan kwamen. Dit is een goed teken en telt dus positief mee in je beoordeling.

Social media

Als we het dan toch over links hebben: gebruik jij je socialmediakanalen wel genoeg? Of vergeet je net als ik om een nieuwe post in te plannen bij FaceBook en Twitter? Een plug-in binnen je WordPress dashboard kan je dan helpen met het beheren van je sociale media.

Plug-ins voor sociale media zijn er in twee varianten en kun je gebruiken om:

1. een blogpost automatisch op jouw socialmediaaccount te publiceren; of
2. bezoekers een gemakkelijke manier te bieden om jouw artikel zelf te delen op hun eigen tijdlijn

Zowel het zelf publiceren als het laten vernoemen spelen een rol voor je bezoekersstromen. Met de eerste optie deel je de inhoud met een vertrouwde groep volgelingen, terwijl je juist die groep met de tweede optie verleidt om je pagina of artikel onder de aandacht te brengen van hun volgers. Dat zorgt er dan weer voor dat er meer bezoekers naar je pagina komen die dat weer gaan delen en zo gaat het balletje rollen.

Een van de bekendere plug-ins voor het automatisch publiceren is Revive Old Posts van Revive.social. Die plug-in kan niet alleen oudere posts naar je sociale accounts publiceren, maar doet dat ook voor nieuwe artikelen. Het toevoegen van de deel-knoppen voor je bezoekers gebeurt soms al automatisch door je thema. Zo niet, zijn er ontelbare plug-ins te vinden die dat wel voor je doen. Kijk net zoals ruim tweehonderdduizend andere gebruikers eens naar de Social Media Share Buttons plug-in van UltimatelySocial. Installeren, instellen, klaar.

Beveiligd met SSL

Toch nog even onder de aandacht brengen. HTTPS, wat betekent dat een website beveiligd bezocht kan worden door het gebruik van een SSL-certificaat, heeft de toekomst. Niet alleen geeft Google al jaren aan dat HTTPS een ranking factor is, waardoor je website een betere waardering krijgt bij het bepalen van je positie. Ook is het voor steeds meer websites door de regels van de AVG verplicht om een SSL-certificaat op de website te installeren.

Dus. Regel vandaag nog een SSL-certificaat voor je website. Installeer daarna een plug-in zoals Really Simple SSL om je hele website om te zetten naar een beveiligde verbinding, ook die hele oude post waar je nog een linkje naar een http://-adres hebt staan.

Snelheid

Ook snelheid is, net zoals HTTPS, een ranking factor. Een te trage website zorgt er voor dat bezoekers niet blijven hangen en je website zal dan ook niet snel als beste keuze worden aangemerkt door zoekmachines. Snelheidswinst voor je websites haal je op twee manieren.

Caching

Iedere keer dat een bezoeker je website bezoekt, moet de hele pagina op nieuw worden opgebouwd. Niet alleen moeten bestanden voor stijl en lay-out worden gezocht, ook moet in de database de inhoud worden gezocht. Wat is de titel, de omschrijving, welke informatie staat er op die pagina, zijn er gerelateerde pagina’s. Als alle informatie bij elkaar is gezocht, wordt die teruggestuurd naar de bezoeker. Dat zie je terug in de broncode van een pagina.

Een caching plug-in onthoudt die broncode voordat de pagina terug wordt gestuurd naar de bezoeker. De volgende keer dat iemand anders diezelfde pagina bezoekt, kan de plug-in dus meteen de broncode terugsturen in plaats van dat WordPress weer eerst die hele inhoud bij elkaar moet gaan zoeken.

Diverse plug-ins bieden diverse caching opties en resultaten. W3 Total Cache is een bekende met veel opties, WP Super Cache is zelfs nog populairder. Ze hebben allemaal hun eigen kwaliteiten en specialiteiten, maar in de basis doen ze allemaal hetzelfde: broncode onthouden.

Hosting

Is je website geoptimaliseerd, heb je een caching plug-in, maar wil je nog steeds meer? Snellere en betere hosting kan dan schelen. Kijk bijvoorbeeld eens naar onze SSD-hostingpakketten of zelfs de speciale WordPress hosting. Beter dan dat ga je het bij ons niet vinden.

Door de extra snelle SSD harde schijven, uitgebreide limieten van onder andere het geheugen en geoptimaliseerde configuraties van webserver en database, draait je website op volle toeren. We gebruiken daarnaast op onze WordPress hosting pakketten een premium caching plug-in, die samen met OPCache voor een ongekend snel resultaat zorgt.

Gastbloggen en gastbloggers

Laten we eerlijk wezen: WordPress is in eerste instantie gemaakt als platform om te bloggen. En, belangrijker nog, daar wordt het nog steeds voor gebruikt. Ook al worden er nu de meest prachtige websites zonder blog mee gemaakt, het schrijven van blogs biedt meerdere kansen om je SEO score een boost te geven. Inhoud verandert regelmatig en blijft vers, met gespecialiseerde artikelen kun je goed scoren, nog meer inhoud om in of naar te linken, noem het maar op.

Je hoeft niet alles zelf te schrijven. Zo kun je bijvoorbeeld bloggers benaderen voor een gast-artikel. De zogenaamde gastbloggers zijn schrijvers die dan zelf een artikel schrijven en dat onder hun eigen naam plaatsen op jouw blog. Soms gebeurt dat gratis en is een link naar hun eigen blog en de daaruit volgende exposure al voldoende betaling. Andere auteurs vragen een vergoeding voor het schrijven van een artikel. Het is maar wat je afspreekt.

Het fijne van deze optie is dat je niet in een continue strijd zit om op tijd -of vooruitgepland- artikelen te schrijven. Bekende internetrechtblogger Arnoud Engelfriet plaatst bijvoorbeeld iedere werkdag een nieuw artikel, met uitzondering van twee weken zomervakantie. Dan vraagt hij steevast tien gastbloggers die een artikel voor hem schrijven. Alles mag, zo lang het maar een verband heeft met internetrecht.

Ditzelfde uitgangspunt kun je natuurlijk ook omdraaien. Schrijf zelf een artikel voor iemand anders zijn of haar blog. Hierdoor krijg je als schrijven of bedrijf direct zichtbaarheid bij een groep lezers die zich interesseren in hetzelfde onderwerp, maar jou nog niet kennen. Door in het gastartikel een aantal links te plaatsen naar jouw website, scoor je ook nog eens belangrijke backlinks. Win-win dus.

Voorwaarde voor zowel gastbloggen als gastbloggers is natuurlijk wel dat het artikel aansluit bij de doelgroep van de website. Een artikel over de beste barbecues voor deze zomer slaat misschien niet aan op een website met georganiseerde trektochten door Alaska…

En verder…

Inmiddels zijn we een maand verder en, afgaande op de positieve reacties die ik in de mailbox voorbij heb zien komen, ook wat wijzer. We zijn begonnen met nadenken over schrijven en welke impact dat heeft. Er zijn een paar handige hulpmiddelen voorbij gekomen en heb ik het gehad over de meest gemaakte fouten (of vergeten dingen).

Je bent nooit klaar met SEO. Er valt altijd wel iets te verbeteren. Een nieuw artikel hier, een ander zoekwoord daar. Google en andere zoekmachines updaten met regelmaat hun algoritmes. Werkt iets nu prima, kan dat over een jaar dus misschien niet meer werken.

Het logisch nadenken wat in de afgelopen paar artikelen voorbij is gekomen, is iets dat alleen nog maar belangrijker gaat worden verwacht ik. Waar computers en robots zo slim worden gemaakt dat ze almaar beter het menselijk brein kunnen nabootsen, zullen de programmeurs steeds meer gebruik gaan maken van menselijke invoer om hun zoekmachines nog beter aan te laten sluiten bij de wens van de gebruikers. Net zo lang totdat er uiteindelijk geen pagina 2 meer hoeft te zijn.

SEO is niet moeilijk, niet duur en niet magisch. Toch gaan er vijf (oké, zes) dingen vaak fout. Denk jij wel aan je woordkeuze, titels, omschrijvingen en rest van de inhoud?

Dit is deel drie in onze vierdelige serie over SEO. Vorige week Hulpmiddelen voor je SEO. Volgende week al weer het laatste deel over zoekmachine optimalisatie in en voor WordPress.

Op het internet word je gevonden. Tenminste, dat is de bedoeling. Met zoekmachines zoals Google, Bing en DuckDuckGo binnen handbereik is zoeken geen echte uitdaging meer.

Tussen zoeken en gevonden worden, zit één belangrijke stap. SEO. Of: jouw website zo goed in elkaar steken dat je prominent op de eerste pagina staat als iemand zoekt naar wat jij kunt leveren.

Search Engine Optimization is moeilijk. Duur. Complex. Bijna magisch. Allemaal termen die in één adem genoemd worden met SEO. Grappig weetje: niets daarvan is per definitie waar. Natuurlijk kun je duizenden euro’s betalen voor goede resultaten, maar dat hoeft niet. Natuurlijk is het wat lastiger in het begin, maar logisch nadenken doet al veel werk.

In dit artikel benoemen we 5 dingen die volgens Google vaak worden overgeslagen of verkeerd gedaan bij het maken en onderhouden van een website, waardoor je onnodig laag scoort in de resultaten.

1. Te lage crawlability
2. Slechte woordkeuze
3. Missende titel en omschrijving
4. Verkeerde inhoud
5. Niet investeren in je website
6. Bonus: Geen kaas eten

1. Te lage crawlability

Een website moet gevonden kunnen worden door de zoekmachines en, als dat al gebeurd is, vervolgens doorzocht kunnen worden. De “crawlability” (indexeerbaarheid?) definieert of dit het geval is. Het bestaat in principe uit twee delen.

Uiteraard heb je een domeinnaam die aansluit bij je website en heb je een website met belangrijke inhoud. Die inhoud moet door crawlers (de geautomatiseerde systemen van zoekmachines) te bekijken zijn. Dit kan bijvoorbeeld geblokkeerd of gestuurd worden door een bestandje robots.txt in de website zelf. Als je niet zeker weet hoe dat werkt, gebruik het dan niet. Als je het wél doet, zorg dan in ieder geval dat alle crawlers jouw site mogen lezen en indexeren.

Daarnaast moeten alle pagina’s waar je naar linkt ook echt bereikbaar zijn. Verwijs je in een blogpost naar je pagina over barbecues, zorg dan dat die link ook bij die barbecue-pagina uit komt. Let helemaal op als je je website verandert, want dan veranderen je links vaak ook mee.

Zorg voor een sitemap. Dit is een XML-document waarin alle pagina’s van je website in te vinden zijn. Een soort inhoudsopgave dus. Standaard heet dit bestand sitemap.xml en staat het direct vooraan in je hostingpakket, zodat het te benaderen is via jouwdomein.ext/sitemap.xml. Je kunt je sitemap ook uploaden bij de Google Search Console, dan worden je linkjes ook meegenomen.

Bezoek je eigen website. Klik op de linkjes (in het menu en op de pagina’s zelf) en controleer of je niet op onbestaande pagina’s uit komt. Kijk ook eens naar de resultaten die een crawl-report van Seobility geeft, want daarin lees je welke links niet werken en kun je meteen actie ondernemen.

2. Slechte woordkeuze

Gebruik de juiste woorden bij het schrijven van je titels, inhoud en omschrijvingen. Denk daarbij aan waar je bezoekers naar op zoek zijn en wat ze daarvoor in de browser intypen. Om een voorbeeld te noemen: Het topje van de Vaalserberg ligt 322 meter boven NAP. Maar als ik de hoogte van Neerlands trots wil weten, stel ik als vraag aan Google “Hoe hoog is de Vaalserberg”. Die NAP zal me een worst wezen. Dat zijn dingen om even aan te denken als je een pagina maakt met het antwoord op die vraag. In het artikel van twee weken terug is daar uitgebreid aandacht aan besteed.

Als je dan goede teksten en duidelijke informatie hebt, zorg er dan voor dat die in een leesbaar formaat worden getoond. Dit hangt ook samen met het stukje “crawlability” uit nummer 1. Denk hierbij aan de menukaart van een restaurant die vaak als mooi opgetuigde PDF online worden gezet.

De pagina met de menukaart wordt wel door een zoekmachine gevonden en weet dus dat het menu van je lunchroom of restaurant op die pagina staat. Maar, de robot kan het menu niet lezen en weet uiteindelijk niet wat er op staat. Als ik vervolgens zoek op “steak restaurant Eindhoven” en Google weet niet dat jij steaks op je menu hebt staan, weet ik niet dat ik bij je terecht kan. Jammer.

3. Missende titel en omschrijving

Hetzelfde geldt voor het opgeven van een duidelijke, passende titel en omschrijving voor iedere pagina. Deze zijn echt van belang voor je zoekmachineresultaten.

Belangrijk is dat ze dynamisch zijn. Niet overal hetzelfde dus. Bied je via je website informatie aan over verschillende cursussen of artikelen die je aanbiedt? Stel dan voor iedere pagina in dat de titel specifiek die cursusnaam heeft en in de omschrijving staat waar de cursus specifiek over gaat.

Als er op iedere pagina alleen Franciens Florashop staat, is er niet in één oogopslag duidelijk waar die cursuspagina over gaat en minder krachtig in de resultaten.

4. Verkeerde inhoud

Nog even terugkomen op alle punten tot zo ver. Alles valt of staat dus met de inhoud van je website. Dat betekent dat die inhoud goed moet zijn, zowel voor het menselijk oog als voor de processor van een robot.

Dat begint al met de structuur van je pagina’s. Net zoals in een boek of de handleiding van je nieuwe telefoon, is een goed leesbare tekst onderverdeeld in hoofdstukken met subkoppen en paragrafen. In je website wordt dat met HTML-code aangeduid met een h1 (titel), h2 t/m h6 (subkop) en p (paragraaf).

Verder heb je het dan natuurlijk over de inhoud. Je hebt zoek- en sleutelwoorden, die de inhoud van de tekst bepalen. Schrijf om te lezen, niet om zo veel mogelijk belangrijke woorden te kunnen gebruiken. Denk aan je doelgroep, dus in een Nederlandstalig recept voor hutspot heb je het niet over ounces en Fahrenheit, maar gewoon over gram en Celsius. De kwaliteit van de tekst bepaalt voor het grootste gedeelte of iemand jouw website blijft lezen en daarna doorstuurt naar vrienden, familie of, nog beter, sociale media.

5. Niet investeren in je website

Snelheid wordt algemeen geaccepteerd als een goed ding. Daarom rijden we massaal 130 waar 120 ook al best hard was, krijgen supermarkten steeds meer zelfscankassa’s en wil niemand investeren in betere hardware.

Wacht, wat?

Google roept al langer dat de tijd waarin een website op het scherm staat wel degelijk meetelt in de eindscore van die pagina. Pagina’s die traag voorbij kruipen, komen minder goed uit de bus dan vergelijkbare pagina’s die wel goed presteren. Het is daarom van belang dat de onderliggende server altijd gebruik maakt van de nieuwste versies van bijvoorbeeld PHP en het besturingssysteem. Vaak worden daar namelijk prestatie-problemen in opgelost die (hoe miniem ook) voor een betere gebruikservaring hebben.

Als je merkt dat je website nog steeds niet lekker presteert, kan het ook eens tijd zijn voor nieuwe hardware. Heb je nog dat goedkope pakketje op een shared server? Ben je daar dan niet eens uitgegroeid? Een upgrade naar een beter presterend pakket, zoals bij Flexwebhosting op een SSD server, of een eigen (virtuele) server in de vorm van een VPS, kan dan wonderen doen.

Gebruikservaring is een breed begrip. Vooral als er met een mobiele telefoon gebrowset word, zijn twee dingen extra van belang: het moet snel, maar vooral leesbaar zijn. Responsive design, noemen ze dat. Een website die goed te navigeren valt, of het scherm drie of dertig centimeter breed is, wordt beter gewaardeerd dan een website die met veel pijn en moeite op het scherm komt. En die waardering merk je niet alleen bij je bezoekers (die rennen gillend weg) maar ook bij de zoekresultaten.

Google heeft verschillende tools beschikbaar om je gebruikservaring te monitoren. De Search Console waarschuwt voor pagina’s waar duidelijke fouten in zitten, terwijl bij Lighthouse (in Chrome onder de Audits van Developer Tools) goede adviezen komen over iets dat beter kan.

Bonus: Geen kaas eten

Een gebrek aan kennis valt niemand wat te verwijten. Maar een pad gaan bewandelen zonder voorbereiding, dat is toch jammer.

Begrijpelijk is het wel. SEO, en misschien zelfs wel het hele webhosting en websites maken in z’n geheel, is een vak apart en veel mensen hebben er geen kaas van gegeten. Nee, je hoeft geen expert te worden. Maar door alleen al een beetje een idee te hebben van de dingen die er spelen, laat je je in ieder geval geen loer draaien.

Zo heb ik de ballen verstand van auto’s. Ik rij een mooie gezinswagen met vier wielen en zeven stoelen. Meer weet ik er eigenlijk al niet van. Oh, hij is zilver en glimt als het zonnetje schijnt. Toen ik deze vorig jaar uit mocht gaan zoeken, heb ik eerst eens rondgekeken wat ik voor onze voormalige trouwe koets aan inruilwaarde zouden kunnen verwachten. De eerste de beste verkoper vertelde me, uiteraard heel eerlijk en geloofwaardig, dat-ie niets meer waard was. Vriendelijk bedankt, we gaan wel naar de buurman. Nee, ik weet nog steeds geen bal van auto’s, maar heb uiteindelijk wel nog een mooi bedrag van de nieuwe auto af weten te snoepen.

Hetzelfde geldt voor SEO-kennis. Je hoeft geen expert te zijn om de basis een beetje te begrijpen. Alleen al door het lezen van een artikel zoals dit of die van twee weken terug over schrijven voor betere zoekresultaten, krijg je een idee van wat er speelt in dit magische wereldje.

En, leuker nog, wat je zelf al kunt doen.

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins WordFence, WP Database Backup, ConvertPlus Popup en Slick Popup.

De volgende plug-ins zijn in mei en juni 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt. Lees ook de mei-update, mocht je die gemist hebben.

• WordFence
• WP Database Backup
• ConvertPlus Popup Plugin
• Slick Popup

WordFence

Laten we beginnen met een positieve vermelding. WordFence, een van de bekendere beveiligingsplug-ins, heeft in hun nieuwe versie 7.3.1 een aantal nieuwe inlog-functies.

Om te beginnen hebben ze hun tweestapverificatie opnieuw gebouwd. Beter, veiliger en bovenal: gratis! Ook voor de niet premium-gebruikers is de welbekende 2FA nu beschikbaar.

Daarnaast hebben ze een optie ingebouwd om een catpcha-veld op de inlogpagina te zetten en hebben ze hun beveiliging tegen grote XML-RPC aanvallen opgeschroefd.

Voor een volledige lijst met veranderingen kun je terecht op hun blogpost. Als Engels geen probleem is voor je, is dat sowieso een interessant blog om te volgen.

WP Database Backup

Met de WP Database Backup plug-in maak je, zoals de naam al doet vermoeden, back-ups van je WordPress database. Deze plug-in staat in de top 10 van back-up plug-ins op de WordPress-marktplaats. Hier zijn twee problemen in ontdekt.

In eerste instantie ging het fout bij het kunnen aanpassen van de plug-ins opties zonder ingelogd te zijn door vergeten te controleren of een ingelogd admin-account de opties wijzigt. Dat is natuurlijk niet handig, want zo kan een hacker zelf een e-mailadres opgeven waar een afgeronde back-up naar verstuurd wordt.

De plug-in biedt ook de mogelijkheid om bepaalde tabellen van de database niet mee te nemen in de update. Op dit lijstje zat helaas geen controle en hierdoor konden hackers zonder controle commando’s rechtstreeks naar de onderliggende hostingserver sturen. Onze hostingservers zijn tegen dit soort aanvallen beschermd, maar minder streng ingestelde servers kunnen hierdoor in de problemen gekomen zijn.

Beide punten zijn opgelost in versie 5.2 van de WP Database Backup plug-in die op 30 april al is uitgekomen.

ConvertPlus Popup Plugin

Een all-in-one WordPress popup plugin. Zo omschrijft ConvertPlus zichzelf op de Envato-marktplaats voor betaalde WordPress plug-ins. ConvertPlus wordt gebruikt om gemakkelijk pop-up schermen op je website te tonen om bijvoorbeeld aanmeldingen voor je nieuwsbrief te verzamelen. De ingevulde e-mailadressen worden vervolgens als een account aangemaakt binnen je WP-omgeving.

Eén probleem: bij het invullen en opslaan van zo’n pop-up scherm, werd er vergeten te controleren of er niet met het formulier zelf geknoeid was. Resultaat: door een kleine aanpassing te doen in je browser, kon je jezelf een admin-account aanmaken.

Gelukkig reageerden de ontwikkelaars van ConvertPlus snel en brachten ze op 28 mei een patch uit. Daarna op 3 en 7 juni nog een keer. Inmiddels is versie 3.4.5 de meest up-to-date versie.

Slick Popup

Een andere plug-in die pop-ups verzorgt, in dit geval specifiek voor een andere plug-in (contact form 7). Slick Popup is volgens de statistieken minder populair dan ConvertPlus en heeft zo’n 7000 actieve gebruikers van de gratis variant.

Ook bij Slick ging er iets niet goed met het aanmaken van nieuwe accounts. In dit geval hadden de ontwikkelaars een functie ingebouwd om op afstand een support-account voor zichzelf aan te maken. Op zich is daar niks mis mee, ware het niet dat er standaard inloggegevens leesbaar in de code stonden. En, vervelender nog: een bestaande gebruiker kon zich door die functie te gebruiken “upgraden” naar een administrator-account.

De ontwikkelaars geven aan dat er een update van de betaalde versie beschikbaar is, maar op het moment van schrijven is de plug-in niet meer te installeren. Advies: helemaal verwijderen en een andere plug-in kiezen.

Er zijn tientallen hulpmiddelen beschikbaar om betere resultaten te behalen bij zoekmachines, zodat ook jij als niet-expert zelf aan de slag kunt met je zoekmachineoptimalisatie (SEO).

Dit is deel twee in onze vierdelige serie over SEO. Vorige week Schrijven voor betere zoekresultaten. Volgende week de meest gemaakte fouten op jouw website.

• Onderdelen
• Zoektermen onderzoek
• Technische verbeteringen</li >
• Invloeden van buitenaf
• Resultaten bijhouden
• Betaalde alternatieven

In het artikel van vorige week ging het over het schrijven van je tekst. Hoe je met een pakkende titel, goede koppen en subkoppen en een vlot lopende tekst een goede basis hebt voor een blogpost met een hoge kans op een goede zoekmachine-ranking.

Wat zou het toch handig zijn als je op de een of andere manier kon controleren of je op de goede weg zit…

Natuurlijk kan dat! Vandaag krijg je een lijst met de handigste tools voor SEO en zoekmachines.

Mooie bonus? Ze zijn allemaal gratis!

Onderdelen

Een traject om je vindbaarheid te vergroten, bestaat ruwweg uit vier delen.

Je begint met het onderzoeken van je inhoud. Met welke termen wil je gevonden worden? Waar blink je op uit? Waar wordt veel op gezocht, maar is nog weinig over te vinden?

Als je weet waar je je op gaat richten, komt er een stukje techniek kijken. Hoe snel laden je pagina’s, heb je veel fouten en doorverwijzingen op je site, ziet het er zowel op desktop als op mobiel goed uit?

Bezoekers komen vanuit verschillende hoeken op je website uit. Je hebt een nieuwsbrief rondgestuurd, linkt vanuit een klantenportaal of hebt een reclamebanner op een forum geplaatst. Hoe zit het met deze links? Wordt er gebruik van gemaakt?

Ten slotte doe je natuurlijk hard je best om zo goed mogelijk uit de bus te komen. De laatste stap is dan ook het bijhouden van de resultaten.

Voor alle vier van deze stappen heeft internetgigant Google een oplossing. Wil je nu niet (helemaal) afhankelijk zijn van deze partij, bieden andere aanbieders zoals Moz en Seobility een goed alternatief, zij het met betaalde opties binnen een gratis account en soms te nadrukkelijk gericht op de Amerikaanse markt.

Stap 1: Zoektermen onderzoek

Het bepalen van de zoekwoorden en sleutelwoorden is belangrijk voordat je gaat schrijven. Ze zijn je startpunt voor de inhoud van je pagina’s en blogartikelen.

Bloggers zijn daarom altijd op zoek naar nieuwe zoekwoorden om te gebruiken voor hun inhoud. Voornamelijk woorden waar veel op gezocht wordt of die populair zijn en waarvoor er (nog) weinig goede resultaten zijn.

Google Trends biedt hier een uitkomst. Door te selecteren op periode, geografische locatie en een zoekterm zie je precies waar op gezocht werd. Zoek je bijvoorbeeld op WordPress, zie je dat de meeste mensen de afgelopen week gezocht hebben op plug-in, website en theme. Het meeste in Noord-Holland, minder in Limburg en Zeeland.

Met deze informatie kun je een sociale campagne invulling geven. Stel je de periode in op een jaar en zie je duidelijke pieken (of juist dalen), dan weet je in welke periode bepaalde inhoud populair is. Om een voorbeeld te geven: dit is de grafiek voor barbecue van de afgelopen 5 jaar.

Je review van de vijf populairste barbecues van dit jaar kun je dus beter niet in januari plaatsen, maar even uitstellen tot april.

Moz heeft soortgelijke functionaliteit. Zoek je daarmee op WordPress, krijg je een overzicht van de zoekterm en suggesties voor gerelateerde zoekwoorden. Moz geeft aan dat er veel gezocht wordt op inloggen, themes en handleiding, net iets andere resultaten dus. De keerzijde van Moz is wel dat er maar een beperkt aantal keer gezocht kan worden en een abonnement $179 per maand kost om die limiet op te heffen.

Heb je dat ook wel eens? Dat je op Google iets wil gaan zoeken en na het eerste woord je vraag al je vraag in beeld staat? Voorspellen, noemen ze dat. Answerthepublic.com maakt hier gretig gebruik van. Ze geven je een overzicht van alle voorspelde vragen met jouw gekozen zoekwoord, onderverdeeld in verschillende rubrieken.

Leuk om eens een andere invalshoek te vinden!

Stap 2: Technische verbeteringen

Je (nieuwe) inhoud moet goed bereikbaar zijn. Snelheid, het tegengaan van foutmeldingen en een goede mobiele weergave zijn hierbij van belang.

Google Search Console geeft hierover meer informatie. Laden je websites te traag, heb je een sitemap, zijn alle pagina’s responsive.

Een ander onderdeel focust zich meer op de snelheid en verbeteringen daarin. Google Page Speed adviseert bijvoorbeeld over het aantal bestanden en het formaat daarvan, de hoeveelheid en het type afbeeldingen en de snelheid waarmee je website laadt.

Seobility heeft, net als Moz, gratis en betaalde functionaliteit. Ook met een gratis account kun je een goed beeld krijgen van welke pagina’s je kunt verbeteren. Je krijgt snel een overzicht van pagina’s met dezelfde titels of omschrijvingen, pagina’s die niet gecontroleerd kunnen worden en andere verbeterpunten. Stel dat je wijzigingen gemaakt hebt naar aanleiding van het rapport, kun je zonder betalen één keer per 24 uur een nieuwe controle aanvragen.

Stap 3: Invloeden van buitenaf

Waar je website op het internet bekend staat, is ook belangrijk voor je ranking. Word je genoemd op gerespecteerde websites, voegt dat waarde toe aan jouw pagina’s. Sta je gelinkt tussen honderden spam-reacties onder een willekeurige blogpost… not so much.

Het is ook goed om te weten waar je links op binnenkomen. Linken er bijvoorbeeld veel websites naar de homepage, dan kan dat betekenen dat je wel een bekende bent, maar niet bekend staat om een specifiek onderwerp. Als juist een bepaalde pagina of artikel veel gelinkt worden, maken die dus wél indruk en zou je je nog verder kunnen onderscheiden als expert op dat gebied.

Google Search Console laat in hun linkjes-overzicht in één oogopslag zien welke websites naar welke van jouw pagina’s linken.

Tip: Maak je gebruik van een tijdelijke plek op het internet om bijvoorbeeld een nieuwe website te maken? Sluit ook daar je Google tracking code op aan. Dat kan je helpen ontdekken dat je misschien nog eens zo’n tweede website bent vergeten weg te halen…

Seobility biedt in de gratis variant drie backlinks aan. Dat is dus niet veel. Moz doet dat dan beter, daar zijn het er maximaal 30. Laatstgenoemde geeft zelfs specifiek aan vanaf welke pagina op de externe website naar je gelinkt wordt.

Stap 4: Resultaten bijhouden

Geef toe. Je doet dit maar voor één reden: je wilt resultaten boeken. Zichtbaar worden in de zoekmachines. Meer verkeer – en verkopen – via je website. Weten of al je harde werk wat opbrengt.

Ja, ook hiervoor kun je terecht bij de bron: Google Search Console. In het prestatie-overzicht zie je direct of je de afgelopen periode je positie op de online markt hebt versterkt. Of juist niet…

Google is niet de enige die je hierbij van dienst kan zijn. Seobility stuurt je wekelijks een Keyword Monitoring Report met de resultaten van de voorgaande week. In één oogopslag zie je direct of er voor de vooraf opgegeven zoekwoorden een verandering is geweest. Hun online portal biedt je nog meer informatie en naast de optie om gratis 10 zoekwoorden in te stellen, ook 3 concurrenten om in de gaten te houden. Kun je je direct vergelijken en misschien zelfs wel een beetje spieken.

Betaalde alternatieven

Er zijn tientallen tools en websites die een of meerdere van bovengenoemde functionaliteit aanbieden. Het blog van Wessels Teksten en het (Engelstalige) YouTube kanaal van Josh Bachynski geven bijvoorbeeld een wereld aan informatie.

Vind je het niet erg om de creditcard uit je portemonnee te vissen, geven betaalde websites zoals Ahrefs voor je zoektermenonderzoek en rank tracking en Majestic voor je backlink onderzoek je ook nog veel mogelijkheden en maken ze de SEO-gezondheid van je website inzichtelijk. Installeer de software van Screaming Frog op je PC voor een gemakkelijk overzicht Volg een training bij Frankwatching en leer zelf hoe je met techniek, inhoud en populariteit je website verbetert voor de beste resultaten op het web.

Voor wie er niet tientallen of honderden euro’s aan uit wil geven en het alsnog zelf moet doen of er tijd in moet investeren, hebben we de perfecte oplossing.

Onze SEO-DIENST scant je website en geeft je advies over hoe je deze kan verbeteren. We bepalen op basis van je eigen zoekwoord extra sleutelwoorden en vertellen je welke teksten herschreven moeten worden.

Het doel? Die felbegeerde eerste pagina in Google! Al vanaf € 25 per maand per zoekwoord in de top 10. Nog beter, we hanteren hierbij het zogenaamde no cure, no pay principe. Met andere woorden: sta jij niet op de eerste pagina, sturen wij je geen factuur.

Interesse? Stuur ons een mail op seo@flexwebhosting.nl en zet ons voor je aan het werk. Hoef je alleen zelf nog maar de resultaten bij te houden.

Zonder geld te investeren betere resultaten in de zoekmachines? Met deze tips kun jij je website laten stijgen naar een hogere positie.

Inhoud

1. Je positie is belangrijk
2. Hoger scoren doe je zo
3. Robots lezen jouw tekst ook
4. Tips om je score te verbeteren
5. Schrijf en stijl template
6. Aanpassen voor een hogere indexering
7. Wij zetten je ook bovenaan in Google

Heb jij al een blog op je site? Inhoud die regelmatig verandert, zoals een wekelijkse blogpost of een maandelijkse column, doet het altijd goed bij de zoekmachines. Het houdt je website levendig en dat vinden de robots en algoritmes die de positie van jouw website bepalen fijn. Ze bepalen dan ook in zekere mate je score in de resultaten.

Je wilt natuurlijk dat zo’n blog of column gelezen wordt. Zoekmachines, waarvan Google in het bijzonder, hebben een groot aandeel in de bezoekersstroom die jouw website aandoet. Je wil daarom dat je positie in de zoekresultaten zo hoog mogelijk is. Maar hoe haal je nou de hoogste score?

In dit artikel lees je tips waarmee je straks misschien wel jouw tekst terugvindt op de eerste pagina!

Je positie is belangrijk

Waarom is die positie zo belangrijk? Misschien is het wel omdat je trots bent op dat wat je doet. Of omdat je belangrijke informatie schrijft die gedeeld moet worden. Of, en dan ben je heus niet de enige, is het brood dat er ’s ochtends op je bord ligt afhankelijk van de verkopen die je via je website doet.

Veel internettende mensen gebruiken een zoekmachine om te vinden wat ze zoeken. Naar schatting wordt er rond de 70.000 keer per seconde een zoekopdracht gegeven aan de bekende zoekgigant Google. Om gevonden te worden, moet je daarom op de eerste (paar) pagina’s van de zoekresultaten zien te komen. Want wie kijkt er nu op pagina zeven als er op de eerste pagina al vijftien andere aanbieders je voor zijn?

Hoger scoren doe je zo

Je denkt misschien dat het hele gedoe met SEO duur en moeilijk is en veel tijd kost. Dat is niet zo. Het bestaat voornamelijk uit logisch en analytisch nadenken en het vooraf bedenken van de inhoud van je tekst.

Om een voorbeeld te geven: ik schrijf regelmatig voor twee compleet verschillende blogs. Aan de ene kant plaats ik wekelijks een post met een humoristische kijk op opvoedkundige uitdagingen die ik als papa van drie kinderen mee maak. Het schrijven van zo’n artikel kost me niet veel tijd. Vaak bedenk ik in mijn hoofd al de grote lijnen en is het een kwestie van uittypen. Leuk om te doen, maar in Google zul je me niet tegenkomen (en dat hoeft ook niet).

Dit Flexwebhosting blog gaat toch wat anders. Voor de artikelen die hier op gepubliceerd worden, moet er eerst informatie bij elkaar verzameld worden. Wat is er relevant en wat niet, welke woorden (en eventuele synoniemen) hebben er mee te maken? Er komt een structuur en ik vind bronnen om de inhoud en structuur te onderbouwen. Een andere manier van schrijven dus.

Dus nee, het is niet moeilijk. En ja, het kost meer tijd om een goedlopend en hoog scorend artikel te schrijven. Maar, ook weer niet zo veel meer om het even verder na te denken niet waard te maken. En het mooiste is: het kost helemaal niks!

Robots lezen jouw tekst ook

Het verbeteren van je teksten om je positie in de resultaten te verhogen, begint logisch.

Stel, je bent op zoek naar een boek over WordPress. Je wilt er mee beginnen, maar weet niet hoe. Je wilt meer leren over thema’s en plug-ins, over posts en pagina’s, over veiligheid en updates. In de boekwinkel sta je voor het schap gelabeld “IT”. Welk boek pak je als eerst? WordPress websites maken of WordPress, alles voor beginner tot expert?

Als je het gekozen boek in je handen hebt, kijk je dan net als ik ook eerst naar de samenvatting op de achterkant en daarna naar de inhoudsopgave voorin?

De crawlers die in opdracht van de zoekmachines het hele internet afstruinen naar inhoud en de algoritmes die vervolgens je positie bepalen voor een bepaalde zoekterm doen niets anders dan ik in de boekwinkel doe. De titel van een blogpost, een korte (maar krachtige) omschrijving en een inhoudsopgave met duidelijke hoofdstukken geven dan ook een goede waarde aan je artikel.

Tips om je score direct te verbeteren

Een nieuwe post kun je daarom vooraf het beste goed uitstippelen. Je begint met te bedenken waar je over wilt gaan schrijven. Geef je het antwoord op een vraag? Of behandel je het gebruik van een nieuwe techniek? Als voorbeeld kan een vraag van de beginnende WordPress gebruiker zijn:

"Hoe installeer ik het beste een WordPress plug-in?"

Bepaal van deze vraag eerst eens welke woorden belangrijk zijn. Ik, het en een zijn dat duidelijk niet. Hoe is een twijfelgevalletje, maar duidt een vraag aan. Blijven installeer, beste, WordPress en plug-in over. Dit zijn je zoekwoorden en op basis daarvan kun je dan verder gaan.

Welke woorden zijn aan deze zoekwoorden gerelateerd? Google biedt hier een handige oplossing voor: de gerelateerde zoekopdrachten die je onder iedere pagina terug ziet. In dit voorbeeld gaat het dan eigenlijk alleen over pagina, ook al zou je store er ook bij kunnen trekken.

Vervolgens kun je ook de zoekresultaten zelf nog eens doorpluizen. In dit geval bijvoorbeeld reviews, gratis en website. Dit zijn je sleutelwoorden.

Deze zoek- en sleutelwoorden zet je om in een inhoudsopgave. Gebruik duidelijke en gerelateerde koppen om je tekst in op te delen, bijvoorbeeld:

1. Gratis uitbreidingen voor WordPress
2. Goede reviews in winkel belangrijk
3. Installeren op je website

Deze inhoudsopgave wordt je leidraad om je tekst te gaan schrijven.

Schrijf en stijl template

Verschillende SEO-specialisten raden een soortgelijk stramien aan, waarvan ze denken dat het een solide basis vormt voor een goed artikel met de potentie om goed te scoren in de rankings. De inhoud van zo’n artikel ziet er volgens hun zo uit:

• 1250 – 2000 woorden
• 3 – 12 afbeeldingen
• 1 titel als een HTML H1-element
• 4 – 8 koppen als een HTML H2-element
• 4 tot 6 links, intern en/of extern
• Een inhoudsopgave
• Een opsomming (een lijstje zoals dit)

Naast een goede structuur op basis van zo’n template, kun je ook voor een goede structuur op een technisch vlak zorgen. Dat houdt in dat de HTML-code die een robot te lezen krijgt bij het bezoeken van jouw pagina, goed leesbaar moet zijn. Ook moet het voldoen aan de standaarden, zoals ze door bijvoorbeeld het W3C worden opgesteld. Je kunt hiervoor de Markup Validation Service gebruiken.

En de crawlers willen, net zoals je echte bezoekers, zo vlug mogelijk hun informatie zien. Dat betekent dat je website snel moet laden. En of er nu op een kleine mobiele telefoon of een immens computerscherm wordt gekeken, het moet er goed uit zien. Dat wordt bereikt met een zogenaamd responsive design. Allemaal puntjes die meetellen bij het bepalen van de score van jouw website, blogartikel of column.

Aanpassen voor een nog hogere indexering

Er valt altijd wel iets te verbeteren. Heb je alles op papier staan? Lees de hele tekst dan nog eens door. Nog beter: laat iemand anders het doen.

Kijk daarnaast kritisch naar de volgende punten.

• Heb je relevante koppen en staan daar de zoek- en sleutelwoorden in?
• Gebruik je door je tekst heen ook genoeg van die woorden?
• Heb je de oorspronkelijke vraag beantwoord?
• Zijn je afbeeldingen ondersteunend en hebben ze een alternatieve tekst ingesteld? Voor die alternatieve tekst gebruik je vanzelf je sleutelwoorden, anders is je afbeelding niet toepasselijk genoeg.
• De (grammaticale) correctheid van een tekst is ook een punt waarop Google je website scoort. Gebruik een online tool zoals LanguageTool om je tekst te controleren op grammatica en stijl. Het mag dan een robotje zijn dat die controle voor je uitvoert, maar dat is GoogleBot net zo goed.

Wij helpen je naar boven

Heb je geen blog en schrijf je geen column, maar wil je gewoon dat jouw website hoger in Google komt? Dan hebben we de oplossing voor je.

Onze SEO-dienst scant je website en geeft je advies over hoe je deze kan verbeteren. We bepalen op basis van je eigen zoekwoord extra sleutelwoorden en vertellen je welke teksten herschreven moeten worden.

Het doel? Die felbegeerde eerste pagina in Google!

We hanteren hierbij het zogenaamde no cure, no pay principe. Met andere woorden: sta jij niet op de eerste pagina, sturen wij je geen factuur. Mooi toch?

Volgende week deel twee in deze SEO serie, waarin het gaat over de handigste gratis tools om je SEO-tocht makkelijker te maken.

Hoe ver ga jij om je privacy en persoonsgegevens te beschermen?

Het begrip “privacy” wordt steeds breder uitgemeten. Twintig jaar terug kende ik het woord nog niet eens. Tien jaar terug had niemand het er nog over. Tegenwoordig kun je de TV niet meer aanzetten of een krant openslaan of je ziet of leest er weer wat over.

Februari dit jaar stond heel eventjes in het teken van WhatsApp. Natuurlijk ook van Facebook zelf (net zoals januari, maart en april), nota bene de eigenaar van het populaire communicatie-programma. Maar toch vooral WhatsApp zelf.

Want Facebook wilde WhatsApp (en Instagram ook, als we het er dan toch over hebben) samenvoegen met Facebook Messenger. Is dat dan zo erg?

Mijn kinderen appen regelmatig. Met papa, met mama, opa en oma’s. Iedereen krijgt berichtjes en dat vindt iedereen ook leuk. FaceBook doen ze nog niet aan, gelukkig. Toch zouden die berichtjes dan bij meneer Zuckerberg uitkomen.

Is het dat? Erg?

Misschien wel, misschien niet. Maar Facebook zelf hebben we inmiddels al iets te vaak gehoord in dezelfde adem met “datalek”. En dan worden we dus collectief wel wat nerveus.

Nerveus genoeg om WhatsApp dan maar links te laten liggen? Vast niet, want iedereen gebruikt het. Want er is geen alternatief.

Onzin natuurlijk, er zijn er legio. Maar zo lang “appen” nog cultureel gemeengoed is en “telegrammen” of “viperen” niet, is een massale overstap nog lang geen realistisch toekomstperspectief.

Je kunt het ook over een andere boeg gooien en je smartphone helemaal dumpen. De Librem 5 van Purism zou dan het nieuwe communiceren voor jou kunnen betekenen. Wat krijg je dan? Een telefoon waarmee je kunt bellen en smssen. Meer niet.

De ontwerpers vinden het ding ideaal voor ouders met kinderen. Want de kinderen worden niet getrackt en gesprekken worden niet afgeluisterd. Nou sorry hoor, maar zodra mijn kinderen een telefoon mee krijgen, staat die locatie-bepaling toch echt wel aan. Sterker nog, ik vind het knap van mezelf dat ik ze nog geen GPS-chip in hun schoenzool heb geplakt en ik geen melding krijg als ze zich drie meter te ver van hun tafeltje af bewegen.

Technisch gezien ziet het er mooi uit hoor, die nieuwe privacy-first telefoon. Een soort Nokia 3310 in een modern jasje. Oké, misschien wat kort door de bocht, want er zit ook een browser op. Maar toch, het lijkt een stap (of vijftien jaar) terug in de tijd te zijn.

Gek, hoe dat soort dingen lopen. Net zoals cowboylaarzen die mijn moeder helemaal hip stonden, haar dochter echt niet mee ten tonele kon verschijnen en haar kleindochters vriendinnetjes vervolgens weer jaloers op zijn.

Even wat anders. Kom je wel eens bij StarBucks, die Amerikaanse koffie-keten met het groene logo? Daar vragen ze je om je naam om op het styrofoam te krabbelen. Niet zo handig, als je beveiligingsexpert Jake Moore mag geloven.

Door de naam op een koffiebeker te matchen met een bedrijfslogo en vervolgens via LinkedIn bij een route-app uit te komen, kon de onderzoeker zonder al te veel moeite de populairste fiets- en wandelroutes van een nietsvermoedende koffieleut achterhalen. En met dat als startpunt, is het natuurlijk een eitje om een adres te achterhalen. Social engineering through coffee, zullen we het maar noemen.

Prettig kennis te maken, mijn naam is vanaf vandaag Jan.

En ach, je kunt het natuurlijk altijd nog over de criminele boeg gooien. Door een gestolen laptop aan gruzelementen te slaan als de politie bij je op de stoep staat bijvoorbeeld. Het excuus van een dief bij onze zuiderburen: “Want mijn privégegevens staan er nu op.” Tja, had je hem maar niet moeten jatten, zullen we maar zeggen.

De één zet zijn hele hebben en houwen online, de ander verhuist naar een hutje op de hei. Persoonlijk denk ik vooral aan mijn eigen veiligheid en die van mijn naasten. Accounts bescherm ik met degelijke wachtwoorden die ik regelmatig vervang. Sociale platformen weten pas dat ik op vakantie ben geweest als ik al terug ben. Mijn kinderen worden online nergens in getagd, zelfs al worden ze genoemd in een blog.

Dan ben je al een heel eind. Want als je al miljoenen weg kan sluizen via een financieel directeur of duizenden creditcardgegevens achterhaalt via slimme achterdeurtjes, moet je als doorsnee gebruiker toch wel van hele goede huize komen, wil je alle rotzooi weten te herkennen.

Bijna alle foto’s die je online vindt, zijn auteursrechtelijk beschermd. Een claim ligt op de loer als je ze gebruikt zonder er voor te betalen.

Ik koop een nieuwe telefoon altijd met het oog op de camera. Met drie kinderen in huis is er altijd wel een plaatje om te schieten.

Vreemd eigenlijk dat ik afbeeldingen voor websites en blog-artikelen van het internet af haal.

Ik ben daarin niet de enige. Jaarlijks verstuurt het ANP -het algemeen Nederlands Persbureau- honderden, zo niet duizenden schikkingsvoorstellen de deur uit. Tel uit je verlies.

Inbreuk

Bijna alle foto’s die je online vindt, zijn auteursrechtelijk beschermd. Ook als er geen expliciete melding, een auteur of fotograaf of een ©-tje op afgebeeld staat. Iemand heeft zich creatief beziggehouden met iets moois als resultaat, daar moet je hem of haar dan ook dankbaar voor zijn.

Als je een foto of afbeelding van een ander gebruikt, toon je die dankbaarheid door de licentiekosten te betalen. Afhankelijk van de professionaliteit van de fotograaf, kunnen die nog best wel eens hoog oplopen. Grofweg zijn er drie licentiemodellen:

1. Je betaalt één keer een flink bedrag, waarmee je de rechten opkoopt
2. Je betaalt één keer een kleiner bedrag, waarmee je je gebruiksrecht afkoopt. Het auteursrecht blijft bij de auteur
3. Je betaalt periodiek een vastgesteld bedrag en mag de foto daarvoor gebruiken. Als je stopt met het gebruik, hoef je ook niet meer te betalen.

Het ANP Heeft een duidelijke rekenformule voor de laatste situatie, die ze baseren op de tarievenlijst van Stichting Foto Anoniem. Onder andere het formaat van de gebruikte foto en de plek op de foto bepalen verder het verschuldigde bedrag.

Voorkomen

Het is natuurlijk zaak om te voorkomen dat een fotograaf of vertegenwoordigende partij zoals het ANP bij je aan komen kloppen met een schikkingsvoorstel of, spannender nog, een dreigbrief. De grote vraag is dan “Hoe doe je dat?”

Simpel! Gebruik geen foto’s die je op Google vindt.

Moeilijk? Helemaal niet, er zijn namelijk genoeg alternatieven.

#1 – Unsplash

Sommige fotografen vinden het prima dat je hun foto gebruikt op je website. Dit soort foto’s vind je op een online databank waarop je kunt zoeken, vinden en naar kunt linken.

Unsplash is hier een goed voorbeeld van. Iedere afbeelding die je hier vindt, mag je zonder enige vorm van betaling gebruiken voor je on- of offline doelen. En met ruim 850.000 afbeeldingen om uit te kiezen, is er voor ieder wel wat wils.

Alternatieve voor Unsplash zijn er ook: Pexels, Stocksnap, Reshot en Pixabay bijvoorbeeld. In totaal miljoenen foto’s die je zo mag gebruiken. Lang leve de CCO!

#2 – Shutterstock

Wie kent niet het grijze shutterstock-watermerkkruis in je zoekresultaten? Deze partij is een van de grootste als je het hebt over het online aankopen van afbeeldingen. En ja, zodra je ze koopt, is het watermerk natuurlijk weg.

Op zich zijn de prijzen niet verkeerd. Je betaalt op het moment van schrijven maximaal zo’n tientje per afbeelding, die prijs kan zakken als je een bundel koopt.

Alternatieven voor Shutterstock zijn er ook: iStock (Getty Images), 123RF en Photocase bijvoorbeeld. Anders foto’s, andere prijzen.

#3 – De fotograaf

Het grootste nadeel van de vorige twee alternatieven is de publiekelijkheid van de afbeelding die je kiest. Je bent namelijk niet de enige die zoekt en dus ook niet de enige die vindt. Beetje jammer als de foto van “jouw technische support specialist” op een andere website naar voren komt als “ons meest populaire mannelijke model voor eenzame vrouwen” (echt gebeurd!)

Vooral voor weinig veranderende projecten zoals een website, kun je met een eenmalige investering in eigen foto’s een heel eind komen. Een (freelance) fotograaf waarbij je zelf precies kunt bepalen waarvan er foto’s worden gemaakt en dat die foto’s alleen door jou gebruikt mogen worden, is dan een uitkomst.

Alternatieven? Afhankelijk van hoe je het woord freelance definieert. Je buurjongen of nichtje met een hobby in digitale beeldbewerking doet het misschien voor een doos Merci of een goede fles wijn al.

#4 – Zelf doen

Als je dan toch zo’n goede camera op je telefoon hebt en je maakt zo veel foto’s, waarom gebruik je ze dan niet?

Deze vraag heb ik mezelf al zo vaak gesteld. Ik ben geen fotograaf, is mijn antwoord aan mezelf dan. Maar ondertussen heb ik ondervonden dat met een simpel filter of een beetje knipwerk best een aardige en bruikbare afbeelding gemaakt kan worden. Nieuwe(re) telefoons zijn prima geschikt om een geschikte kwaliteit foto te maken en het basis-bewerken te doen, bijvoorbeeld op maat maken of een diepte-effect verwerken. Je weet wat ze zeggen: Oefening baart kunst!

Wij zijn de op 6 na grootste beveiligde mailprovider ter wereld. En dat door maar 1 aanpassing te maken in onze mailservers.

Wat zou jij doen als je in één klap de op 6 na grootste aanbieder TER WERELD zou kunnen worden?

Precies. Doen!

Congratulations and thanks to two newly DANE-enabled MX-hosting providers with DANE domain counts as follows:flexfilter․nl 16116 (now 7th largest)netzone․ch 5996 (now 10th largest)This evening’s DANE domain count is ~1.105 million. #DANE #DNSSEC

— Viktor Dukhovni (@VDukhovni) 26 maart 2019

Vanaf eind maart is DANE actief op al onze FlexFilter e-mailservers. Dat zegt je misschien niks, toch is het een interessante ontwikkeling. Kort gezegd: het is een grote stap richting volledige e-mailveiligheid.

Hoe werkt e-mail?

Om te weten wat voor een impact DANE heeft, moet je weten hoe e-mail werkt. Wat gebeurt er zodra je op het kopje verzenden klikt?

Vanaf dat moment communiceren er twee servers met elkaar. Die regelen onderling het verzenden en ontvangen van de mail. Dat gaat dan ongeveer zo.

Zo simpel is het dus.

Geheimzinnig doen

Aangezien digitale criminelen aan de lopende band manieren verzinnen om dit soort gesprekken af te luisteren, is hier iets voor ontwikkeld.

Het versleutelen van berichten is al zo oud als dat er knappe koppen bestaan. Julius Caesar gebruikte al een simpele vorm van versleuteling. Hij liet in al zijn persoonlijke brieven alle letters met een vast aantal verspringen. A werd d, b werd e en zo voorts. Alleen als je precies wist hoe veel letters er versprongen werd, kon je zijn bericht lezen.

Tegenwoordig gaat het een stuk geavanceerder. Het principe blijft wel hetzelfde. De e-mail wordt door de verzendende server versleuteld en door de ontvangende server ontcijferd. Hiervoor wordt door mailservers TLS (Transport Layer Security) gebruikt.

Zoals je ziet, begint het gesprek hetzelfde. Al snel geeft de ontvangende server aan de verbinding te willen versleutelen en wordt de boodschap voor Piet in geheimtaal verstuurd.

Dit is een veilig verbinding. Toch is die nog niet volledig betrouwbaar als er zich een stoorzender op de lijn bevindt.

De start van het gesprek begint namelijk leesbaar. Een hacker ziet niet alleen de “Hallo” van de verzendende server voorbij komen, maar ook het “beveiligde versie”-antwoord van de ontvangende server. Als dit antwoord wordt aangepast naar “wat heb je voor me”, wordt het bericht alsnog leesbaar verstuurd door de verzender.

Tweestapsverificatie

Het is dus van belang dat je als ontvangende server kunt vertrouwen op je antwoord. Ik ZEG dat ik kan versleutelen en ik wil dan ook dat jij HOORT dat ik dat kan. Hier komt DANE om de hoek kijken.

DANE staat voor DNS-based Authentication of Named Entities. Oftewel: controleer mijn naam ook even in het DNS. Een soort tweestapsverificatie voor servers.

Doordat de verzendende server nu niet van de ontvangende kant te horen krijgt dat er een beveiligde verbinding kan komen, maar dat zelf van tevoren al weet, kan er niemand meer tussen beiden komen. Ook al zou een hacker het antwoord van de ontvangende server aanpassen, zou de verzendende server alsnog het bericht versleuteld versturen.

Implementatie

Het mooie van TLS is dat het heel gemakkelijk in te stellen valt op een mailserver. Het implementeren van DANE heeft wat meer voeten in de aarde, toch is ook dat goed te doen.

Dat laatste zeggen we uit ervaring. In één klap staan we op #7 van mailproviders wereldwijd die deze manier van e-mailbeveiliging hebben geïmplementeerd. Daar zijn we (vinden we) terecht trots op.

Tegelijkertijd weten we ook dat we wereldwijd helemaal geen grote speler zijn en dat we onze plek binnen de kortste keren kwijt zijn. Maar tot er een nieuwe provider komt die ons in haalt, genieten we van de roem.

In de afgelopen maand is er weer het een en ander gebeurd in de WordPress plug-in community. In deze post lees je informatie over de plug-ins WooCommerce Checkout Manager, Yellow Pencil Visual Theme Customizer, Yuzo Related Posts en Pipdig Power Pack.

De volgende plug-ins zijn in april en mei 2019 in opspraak gekomen en vereisen je aandacht. Kijk dus meteen in je eigen site(s) of je een of meerdere van deze boosdoeners gebruikt.

• WooCommerce Checkout Manager
• Yellow Pencil Visual Theme Customizer
• Yuzo Related Posts
• Pipdig Power Pack (P3)

WooCommerce Checkout Manager

De WooCommerce Checkout Manager plug-in wordt gebruikt om het formulier van je WooCommerce afreken-pagina aan te passen. Eind april werden hier twee problemen in gevonden.

Het eerste lek maakt het voor niet als admin-ingelogde gebruikers mogelijk om bestanden te uploaden tijdens het afrekenen. Handig als je als klant een PDF-je mee moet sturen, niet als je dan opeens een hackscript voor je kiezen krijgt.

Bij het oplossen hiervan kwam er nog een tweede probleem aan het licht. In plaats van een bestand te uploaden tijdens het afrekenen, bleek het namelijk ook mogelijk te zijn om bestanden te verwijderen. En niet alleen je eigen bestanden, maar ieder willekeurig bestand in de uploads map.

Voor beide issues biedt WordPress out-of-the-box bescherming. Door de ontwikkelaars van de plug-in is code gebruikt die de standaard bescherming weet te omzeilen. Handig voor hun, niet voor de gebruikers.

Beide lekken zijn inmiddels gedicht in versie 4.3.

Yellow Pencil Visual Theme Customizer

De Yellow Pencil Visual Theme Customizer plug-in maakt het mogelijk om zonder programmeerkennis je thema’s aan te passen en is om die reden vrij populair bij WordPress-gebruikers.

De ontwikkelaars hebben helaas een fout gemaakt in hun denkproces. Ze bepaalden namelijk aan de hand van een URL of iemand een admin of geregistreerde gebruiker is. En een URL kan je in je browser intypen en valt dus erg gemakkelijk te neppen.

De nieuwe versie 7.2.1 is twee weken geleden uitgebracht en beschermt tegen deze hack.

Yuzo Related Posts

De Yuzo Related Posts plug-in biedt een (betere) mogelijkheid om aan elkaar gerelateerde berichten te beheren. Erg fijn als je regelmatig artikelen plaatst die bijvoorbeeld samen een serie vormen.

Deze plug-in is op 30 maart uit de WordPress plug-in lijst verwijderd, omdat een slordige onderzoeker een lek publiekelijk bekend maakte zonder de ontwikkelaar hiervan eerst op de hoogte te stellen.

Ook in deze situatie werd het lek veroorzaakt doordat de ontwikkelaar de standaard WordPress functionaliteit verkeerd gebruikt (of misbruikt). De ontwikkelaar heeft inmiddels zelf al het advies gegeven om de plug-in te verwijderen uit alle WordPress websites die hem gebruiken en werkt aan een nieuwe versie.

Pipdig Power Pack (P3)

Het verhaal rondom Pipdig is uitgebreid genoeg om een film van te maken. Het staat bol van de spanning, intriges en beschuldigingen.

De korte versie is dat de makers van de plug-in zelf verschillende achterdeurtjes in hun code hebben ingebouwd. Zo konden ze zich van afstand niet alleen toegang verschaffen tot je admin-dashboard, maar bevatte de plug-in ook een zogenaamde kill-switch. Hiermee konden ze, wederom van afstand, een hele website plat leggen of zelfs de database verwijderen.

Onder druk van onderzoekende partijen zoals WordFence en Jem Turner werd er een nieuwe versie uitgebracht zonder veel van de gehekelde achterdeurtjes. Een schuldbekentenis kwam er echter niet. Sterker nog, er werden stappen ondernomen om de hele zaak te verdoezelen. Archieven werden plotseling verwijderd, changelogs aangepast en alle aantijgingen werden ontkend.

Gelukkig hebben de onderzoekers alles opgeslagen en is er dus voldoende bewijslast om alle plug-ins en thema’s van Pipdig per direct te verwijderen en nooit meer te vertrouwen.

Heb je een geniaal idee maar is je domeinnaam bezet? Niet getreurd! Met een andere extensie maak je weer kans én ben je helemaal hip.

Het tijdperk dat .nl de enige (logische) keuze is bij het bestellen van een domeinnaam is al lang voorbij. Tegenwoordig kun je kiezen uit ruim duizend verschillende extensies (het laatste stukje van een web-adres na de punt).

Iedereen kent .com, .eu en .net en onze vriendelijke buren .be, .de en .fr. Tegenwoordig zijn .shop, .me en in sommige contreien zelfs .amsterdam of .frl bekend.

Als die nou niet je aandacht trekken, probeer dan eens een van de volgende opties.

#1 – Wie is hier nou de .expert?

Wat het ook is, jij weet het. Iedereen komt bij jou met hun problemen. Helpen is jouw tweede natuurlijk. En je domeinnaam? Die ondersteunt dat perfect.

Daarom is de .expert extensie voor jou perfect. Want dat ben je. Een .guru op jouw vakgebied. Een .pro die alles kan en overal .helpt. Je .tips geef je als een .ninja. En ja, dit zijn allemaal echte extensies.

#2 – .Blog jij al?

Schrijf wat er in je op komt. Maak het interessant om te lezen en te delen en de fans volgen vanzelf.

Je domeinnaam sluit daar naadloos op aan. Met een .blog website weet iedereen wat je doet en wat je wilt.

#3 – Ontwikkel die .app

Ontwikkelaars zitten vaak niet verlegen om creatieve ideeën. Nieuwe apps of platformen zouden als paddenstoelen uit de digitale grond schieten als iedere developer de tijd en ruimte (en financiële stimulans) zou krijgen om hun brainfarts ten uitvoer te brengen.

En als dat dan zou gebeuren, dan doen ze dat natuurlijk met een bijpassende website en domeinnaam. De .app en .dev extensie is hun op het lijf geschreven. Bijkomend voordeel: beide extensies verplichten een SSL-certificaat en zijn dus per definitie beveiligd!

#4 – .Group

In het handelsregister van de Kamer van Koophandel kun je zoeken. Best handig af en toe.

Zo weten we bijvoorbeeld dat er 21.720 resultaten zijn als je zoekt op group. En bijna anderhalf keer zo veel met de zoekterm groep. Dat is veel.

Met zo veel (gedeeltelijke) naamgenoten is een domeinnaam die eindigt op .group bijna een verplichting om je te onderscheiden. Net iets anders dan de standaard .nl, maar toch heel herkenbaar én het staat geweldig op je visitekaartje.

#5 – Join the .club

We willen allemaal wel ergens bij horen. Of het nou bij vrienden, collega’s of wildvreemden is, saamhorigheid is altijd wel ergens te vinden.

En als je dan zo’n .club hebt om trots op te zijn, dan wil je daar een website voor maken. Met je eigen domeinnaam.

Keuze te over. Dus. Wat wordt jouw nieuwe domeinnaam?

Bonus: vraag er aandacht voor

Ziek zijn is niet leuk. Helemaal niet als het een ernstige, onbehandelbare of ongeneeslijke ziekte is.

.hiv is speciaal in het leven geroepen voor de 37 miljoen mensen met HIV. Om er aandacht voor te vragen. Verhalen te delen, steun te betuigen of informatie te verstrekken.

En het West-Indische eiland Montserrat zal het er niet om gedaan hebben, maar met hun lokale extensie .ms kan je datzelfde doen. Zo kun je zelfs je domeinnaam-extensie maatschappelijk verantwoord inzetten.

We hoeven niet te wachten op een politiek akkoord, want “een betere wereld begint bij je zelf”.

Als je de afgelopen maanden niet onder een steen hebt geleefd, heb je iets meegekregen over alle klimaatdiscussies.

Volgens Ed Nijpels, voorzitter van het Klimaatberaad, komt het veelbesproken akkoord inmiddels wel heel dichtbij. Maar hij houdt daarbij wel een slag om de arm. “Er is nog wel extra werk nodig.”

Flexwebhosting draagt graag haar steentje bij. Zo trekken we sinds vorig jaar bijvoorbeeld van servers die niet gebruikt worden de stekker er uit. Per maand bespaart dit ruim 5000 kWh aan stroom, net zo veel als het gebruik van ruim 20 huishoudens.

Ook op ons kantoor in Eindhoven nemen we maatregels. Zo hebben we het pand eind 2017 voorzien van duurzame LED-verlichting. Ten opzichte van de 64 TL-bakken die we hebben weggehaald, besparen we met de Balaena Ledlights z’n 54 kWh per dag. Een stuk minder dan in ons datacenter dus, maar toch een respectabele 14000 kWh op jaarbasis. Dat naast de CO²-reductie van bijna 6000 kg per jaar.

Ook onze datacentra zijn groen. Ze zijn er niet op uitgekozen, maar de groenheid van onze nieuwste aanwinst heeft toch zeker wel een rol gespeeld bij het maken van de uiteindelijke keuze.

Zo is Switch Datacenter klimaatneutraal en is het voorzien van 100% groene stroom. Het koelen van de honderden servers die er zijn ondergebracht gebeurt met een zogenaamde hot corridor. Ja, het is wat warmer voor de engineers die er rond struinen, maar het is een stuk zuiniger dan de traditionele cold corridor.

“Het werk aan de tafel van het klimaatakkoord is nog niet helemaal klaar totdat de handtekeningen er onder staan,” zegt Nijpels er over. Maar, als iedereen doet wat hij of zij kan, hoeven we niet te wachten op een krabbeltje om actie te ondernemen.

Met een nieuwe techniek tilt Flexwebhosting digitale recycling naar een nieuw niveau.

Als je de afgelopen maanden niet onder een steen hebt geleefd, heb je iets meegekregen over alle klimaatdiscussies.

Volgens Ed Nijpels, voorzitter van het Klimaatberaad, komt het veelbesproken akkoord inmiddels wel heel dichtbij. Maar hij houdt daarbij wel een slag om de arm. “Er is nog wel extra werk nodig.”

Flexwebhosting draagt graag haar steentje bij. Zo trekken we bijvoorbeeld van servers die niet gebruikt worden de stekker er uit. Per maand bespaart dit ruim 5000kWh aan stroom, net zo veel als het verbruik van ruim twintig huishoudens. Alle andere servers zetten we tussen middernacht en 08:00 ’s ochtends op stand-by. Hierdoor starten ze iedere ochtend lekker snel op en komt de tijdens de nachtelijke uren ontvangen e-mail vlot binnen.

Maar, we gaan verder!

Hoe vaak zie je www. en .nl terug in een websiteadres?

Wij hebben een speciale techniek ontwikkeld waarmee we deze herbruikbare delen van een domeinnaam kunnen recyclen. Hierdoor worden er minder karakters milieuonvriendelijk weggegooid en verminderen ook wij de nodeloze verloedering van onze digitale maatschappij.

Naar verwachting wordt het Klimaatakkoord in mei of juni dit jaar ondertekend. Of onze techniek hier ook al in zal worden opgenomen, is bij Nijpels niet bekend. “Het werk aan de tafel van het Klimaatakkoord is dus nog niet helemaal klaar totdat de handtekeningen er onder staan,” aldus de man aan het hoofd van de tafel.

In de hoop dat wij ook onze handtekening mogen komen zetten, passen we onze huisstijl alvast aan. De achtergrond van onze posts op Facebook en LinkedIn en de headers van onze website, blog en kennisbank zijn in ieder geval ook mooi groen.

Neem even vijf minuten pauze en zorg dat jouw website ook in 2019 online blijft. Je hoeft maar twee simpele dingen te controleren.

Waarom heb jij een website? Rare vraag eigenlijk hè, als je het zo bekijkt. “Om online te zijn,” is het meest gehoorde antwoord. “Om mijn klanten ook buiten kantoortijden te kunnen bereiken” is een ander. Goede redenen.

Wat zou er gebeuren als je niet meer online zou zijn? Heb je daar al eens over nagedacht? Welke impact zou dat hebben en hoe hard ga je er voor werken om te zorgen dat dat niet gebeurt?

Shared hosting update

Er is inmiddels veel over geschreven. Flexwebhosting is bezig met onderhoud wat haar weerga niet kent. Ons hele shared hosting platform wordt op de schop gegooid. En komt er natuurlijk beter uit.

Wat merk jij daar van? Bijzonder weinig. Het grootste gedeelte doen we ’s nachts of anders achter de schermen. Behalve…

Zonder in al te veel technische details te gaan: Wij gaan PHP 5 uitzetten. Niet vrijwillig en niet omdat we dat nou leuk vinden, maar omdat in december 2018 officieel de ondersteuning voor deze scripttaal op houdt, lees hier. En dan moeten wij (en iedere andere hostingprovider met ons) de veiligheid voorop stellen en heel, heel goed in de gaten houden wat er gaat gebeuren.

Probleem: als we dat doen, zullen er best wat websites gaan omvallen. Omdat ze oud, nee, antiek zijn. Dan is zo’n online website opeens offline. Gelukkig kun je dat zelf voorkomen.

Is jouw website al klaar voor de nieuwe versie van PHP? Misschien wel, als je de volgende dingen doet of al hebt gedaan.

Onderhoud

Veel mensen verkijken zich op het werk wat het hebben van een website met zich meebrengt. Natuurlijk, we zijn niet allemaal wizzkids. En als je iemand anders het werk voor je kunt laten doen en zelf kunt genieten van de vruchten die zo’n mooie, professioneel ontworpen website afwerpt, ben je al snel blij.

Maar dan staat die er. Online, te pronken. Op je visitekaartjes, je briefpapier en de advertentie in de krant. Dan begint het eigenlijk pas. Want vanaf dat moment moet je aan de bak.

Onderhoud. Dat kun je zelf doen, maar ook uitbesteden aan iemand anders. De partij die de site voor je gemaakt heeft bijvoorbeeld. Een onderhoudscontract met een periodieke APK-keuring. Kost misschien wat, maar dan hoef je het niet zelf te doen.

Als je het wel zelf doet, zijn er voldoende artikelen (bij ons en op de rest van het wijde web) te vinden om je daarbij te assisteren en ondersteunen. Hoe je het ook doet, maakt niet uit. Het belangrijkste is dat het gebeurt.

Goed, de klok tikt door. Terug naar de kern van het verhaal. Wat is de volgende stap?

Versie controleren

Eerst maar het meest belangrijke. Updaten. Want het zorgen voor onlineheid begint bij een up-to-date website.

Voor websites met een CMS, zoals WordPress en Joomla, is dat heel makkelijk. Log in in je dashboard, zoek ergens naar een knopje ‘updates‘ en volg de stappen.

Zo lang er nieuwe versies beschikbaar zijn of je de laatste versies hebt, zit je prima. Er van uitgaande dat je een systeem plus plug-ins gebruikt die in het afgelopen jaar nog zijn bijgewerkt in ieder geval. Ieder beetje zichzelf respecterende programmeur die ook maar iets van code heeft geschreven waar jouw website nu gebruik van maakt, gebruikte op dat moment al lang geen dingen meer die vandaag de dag niet meer ondersteund worden.

Heb je geen bekend CMS maar is je website gemaakt door iemand die zelf iets in elkaar heeft gesleuteld (al dan niet professioneel), dan wordt het een stukje omslachtiger. Zelf controleren wordt dan namelijk lastiger en je kunt hiervoor het beste een mailtje sturen naar degene die je website gemaakt heeft. Dat hoeft niet veel te zijn hoor.

Beste lezer, Jullie hebben voor mij de website gemaakt voor www.(…).nlMijn hostingprovider gaat PHP 5.6 binnenkort uitfaseren. Kunnen jullie me vertellen of de website geschikt is voor PHP 7.2? Zo niet, wat moet er gebeuren om dat wel zo te laten zijn?Alvast bedankt!

Wacht even op antwoord. Volg de stappen die aangegeven worden. Bij geen gehoor, trek nog eens aan de bel.

Let op: hoor je nou helemaal niks meer terug, is het bedrijf inmiddels opgehouden te bestaan of is je webmaster in de tussentijd overleden (je zult je verbazen hoe vaak dit voorkomt)? Neem dan contact op met ons, wij kunnen je misschien met onze opschoon-service of managed WordPress hosting verder helpen.

Eigenlijk ben je dan al klaar. Maar, als je toch bezig bent…

Nieuwe website

Dat je up-to-date bent, wil niet altijd wat zeggen. “Ik draai Joomla 1.5.26 en er is geen 1.5.27, dus ik kan niks meer doen.” Toch?

Technisch gezien heb je… Nee, totaal geen gelijk. Dat is hetzelfde als zeggen “Ik gebruik Windows 95 en daar zijn geen nieuwe updates voor, dus ik ben veilig.” Of “Mijn auto heeft vijf jaar geleden nog een APK keuring doorstaan, dus die is helemaal veilig.”

Kijk dus ook even naar of er een nieuwe versie is voor jouw CMS. Voor WordPress zit je dan te kijken naar 4.9 of 5.0. Joomla zit tegenwoordig op 3.9 en Magento op 2.3.

Tip: Ook hier geldt: we kijken graag even met je mee als je er zelf niet uit komt!

Verschillende studies hebben uitgewezen dat een doorsnee volwassene gemiddeld zo’n tweehonderd tot tweehonderdvijftig woorden per minuut kan lezen. Dat betekent dat jij, als gemiddelde lezer, nu zo’n vier minuten verder bent dan toen je begon met lezen. Hopelijk denk je nu “dat was nuttig, maar ik heb vorige week nog alles een update gegeven”. Gefeliciteerd, ga zo door.

Heb je dat niet, dan hoop ik dat je nog steeds denkt dat je de afgelopen paar minuten nuttig hebt besteed. Ga er mee aan de slag. Ga wat doen, stel wat vragen. Zorg dat jouw website in 2019 ook gewoon online blijft.

Vanaf nu is PHP 7.0 officieel niet meer ondersteund. Dat wil zeggen dat je weer aan de bak mag. Of moet. Of dat je ons aan het werk zet, dat mag ook.

Jouw server is oud, traag en onveilig.

Niet leuk om te horen, toch? Ik begrijp heel goed dat zo’n binnenkomer best hard aan kan komen. Want als je als webhoster van welke schaal dan ook een ding niet wil horen, is het wel dat websites traag zijn, technieken antiek en veiligheid ver te zoeken.

Dat zijn dan ook precies de drie redenen waarom je je server moet gaan updaten. En je websites ook trouwens. Dat hoort er bij.

Onveilig

Ik doe niet aan ‘lest best’. Kwestie van prioriteiten stellen en dit is er zo eentje van. Een server hoort veilig te zijn. Dan heb ik het niet eens over een SSL-certificaat voor de mailserver of een firewall voor buitenlandse IP-adressen, maar gewoon over het gebruiken van oude versies.

Afgelopen maandag (3 december 2018) viel er weer een versie van PHP uit de gratie. 7.0 is niet meer. Tijd om te upgraden dus, als je dat nog niet gedaan hebt. Want vanaf nu worden er geen updates of patches meer uitgebracht voor deze branch van de populaire scripttaal.

Als je dan toch bezig bent, let dan ook meteen even op of je PHP 5.6 nog draait. Support hierop vervalt eind dit jaar en dan kun je maar beter goed zitten. Advies is dan ook om over te stappen op PHP 7.2, die wordt in ieder geval nog ondersteund tot eind 2020.

Snelheid

“Mijn website is echt niet vooruit te branden. Kunnen jullie daar wat aan doen?”

Het is een vraag die we regelmatig krijgen. Kijk, we verkopen natuurlijk graag updates naar superdeluxe servers met gigabytes aan RAM en tientallen processoren, maar vaak is dat niet nodig. Een up-to-date server doet al veel. Het verschil tussen PHP 5.6 en 7.2 in snelheid is aanzienlijk. Zo kwamen we in ons artikel over de shared hosting upgrades tot de volgende conclusie: WordPress kan tot drie keer meer aanvragen per seconden afhandelen op PHP 7.2 dan op PHP 5.6.

Dat neemt natuurlijk niet weg dat je de website zelf ook nog mee moet hebben. Als je zevenendertig plug-ins in je WordPress-portfolio hebt staan, gaat je site nooit snel zijn. Dan kun je nog die vlammende server hebben, maar als je dan geen caching-plug-in of module gebruikt, haken wij ook af.

Maar feit blijft wel dat nieuwe, up-to-date versies van belangrijke onderdelen zoals PHP, MySQL en Apache een hele hoop kunnen schelen. Beter omgaan met geheugengebruik en sneller dingen uit kunnen rekenen betekenen minder belasting op de hardware.

Dat geldt trouwens ook voor het besturingssysteem. CentOS 5 kan echt niet meer.

Oud

“Ik heb de harde schijf van mijn oude computer vervangen door een SSD. Nu loopt-ie weer als een zonnetje!”

Klinkt bekend, toch? Inderdaad. Zet er wat nieuwe hardware in (met name: snellere) en je merkt het verschil.

Bij een server is dat niet anders. Draai je nog op een SATA of SAS server (de meeste Basic VPSsen en oudere types Premium) is dit misschien dan ook het moment om eens even kritisch te kijken naar de hardware. In combinatie met een upgrade van besturingssysteem kan een nieuwe VPS op SSD wonderen doen.

Drie, twee, een… ACTIE!

Dus, wat ga je doen? Eerst maar eens controleren welke versies je gebruikt. Kijk dan vooral naar PHP en je besturingssysteem (meestal CentOS).

Zit je al op CentOS 6 of 7 en draai je al met PHP 7.1 of 7.2? Dan zit je safe. Natuurlijk, even de laatste updates uitrollen kan nooit kwaad, maar je zit in ieder geval niet op hete kolen.

Anders wordt het als de server nog draait op CentOS 5 of je websites gebruik maken van PHP 5 (ongeacht welke versie) of 7.0. Neem dan even contact op met mijn collega’s van de technische dienst om een upgradepad te gaan opstellen. Je zorgt er dan natuurlijk zelf voor dat je website ook geschikt zijn voor die nieuwe versies (dus geen Joomla 1.5 of WordPress 3 meer alstublieft dankuwel). Wij regelen dan het gedeelte PHP- en OS-upgrade wel.

Soms is upgraden trouwens niet mogelijk, bijvoorbeeld bij een overstap van CentOS 5 (of 6) naar 7. Dan krijg je een nieuwe server van ons en kun je je websites overzetten of doen wij dat in een keer voor je. Dat is dan ook het moment om een andere server te overwegen. Bijvoorbeeld zo’n lekker snelle SSD VPS.

Dus, daar heb je het. Drie redenen om aan de slag te gaan. Klaar voor de start?

Na de overname in 2017, verandert certificatenleverancier Comodo haar naam om een eigen identiteit te lanceren.

“What’s in a name?”

Die vraag stelde Shakespeare ons een hele tijd geleden al. Een goede vraag ook.

Na de overname van Comodo door Francisco Partners in 2017, hebben ze daar goed over nagedacht. Naast het “simpele” SSL-certificaat is er namelijk gekeken naar andere mogelijkheden en diensten waardoor dat Comodo zich zou kunnen onderscheiden en beter aan zou kunnen sluiten bij de steeds veranderende digitale wereld.

Als je jezelf op zo’n manier opnieuw uitvindt, dan mag dat een naam hebben. Een naam die de verandering benadrukt en losbreekt van het oude. Die het stigma “Comodo doet alleen maar certificaten” achterlaat en de toekomst vrij maakt.

Voor jij en wij als gebruiker verandert er niets, behalve de naam. De Comodo SSL-certificaten verkopen wij vanaf nu onder de nieuwe naam.

“That which we call a rose, by any other name would smell as sweet.”

Sectigo. Net zo veilige certificaten, maar net dat beetje meer.

Lees meer over de aankondiging op de website van Sectigo (formerly Comodo CA)

In de afgelopen maanden is er bij de meest gebruikte browser ter wereld het een en ander veranderd in de browserbalk. En dan met name het welbekende ‘groene slotje’.

Met een marktaandeel van zestig procent is Chrome nog steeds de meest gebruikte browser ter wereld. Niet vreemd dat wijzigingen die ze bij Google aankondigen dan ook veel effect hebben.

Afgelopen maanden hebben ze bijvoorbeeld een aantal wijzigingen doorgevoerd in de browserbalk en dan met name het welbekende ‘groene slotje’.

Medio dit jaar zijn ze daar al mee begonnen. Alle websites krijgen vanaf dat moment de status ‘niet veilig’ als ze via HTTP worden bezocht, ook al worden er geen gegevens verzameld of verstuurd. Zodra je ook maar één invoerveld op je website laat zien, wordt een bezoeker zelfs met een rode waarschuwing geconfronteerd. Alleen als je een website via HTTPS bezoekt, staat er ‘veilig’ in de adresbalk.

Daar komt twee maanden later ook verandering in. Dan verdwijnt zelfs het label ‘veilig’ uit de adresbalk en blijft alleen het slotje over. Volgens Emily Schechter, productmanager van de Chromium browser waar Chrome op gebaseerd is, is het een logische keuze.

“Gebruikers moeten er van uit kunnen gaan dat het internet standaard veilig is en krijgen een waarschuwing wanneer dat niet zo is.”

Hier houdt het nog niet op. In de toekomst zal zelfs het slotje gaan verdwijnen. Als je er inderdaad vanuit mag gaan dat ieder bezoek naar een website beveiligd gebeurt, dan hoef je ook geen slotje meer te laten zien.

Google neemt hiermee het voortouw, misschien wel in de hoop dat andere browsers zullen gaan volgen. Of ze dat gaan doen, is nog bij niemand bekend. Maar het feit is wel dat je voor (gemiddeld genomen) zestig procent van al je bezoekers eigenlijk al niet meer weg komt met een website zonder SSL-certificaat. Als je daar namelijk niet voor zorgt, zal het stempel NIET VEILIG misschien wel bezoekers en potentiële klanten weg gaan jagen.

Tijd voor paniek? Nee, helemaal niet! We zouden geen goede hostingprovider zijn als we je hier niet mee zouden kunnen helpen, want ook wij vinden een veilig internet belangrijk. Neem contact op met onze verkoop-afdeling voor de mogelijkheden voor jouw website.

Dag, groen slotje. We zullen je missen.

Het zal niemand ontgaan zijn dat we bij Flexwebhosting ons shared hosting platform flink aan het upgraden zijn. Daar komt het een en ander bij kijken en, hoewel er zo veel meer mogelijkheden ontstaan, betekent het ook dat er afscheid genomen moet worden van sommige websites. Gewoon, omdat ze te oud zijn. Maar als we het hebben over voordelen, wat bedoelen we daar dan mee? Onder andere snelheid, stabiliteit en veiligheid zijn hier belangrijke pijlers.

De ontwikkelingen in hostingland volgen elkaar in rap tempo op. Gelukkig niet zo snel als in de programmeer-wereld, waar PHP nog altijd de underdog is, JavaScript het ene na het andere framework uitspuugt en termen als SCRUM, AGILE en SPRINT al ouderwets zijn eer dat je doorhebt wat ze eigenlijk betekenen.

Voor hostingservers gaat het allemaal wat gezapiger. Een updateje hier, een nieuwe functie daar. Dat valt allemaal nog bij te houden.

Het zal niemand ontgaan zijn dat we bij Flexwebhosting ons shared hosting platform toch flink aan het upgraden zijn. Daar komt het een en ander bij kijken en, hoewel er zo veel meer mogelijkheden ontstaan, betekent het ook dat er afscheid genomen moet worden van sommige websites. Gewoon, omdat ze te oud zijn.

Maar als we het hebben over voordelen, wat bedoelen we daar dan mee? Onder andere snelheid, stabiliteit en veiligheid zijn hier belangrijke pijlers.

Snelheid

Iedereen wil natuurlijk dat zijn of haar website zo snel mogelijk in beeld verschijnt. Online zijn verschillende tools te vinden die daar hele statistieken op loslaten. Jouw website is sneller dan 95% van alle websites zie je dan bijvoorbeeld. Kijk, dan zit je goed.

Snelheid is -en blijft- relatief. Voor de een moet er binnen milliseconden resultaat zichtbaar zijn, voor de ander is twee seconden wachten best nog acceptabel.

De snelheidswinst op ons nieuwe platform wordt op verschillende punten gehaald. Niet alleen wordt er gebruik gemaakt van nieuwe hardware met krachtigere processoren en snellere harde schijven, maar tevens is de software volledig up-to-date. Dat betekent ook dat we gebruik maken van PHP 7 in plaats van PHP 5.

En nee, we hebben geen versie overgeslagen. PHP 6 is er gewoon niet.

Turbocharging the web

Waarom is PHP 7 zo veel sneller dan zijn voorganger? Want dat het sneller is, daar twijfelt niemand over. Het Zend Performance Team maakte er een mooie infographic over en de resultaten zijn niet mis. Oké, dit is misschien een gevalletje “wij van WC eend adviseren WC eend” (Zend is namelijk ook betrokken bij de ontwikkeling van PHP), maar de gepubliceerde resultaten worden over het hele web gereproduceerd.

Een van de punten waar de nieuwe versie van PHP in uitblinkt, is geheugengebruik. Er zijn verschillende partijen geweest die hun eigen testresultaten hebben gepubliceerd, waarbij gebleken is dat PHP 7 tot 25% minder geheugen in beslag neemt dan zijn voorganger. Dit wordt toegeschreven aan onder andere de implementaties van nieuwe hash tabellen en zval representaties, maar verdere verdieping hier in zou te diep in de materie gaan voor dit artikel.

Veel partijen hebben hun eigen benchmarks gedraaid en dan is WordPress, het meest populaire CMS ter wereld, natuurlijk de gedoodverfde favoriet om mee te testen. Twijfel je nog of PHP 7 echt zo snel is?

WordPress kan tot drie keer meer aanvragen per seconden afhandelen op PHP 7.2 dan op PHP 5.6.

Duidelijker kunnen we het niet maken.

Overigens, ander leuk feitje wat uit de resultaten van bijvoorbeeld Kinsta naar voren komt: WordPress is vele malen sneller dan andere semi-populaire CMSen.

• WordPress 4.9.4 PHP 7.2: 148.80 req/sec
• Joomla! 3.8.5 PHP 7.2: 42.36 req/sec
• Drupal 8.4.4 PHP 7.1: 19.15 req/sec

Ook in de webshop-markt doen ze het niet slecht en doen ze maar nauwelijks onder voor Prestashop:

• Prestashop 1.7.2.4 PHP 7.2: 111.48 req/sec
• WordPress 4.9.4 + WooCommerce 3.3.1 PHP 7.2: 92.60 req/sec
• Magento 2 (CE) 2.1.11 PHP 7.1: 29.84 req/sec

Je kunt er lang en breed over praten, maar het blijft een feit. Als je het hebt over ‘snel, sneller, snelst’ valt PHP 7 in de laatste categorie.

Stabiliteit

Een website moet online zijn. Daar heb je immers een website voor.

De stabiliteit van een server wordt bepaald door verschillende factoren. Aan de software-kant heb je het besturingssysteem en de webserver, gesteund door bijvoorbeeld PHP en MySQL. Hardwarematig zijn er processoren, geheugenbanken, harde schijven en netwerkkabels.

Het nieuwe platform is een stuk stabieler dan het ‘oude’. Dat komt bijvoorbeeld doordat we gebruik maken van een zogenaamd cluster, waarbij servers niet meer afhankelijk zijn van één processor, één moederbord, één voedingskabel en ga zo maar door. Het is nu een samenwerkingsverband tussen tientallen servers, die allemaal hun processoren, geheugen en schijven ter beschikking stellen.

Calamiteiten

Stel dat er een server uit valt, bijvoorbeeld omdat het moederbord kapot gaat, dan is dat jammer. Op het oude platform betekende dat, dat een shared hosting server dan volledig onbereikbaar was en dat we vanuit een systeem back-up een nieuwe server op moesten zetten. De downtime was in zo’n geval dan vaak vier tot acht uur.

Binnenkort maakt het uitvallen van een server niet meer uit. Natuurlijk, het is jammer, maar niemand zal er veel van merken. Waar die ene server namelijk de geest geeft, zijn er tientallen anderen die klaar staan om het over te nemen. Hetzelfde gebeurt eigenlijk op iedere werkvloer als een collega ziek is. Ja, iedereen loopt een stapje harder, maar het resultaat blijft hetzelfde. En daar gaan onze servers ook voor zorgen.

Zuinig zijn

Naast het vervangen van gecrashte hardware, gaan de nieuwe versies van CentOS 7 (het besturingssysteem) en Apache 2.4 (de webserver) ook beter om met de hardware die ze krijgen toegewezen.

Bij zowel CentOS als Apache wordt dit voordeel vooral gehaald uit een beter geheugengebruik, net zoals bij PHP dus. Bij CentOS gaat dit bijvoorbeeld om een nieuw geïntroduceerde Swap Memory Compression, waarbij er minder vaak en zwaar op de harde schijf geleund wordt.

Als je zuiniger bent met wat je tot je beschikking hebt, kan je er meer of langer mee doen. Dat geldt voor een zakje dropjes en een goede fles rode wijn dus net zo goed als voor een processor en RAM-geheugen. Dat betekent aan de ene kant minder vervangen en aan de andere kant meer stabiliteit en snelheid voor jouw website.

Veiligheid

Ten slotte moet een server natuurlijk veilig zijn. Je wilt dat je bezoekers er op kunnen vertrouwen dat jouw website veilig is en dat er geen gegevens worden buitgemaakt via verborgen achterdeurtjes.

Op het nieuwe platform zijn alle servers beveiligd met een Flexwebhosting SSL-certificaat, zodat alle verbindingen naar DirectAdmin, de mailserver, FTP en bijvoorbeeld webmail en PHPmyAdmin versleuteld worden. Via die route zullen er dus geen wachtwoorden of andere gegevens kunnen worden gekaapt.

Daarnaast wordt er gebruik gemaakt van de nieuwste versies van bijvoorbeeld OpenSSL met TLS 1.2 ondersteuning en krijgen websites met SSL-certificaten altijd een A+ score bij bijvoorbeeld SSLlabs (https://www.ssllabs.com/ssltest/).

Ook hebben we afscheid genomen van het al sinds 2013 niet meer geüpdatete Squirrelmail. Deze webmail client was ideaal voor shared omgevingen omdat het, mede door het nogal gedateerde uiterlijk en de geboden functionaliteit, bijna geen belasting veroorzaakt op een server. Inmiddels is RoundCube echter uitgegroeid tot een volwaardig en degelijk alternatief.

En als je je bedenkt dat er sinds de eerste publieke bèta van PHP 7.0.0 al een kleine 1400 bugs zijn opgelost en aan de basis van een hack vaak een foutje ligt, kunnen we met zekerheid stellen dat de laatste nieuwe versie van PHP 7.2 een stuk veiliger is dan welke andere PHP 7 of PHP 5 versie dan ook.

Ten slotte draaien we dus die nieuwe versie van PHP. Je kunt dus ook je WordPress, Joomla, Drupal of welk ander pakket je dan ook gebruikt upgraden naar of opzetten met de laatste nieuwe versie die je vinden kunt. Hoera!

Conclusie

Het updaten van een server heeft nogal wat voeten in de aarde. Wij beheren ruim drieduizend servers, die allemaal geüpdatet moeten en gaan worden of dat al zijn.

We proberen hier niemand mee lastig te vallen. Helaas valt dat niet te voorkomen en zullen er altijd websites zijn die foutmeldingen gaan tonen of e-mail adressen niet meer correct werken vanwege een overvol pakket.

Dat vinden we natuurlijk vervelend. We hopen dan ook dat de uitdagingen die we creëren niet opwegen tegen alle voordelen die een up to date server met zich mee brengt.

Bronnen

Jawel, allemaal extern én via HTTPS!

• https://kinsta.com/blog/php-7-hhvm-benchmarks/#
• https://vanseodesign.com/web-design/performance-php-7/
• https://www.aerospike.com/blog/php7_php5/
• https://www.zend.com/en/resources/php7_infographic
• https://www.rootusers.com/web-server-performance-benchmark/
• https://www.youtube.com/watch?v=_MquA9rM5ek
• https://access.redhat.com/documentation/en-us/red_hat_enterparise_linux/7/html/7.0_release_notes/chap-red_hat_enterprise_linux-7.0_release_notes-kernel
• https://httpd.apache.org/docs/2.4/new_features_2_4.html

Met digitaal opruimen is niets mis, zou je zeggen. Totdat je iets weggooit wat je nog nodig zou kunnen hebben.

In het rijtje ‘hoe kunnen we misbruik maken van’ kwam er recentelijk weer een leuk artikel voorbij op security.nl. De titel van het artikel is ‘Advocatenkantoren “gehackt” via verlopen domeinnamen’, wat meteen al een aantal haren overeind laat komen.

Advocatenkantoren en domeinnamen. Schijnbaar geen goede combinatie.

Oorzaak

Opruimen. De een kan het met z’n ogen dicht, de ander heeft er wat meer moeite mee. “Kan dit echt niet meer van pas komen?” “Maar ik heb dat vijf jaar geleden nog eens gebruikt!” “Het staat toch niet in de weg?”

Met digitaal opruimen is ook niets mis. Oude accounts die je niet meer gebruikt periodiek opschonen bijvoorbeeld. Een back-up van een site van drie jaar geleden, terwijl je inmiddels al vijf nieuwe designs (en twintig nieuwe back-ups) hebt. Een domeinnaam die je ooit eens hebt aangeschaft maar nooit wat mee hebt gedaan.

Allemaal goede redenen om die digitale bezem weer eens uit de kast te halen. Dat hoeft niet te wachten tot het voorjaar, dat mag gewoon op ieder willekeurig moment.

In het geval van de genoemde advocatenkantoren gebeurde er echter iets anders. Die lieten ook domeinnamen verlopen in het kader van ‘opgeruimd staat netjes’, maar hielden geen rekening met het effect daarvan.

Even nadenken voordat je wat doet

De wereld van ondernemers is dynamisch. Bedrijven worden continue gestart, gaan samenwerken, fuseren, veranderen van naam of houden helemaal op met te bestaan. De domeinnaam ‘jansenenjanssen.nl’ heeft voor jou geen waarde meer als je bedrijf inmiddels is omgedoopt naar Jansen & Willemsen. Je bewaart zo’n domeinnaam dan nog even om al je mailaccounts over te kunnen zetten, maar dan is het een kwestie van ‘weg is weg’.

Daar ontstaat vaak het probleem. Want niet iedereen uit jouw klantenbestand is zo alert. Jouw naam en e-mailadres staan nog in tientallen, honderden of misschien wel duizenden adresboeken van klanten, leveranciers of andere belanghebbenden. Zo lang je domeinnaam nog bestaat, zullen ze daar gebruik van kunnen blijven maken. Als die niet meer bestaat, krijgen ze een foutmelding terug.

Daar kunnen criminelen gebruik van maken. Als ze namelijk, nadat jansenenjanssen.nl wordt vrijgegeven, die domeinnaam registreren en daar een mailserver aan hangen, ontvangen ze alle mail die eigenlijk nog voor jou bestemd was. Geen probleem als het een vraag is over een product of bestelling, lastiger als er in zo’n e-mail dan gevoelige informatie staat.

Zo bleek uit een onderzoek van een Australische onderzoeker dat hij met een handjevol domeinnamen die ooit van advocatenkantoren waren geweest, een mailserver en drie maanden de tijd, zo’n 25.000 e-mails kon onderscheppen waarin gevoelige informatie van cliënten of over rechtszaken werd vermeld.

Daarnaast kon hij door deze techniek toegang verkrijgen tot online diensten voor opslag en social media profielen van bedrijven en (voormalig) personeelsleden.

Schrikbarend eigenlijk hè? Dat zoiets simpels en doorgaans goedkoop als een domeinnaam het effect kan hebben van een uitgebreide phishingcampagne of een geraffineerde inbraak?

Overigens geldt dit natuurlijk niet alleen voor de bekleders van deze juridische functies. In januari 2017 legde een ethische hacker een aantal verlopen domeinnamen vast die zich voorheen in het beheer van de Nederlandse politie bevonden. Door dezelfde tactiek toe te passen, wist hij beveiligingsplannen en arrestatiebevelen te bemachtigen.

Ik ken ook iemand die een domeinnaam heeft geregistreerd die maar een letter verschilt van een internationale bierbrouwer. Geen vuiltje aan de lucht, denk je dan? Toch krijg hij vier keer per jaar de kwartaalcijfers van de bedrijfstak in Afrika in zijn mailbox. De eerste paar keer stuurde hij netjes een mailtje retour met “check je e-mailadres voordat je op verzenden klikt”, maar inmiddels heeft hij de hoop al opgegeven dat er iets mee gedaan wordt.

Conclusie

De grote voorjaarsschoonmaak is in veel huishoudens een terugkerend ritueel. Ook bij bedrijven zijn er misschien wel hele teams die dergelijke projecten voor hun rekening nemen.

Maar net zoals bij je eigen zolder moet je goed opletten met wat je daadwerkelijk aan de straat zet. Misbruik zoals door deze onderzoekers is aangetoond kan zo’n verstrekkende gevolgen hebben, maar het is zo simpel te voorkomen.

Stop met opruimen. Of in ieder geval, stop met het weggooien van domeinnamen van oude bedrijfsnamen die je gehad hebt, waarmee je gefuseerd bent of die je hebt opgekocht.

Oké, in het geval van de politie betekent dit dat ze uiteindelijk 3600 extra domeinnamen moeten aanhouden. Maar goed, veiligheid voor alles, toch?

Als je net een nieuwe server hebt gekregen, wil je daar natuurlijk zo snel mogelijk mee aan de slag. Misschien heb je nieuwe projecten om mee te beginnen of wil je bestaande gebruikers van een oude naar de nieuwe server verhuizen.

Dit is dan precies het moment om even stil te staan bij de structuur van zo’n server. DirectAdmin is een van de meest gebruikte hostingserver controlepanelen ter wereld en is over de afgelopen jaren uitgegroeid tot een stabiel en betrouwbaar stuk software. Maar, zoals dat met alles geldt, dan moet je het wel goed inzetten.

Niveaus

DirectAdmin kent drie gebruikers-niveau’s. Ieder niveau heeft zijn eigen rechten en mogelijkheden. Een hoger niveau heeft daarnaast altijd toegang tot het lagere niveau, terwijl dat omgekeerd niet zo is.

Als je een VPS of dedicated server met DirectAdmin installeert, begin je altijd met een Admin gebruiker. Als Admin kun je Resellers en Eindgebruikers aanmaken. Resellers kunnen ook Eindgebruikers aanmaken. Eindgebruikers zijn de enige groep die domeinnamen, e-mail adressen, databases en FTP-accounts kunnen beheren.

Admin

Zoals gezegd, ieder niveau heeft ook toegang tot de mogelijkheden van het onderliggende niveau. Zo zie je als Admin gebruiker aan de rechterkant direct de optie om naar het Reseller of User level om te schakelen, zodat je ook extra gebruikers en zelfs domeinnamen aan kunt maken.

Het is dan ook erg verleidelijk om je websites op die manier direct onder de Admin gebruiker beschikbaar te maken. Die is er toch al, toch?

Handig is dat echter niet. Het heeft namelijk verschillende gevolgen die je vooraf niet overziet, maar achteraf tot flink wat uitdagingen kunnen leiden.

Admin is geen gewone gebruiker

Het Admin account is, zoals de naam eigenlijk al zegt, een account om de administratie mee te doen. Om de server mee te beheren dus. Om die reden heeft een Admin account alle rechten die je maar hebben kunt.

Als het Admin-wachtwoord achterhaald wordt, kun je je server afschrijven. Begin maar overnieuw, want de volledige server moet dan gezien worden als gehackt. Best lastig.

Daarom bewaar je je Admin-wachtwoord veilig en gebruik je het alleen om via (het liefst beveiligde verbinding) in te loggen in het Admin-paneel van de server. En dus níet om je WordPress site mee te laten verbinden met een database. Of je Joomla site via FTP te laten back-uppen.

Individueel domeinnamen back-uppen kan niet

DirectAdmin heeft out-of-the-box een vrij degelijk back-up systeem. Je kunt via cronjobs schema’s instellen om op gezette tijden geselecteerde gebruikers te laten back-uppen.

Sleutelwoord in die laatste zin is geselecteerde gebruikers. Inderdaad, je stelt een back-up in voor een gebruiker en dus níet voor eventuele individuele domeinnamen onder die gebruiker.

Mocht er dus iets fout gaat en je wilt een back-up terug plaatsen, plaats je ook een back-up terug van de gehele gebruiker. Hangt er één domeinnaam onder, dan is er geen probleem. Maar heb je zevenentwintig domeinnamen onder je Admin-gebruiker hangen en moet je er eentje restoren? Dat gaat dus niet lukken.

SSL voor meerdere domeinen

Omdat de Admin gebruiker bedoeld is voor het beheren van de server, werken sommige menu’s ook net even iets anders dan wanneer je diezelfde menu’s als echte gebruiker zou benaderen. Een goed voorbeeld hier van is het SSL menu.

De Admin gebruiker kan standaard namelijk maar één certificaat hebben. Dit omdat het dat certificaat wegschrijft als bijvoorbeeld het server-certificaat voor de webserver.

Om die reden ontstaan er problemen wanneer er meer dan één domeinnaam onder de Admin-user staan ondergebracht. Het tweede en alle andere domeinnamen kunnen namelijk geen SSL-certificaat activeren zonder het bestaande certificaat te verwijderen.

PHP-processen en gescheiden data

In een standaard webserver-setup gebeurt er van alles onder de gebruiker Apache. Als je een website bezoekt, regelt Apache wat je te zien krijgt in de browser. Als je een foto uploadt via je WordPress dashboard, zorgt Apache dat dat bestandje geüpload wordt. #rechten-issue #777 anyone?

Een lange tijd geleden werd er gebruik gemaakt van mod_ruid2 (en daarvoor zelfs nog suPHP) om bestanden als eigen gebruiker weg te kunnen schrijven, zodat permissie-issues tot het verleden behoorden. De opvolger daarvan is het werken met een andere PHP-setup: PHP-FPM.

Onder PHP-FPM krijgt iedere bezoeker een eigen PHP-proces toegewezen. Dit proces wordt toegewezen aan de gebruiker waaronder de domeinnaam is ondergebracht. In de PHP-configuratie wordt ingesteld hoe veel processen er per gebruiker gestart mogen worden. Afhankelijk van hoe druk de website is, kunnen dat er bijvoorbeeld twintig zijn.

Het gebruiken van de Admin brengt ook in dit opzicht weer twee risico’s met zich mee:

1. Als je zevenentwintig domeinnamen hebt draaien onder je Admin-user, moeten die het alle zevenentwintig zien te redden met die twintig beschikbare processen.
2. Als je zevenentwintig domeinnamen hebt draaien onder je Admin-user, kunnen die allemaal elkaars bestanden zien, uitlezen en bewerken. Er lastig als er één site geïnfecteerd wordt, want dan kan die infectie zich gemakkelijk verspreiden naar de andere zesentwintig.

Troubleshooting

Ten slotte nog een voordeel van het scheiden van domeinnamen onder verschillende gebruikersnamen: het opsporen en oplossen van problemen is een heel stuk gemakkelijker als je zeker weet dat domeinnamen, processen en data-mappen strict gescheiden zijn en je in de logs gewoon kunt zoeken op een gebruikersnaam.

Reseller

Het volgende niveau dat DirectAdmin aanbiedt, is het reseller-niveau. Standaard is er direct al een reseller beschikbaar: Admin. Het reseller-level van de Admin gebruiker kan ook als reseller gebruikt worden, met dezelfde kanttekeningen als hierboven omschreven.

Het is natuurlijk wel mogelijk om extra resellers aan te maken. Dat kan om meerdere redenen handig zijn. Splits je websites bijvoorbeeld uit in verschillende groepen, gebaseerd op locatie, dienst of type klant.

Heb je meerdere collega’s of werknemers die ieder een geografisch gebied onder hun hoede hebben, kun je per collega een reseller aanmaken. Of heb je in je dienstenportfolio ook email only diensten, kun je bijvoorbeeld alle e-mail pakketjes onder een specifieke reseller hangen.

Maar, laat ook op het Reseller niveau het gebruik van het User niveau links liggen, met dezelfde redenen als voor het Admin niveau. Daarvoor zijn er Eindgebruikers.

Eindgebruikers

Eindelijk, de plek waar de domein-magie plaats vindt. Hier beheer je een domeinnaam. Hier maak je websites, e-mailaccounts en databases. Hier stel je SSL-certificaten in en zorg je voor FTP-verbindingen. Kortom: hier doe je alles wat met je domeinnaam te maken heeft.

Wat je hier ook kunt doen, is extra domeinnamen aanmaken. Die worden dan als een extra controlepaneel aan het pakket toegevoegd. Dat is ook erg verleidelijk om te doen, want dan heb je een gebruikersnaam waarmee je al je websites kunt beheren. Ideaal?

Nee, ideaal is het zeker niet. Om dezelfde redenen als al eerder genoemd zijn. Er kan niet individueel per site geback-upt worden. PHP-processen en data-mappen worden gedeeld en zijn onderling bereikbaar. Probleem-opsporing wordt onnodig gecompliceerd.

Voor de Eindgebruikers geldt dus ook: als je de mogelijkheid hebt, kies er dan bewust voor om slechts een website per gebruiker te hanteren.

Uitzondering hierop zijn pointers en aliassen. Dit zijn weliswaar extra domeinnamen die aan een pakket hangen, maar deze hebben zelf geen domein-functionaliteit. Ze zorgen er enkel voor dat extra domeinnamen worden doorverwezen naar of gebruik maken van de hoofddomeinnaam. Pointers en aliassen mogen zo veel aangemaakt worden als dat wenselijk (of praktisch) is.

Conclusie

Natuurlijk heeft iedereen een voorkeur om te werken. En als het werkt, waarom zou je daar dan van afstappen?

Wij kunnen alleen maar adviseren. Ons advies is echter gebaseerd op jarenlange ervaring met DirectAdmin, zowel als Shared Hosting omgevingen als voor onze VPS en Dedicated Server klanten. We weten dus waar we mee bezig zijn, wat handig is en vooral wat niet zo handig is.

Twijfel je of jouw opzet wel ideaal is of dat er verbeteringen mogelijk zijn? Laat ons eens voor je kijken. Misschien kunnen we je nog wat tips geven om een en ander te verbeteren of vergemakkelijken.

Je moet het ze nageven. Oplichters en bedriegers blijven creatief en verzinnen nieuwe manieren of passen oude trucjes toe om zichzelf te verrijken. Word je gebeld door iemand van Trademark Office? Trap er niet in!

Naar aanleiding van onze nieuwsbrief van eind juli en het daarin aangehaalde blog-artikel over de malafide praktijken van NL Domein Host, kregen we een flink aantal reacties. Zowel bedankjes voor de waarschuwing als trieste verhalen over ontstane problemen.

Maar ook nog een extra tip: dit soort misleiding is niet de enige vorm van misbruik in de domein-wereld.

Update 3 oktober 2019: SIDN meldt deze week dat Trademark Office B.V. inmiddels een dusdanig slechte reputatie heeft opgebouwd, dat ze genoodzaakt zijn om hun naam te veranderen. De telefoontjes gaan gewoon door, maar komen tegenwoordig van Lectual Europe. Bron: https://www.sidn.nl/nieuws-en-blogs/trademark-office-zet-verkooptruc-met-domeinnamen-voort-onder-de-naam

Iemand anders wil…

Stel, je heet Tim Dalton en je bent ZZP-er. Dalton Design heeft -binnen bepaalde kringen- een goede naam opgebouwd en je bent trots op het werk dat je doet. Het is woensdagmiddag 16:37. Nog even dit project afronden, nog even die klant beantwoorden, alvast…

Tring.

Verdorie, mensen bellen ook altijd ongelegen. Je neemt de telefoon toch op, want je bent toch aan het werk.

“Goedemiddag mevrouw/meneer. Ik bel namens een merkenrecht-bureau. Bij ons is een aanvraag binnengekomen voor daltondesign.com. Nu zien we dat u de eigenaar bent van daltondesign.nl.”

Een goed verhaal, want domeinnamen met andere extensies zijn internationaal vast te leggen. Het is dus geen ondenkbare situatie. Even goed luisteren.

“Voor dat we de aanvraag goed mogen keuren, moeten we eerst uw toestemming hebben.”

Nou, dat is erg netjes van u, meneer of mevrouw van het merkenrecht-bureau. En wat nou als ik dat niet wil?

“In dat geval kunt u de domeinnaam via ons vastleggen. Voor het schamele bedrag van slechts €120,00 per jaar zorgen wij er voor dat niemand anders er met daltondesign.com vandoor kan gaan. En voor €500 bent u direct voor 5 jaar voorzien, dat scheelt u 20%!”

Wow, wat een service bieden ze toch tegenwoordig. Helemaal top!

Alarmbelletjes

Helaas komen dit soort telefoontjes vaak voor, vooral in het geval van zelfstandigen en kleine ondernemers.

Erger nog, het klinkt zo realistisch, dat er direct alarmbellen afgaan. Want hoe moet dat nu, als er iemand anders opeens met (bijna) jouw domeinnaam vandoor gaat? Wordt het een concurrent? Wat willen ze van jou of misschien wel van jouw klanten?

De vraag is, gaan er ook andere alarmbellen rinkelen? Want 120 euro is best veel voor een domeinnaam, vooral maar voor een jaar. En voor vijf jaar is misschien wel heel lang, wat nou als je tussentijds een andere uitdaging vindt?

En daarbij, klopt dit wel?

Bedrog

Dat deze vorm van verkooptrucjes al langer wordt toegepast, weten we wel. We krijgen regelmatig vragen over dit soort praktijken. Gelukkig is het vaak in de vorm van “ik registreer die naam liever bij jullie”. Wat fijn, dat scheelt u €110 per jaar!

Soms is het ook met de vraag “ik werd zo nerveus en heb ja gezegd, wat nu?” In dat geval is het een kwestie van controleren of wij de domeinnaam nog snel vast kunnen leggen. Zo niet: niet betalen en het contract laten ontbinden.

Want inmiddels is het ook door de rechter bevestigd: Wat dit soort partijen doen, valt gewoon keihard onder de noemer bedrog. En bedrog is een goede reden om een contract per direct te ontbinden. Hoppakee en weg er mee.

Bekende ICT-jurist Arnout Engelfriet weidt er in zijn artikel Liegen over een bijna ingepikte domeinnaam is dus echt bedrog uitgebreid over uit en het is dan ook een erg interessant artikel om te lezen (dat zijn overigens heel veel van zijn posts, maar dat ter zijde).

Voorkomen

Hoe voorkom je nu dat je het slachtoffer wordt van dit soort misbruikers? En niet alleen deze boeven van Trademark Office, maar ook de eerder aangehaalde schurken bij NL Domein Host?

Blijf alert is eigenlijk het eerste. Belt of mailt er iemand van een bedrijf waar je nog nooit van gehoord hebt of waar je geen zaken mee doet, ben sceptisch.

Gaat het over online zaken, zoals hosting, websites of forwards? Zorg dat je wéét bij welke partijen je deze zaken hebt staan. Misschien is het zelfs handiger om alles juist bij één bedrijf onder te brengen, al is het maar om dat gedeelte te vergemakkelijken.

Dat laatste hoeft natuurlijk niet, maar uit ervaring weten we dat het een heel gedoe kan zijn om de juiste partij te pakken te krijgen als er verschillende zaken verspreid staan ondergebracht.

Arnout voegt hier nog een extra tip aan toe: neem je gesprekken op. Als ondernemer heb je een gerechtvaardigd belang om binnenkomende gesprekken op te nemen, voor het geval er in de toekomst gesodemieter van komt. Dus ook voor de AVG hoef je niet te vrezen, als je die opgenomen gesprekken dan ook maar weer verwijdert als er niks spectaculairs of betreurenswaardig in gebeurt.

Conclusie

Je moet het ze nageven. Oplichters en bedriegers blijven creatief en verzinnen nieuwe manieren of passen oude trucjes toe om zichzelf te verrijken.

Door collectieve acties zoals de rechtszaak die Berntsen Mulder Advocaten tegen Trademark Office op heeft gezet en herhaalt, publicaties zoals die van Arnout Engelfriet en andere bloggers en nieuwsbrieven zoals de onze, worden we als potentiële slachtoffers steeds slimmer en voorzichtiger.

Dus, zegt het voort! Retweet, repost of praat gewoon lekker ouderwets analoog met elkaar. Samen staan we sterker dan alleen.

We zien ze nog steeds met enige regelmaat voorbij komen. Spookfacturen.

Nee, geen doorzichtig witte velletje papier die angstaanjagend ‘boe’ uitkramen als je ze uit de envelop haalt. Wel een zogenaamde factuur voor diensten die nooit geleverd noch aangevraagd zijn.

In onze branche is NL Domein Host waarschijnlijk de bekendste oplichter die er bestaat. Gelukkig is dat bij veel mensen al bekend en is het voor anderen niet heel moeilijk vast te stellen. Ze hoeven alleen de website maar op te zoeken.

De factuur

Vorige week kregen we weer eens een ‘factuur’ toegestuurd en werd nog eens duidelijk hoe verraderlijk ze zijn, maar tevens hoe duidelijk.

Bekijk factuur

Direct vallen een aantal dingen op.

• Het woord ‘factuur’ aan de rechterbovenkant. Dat is het dus niet.
• Van wie is deze factuur afkomstig? Er is geen adres, enkel naam, telefoonnummer en e-mailadres.
• Voor wie is deze factuur bedoeld? Geen idee, er is geen adressering.
• De maker kan niet rekenen. 9 + 14 = 23. De vervaldatum is dus 23 juli, niet 26.

Dit zijn enkel de dingen die op de bovenste helft al duidelijk zijn. Vervolgens zijn er de factuurregels zelf.

• Domeinregistratie 2018/2019. Welke domeinnaam?
• €165!? Dat is een verdomd dure domeinnaam.
• DNS-/Redirectservice voor €2 per maand. Het is maar goed dat die gratis is.
• Betaling onder vermelding van bedrijfsnaam en factuurnummer. Logisch, ze hebben deze factuur immers aan niemand gericht en weten dus zelf totaal niet wie er gaat betalen en wie niet.

Uiteindelijk kom je dan uit bij de kleine lettertjes. Die kleine lettertjes toch… Pas als je die leest, merk je duidelijk dat het hier totaal niet om iets met een betalingsverplichting gaat.

De kleine lettertjes

Op grond van de aan ons op basis van het bovenstaande verleende opdracht, welke als facturerings grondslag dient leveren wij u de navolgende dienst, het registreren van de .eu of .co domein extensie gekoppeld aan uw huidige .nl domeinnaam.

Wacht. Dus je stuurt me een factuur waarop je niets specificeert. Als ik die factuur dan betaal, dán pas ontstaat er een facturerings grondslag? Dat klinkt nogal krom. Toch is het precies wat ze bedoelen.

Dit is een aanbieding en geen factuur, betaling van deze aanbieding wordt beschouwd als opdrachtbevestiging.

Nou, dat dus. Maar hoezo is dit geen factuur? Dat staat toch prominent boven in die rechterbovenhoek? Voor een woord met die lettergrootte heb ik geen vergrootglas nodig.

Herkenningspunten

Hoe herken je nou zo’n spookfactuur? Net zoals eigenlijk voor alle oplichting geldt, moet je bij jezelf nagaan of je de factuur verwachtte. Ken je het bedrijf? De dienst die ze factureren? Staan er gegevens op waardoor je het bedrijf op kunt zoeken?

In dit geval is het vrij duidelijk. Misschien heb je een of meerdere domeinnamen bij Flexwebhosting geregistreerd. De exacte prijs weet je daar vast niet van, maar wat denk je? Een tientje, twee tientjes misschien? Zeker geen €165!

En daarnaast, voor welke domeinnaam rekenen ze een dusdanig exorbitant hoog bedrag? Dat wordt niet genoemd. Ja, als je de kleine lettertjes leest, maar dan heb je de rest van die lettertjes ook gezien.

En nu?

Heb je toch betaald? Kijk dan of je de betaling via de bank teruggedraaid kunt krijgen. Doe in ieder geval aangifte bij de politie en meld het bij de Fraude Helpdesk. Veel kans om je geld terug te krijgen geven we je niet, maar des te meer klachten en aangiftes komen, des te groter de kans om wat gedaan te krijgen.

Conclusie

Een spookfactuur is een factuur afkomstig van een oplichter. Ze zien er vaak heel echt uit en zijn bedoeld om een onwetende ontvanger te verleiden om toch te betalen.

Gelukkig worden ontvangers steeds voorzichtiger en zullen veel mensen een dergelijke factuur linea recta naar de (digitale) prullenbak verplaatsen.

Laten we hopen dat we met z’n allen ooit zo ver komen dat niemand er meer op in gaat en dergelijke oplichters geen reden meer hebben om ons lastig te vallen met dit soort onzin.

Vorige week schreven we over Internet.nl en de drie controle-punten waar websites op gescoord worden. Een van de onderdelen hiervan, de HTTPS-beveiliging, is dusdanig uitgebreid dat het een eigen artikel waardig is. Want HTTPS, dat is nog niet zo simpel als ‘even een certificaatje installeren’. Er komt nog het een en ander bij kijken om het helemaal op en top veilig te maken, zo blijkt wel uit de resultaten van SecurityHeaders.io.

HTTPS

De werking en techniek achter SSL-verbindingen en HTTPS zijn al eens eerder uitvoerig besproken. De bottom line is dat, stel dat er iemand het verkeer meeluistert tussen jou en de server waarmee je verbonden bent, niet kan zien wat je daadwerkelijk van en naar de server stuurt. Maak je géén gebruik van een beveiligde verbinding, kan een hacker woord voor woord meelezen.

Alleen het instellen van een HTTPS-verbinding doet dan eigenlijk al voldoende. Maar, wil je écht goed bezig zijn, geeft Internet.nl je nog een handige site om te raadplegen: Securityheaders.io

Security Headers

Bij het communiceren tussen browser en server wordt er gebruik gemaakt van zogenaamde HTTP Headers. Dit zijn een soort instructies van de HTTP server met informatie over dingen zoals compressie (verkleinen van gegevens), cache en de server zelf.

Security Headers zijn een bepaald soort HTTP Headers, speciaal gericht op het beveiligings-gedeelte. Hoe gaat een browser om met het benaderen van de website via HTTP(S), iFrames en doorverwijzingen naar andere sites bijvoorbeeld.

Ook SecurityHeaders.io werkt met een scoretabel. A+ is het hoogste, F het laagste. We gaan hier natuurlijk voor minimaal een A en hiervoor houden we rekening met de volgende headers.

Strict-Transport-Security

HSTS (HTTP Strict Transport Security) is eigenlijk niks meer als een automatische upgrade naar HTTPS. Als HSTS aan staat voor een server of domeinnaam, zal al het webverkeer over deze domeinnaam upgradede worden naar HTTPS. Dat scheelt individuele aanpassingen in code voor bijvoorbeeld scripts of plaatjes.

Het instellen van HSTS gebeurt via een .htaccess-bestand of HTTPD-configuratie. Dat gebeurt met de volgende regel:

Header set Strict-Transport-Security "max-age=31536000; includeSubdomains;" env=HTTPS

De max-age is het aantal seconden dat deze informatie door de browser vastgehouden wordt. Geadviseerd wordt om deze in te stellen op 31536000 (1 jaar) maar in ieder geval hoger te zetten dan 10368000 (120 dagen).

Door includeSubdomains mee te geven in de header, geeft de server aan dat er niet alleen voor het hoofddomein de upgrade naar HTTPS plaats moet vinden, maar ook voor alle subdomeinen.

X-Frame-Options

Soms wil je iemand te slim af zijn. Je eigen domeinnaam gebruiken, maar op de achtergrond een andere site inladen bijvoorbeeld. ‘Vroeger’ gebeurde dat vaak bij aanbieders van ‘gratis’ websites, bijvoorbeeld WordPress.com. Daarbij krijg je namelijk je eigen subdomein (sitenaam.wordpress.com), maar je wilt natuurlijk je eigen domein in de adresbalk hebben staan. Een simpele iframe is dan een uitkomst.

Door een iframe stuur je namelijk de browser ergens anders heen om daar de inhoud te gaan halen. Dat betekent dat er op de voorgrond (wat wij als bezoekers zien) een website komt, maar dat die op de achtergrond door de browser van een andere server afgehaald wordt.

Is dat een probleem? Ja, en wel om twee redenen.

De eerste is dat er dus misbruik gemaakt kan worden van gratis diensten. In het geval van WordPress bijvoorbeeld krijg je gratis hosting maar enkel met een verwijzing naar WordPress.com in de URL. Als je dat gaat omzeilen door je eigen domeinnaam er voor te zetten, maak je op die manier misbruik van de goedheid van de leverancier. Niet netjes.

Ten tweede zit je met een beveiligings-issue. Stel, iemand laadt jouw site in middels een iframe. Een compleet andere domeinnaam dus, maar wel met jouw website er op. Er draait nu als het ware een kopie van jouw website online. Met die kopie kan een kwaadwillende hacker van alles doen, bijvoorbeeld linkjes aanpassen, formulieren onderscheppen of andere lijpe dingen. Ook niet netjes.

Om het gebruik van iframes voor jouw site of server te voorkomen, kun je de volgende security header toepassen:

Header always set X-Frame-Options "SAMEORIGIN"

Bezoekers van de website die de site via een iframe geserveerd krijgen, zullen nu niets anders zien dan een witte pagina.

X-XSS-Protection

Cross Site Scripting (XSS) wordt door hackers vaak gebruikt. Door legitieme formulieren (denk aan een contactformulier of gastenboek) te bestoken met onveilige inhoud vanuit een andere site, proberen ze op die manier websites te infecteren.

Hier kun je in je eigen websitecode al veel van afvangen, maar browsers helpen hier ook een stukje in mee. Gebruik hiervoor de volgende header:

Header always set X-Xss-Protection "1; mode=block"

X-Content-Type-Options

Niets is wat het lijkt. Vooral niet als je digitaal bezig bent. Een foto lijkt altijd een foto, maar is dat ook zo?

Slimme hackers voegen iets toe aan bestanden en maskeren dan wat het eigenlijk is. Dit is voornamelijk gevaarlijk als de website zelf een optie geeft om bestanden te uploaden. Zo kunnen ze bijvoorbeeld een profielfoto uploaden waarbij de afbeelding niet alleen de daadwerkelijke profielfoto bevat, maar ook een verstopt .exe-bestand (een uitvoerbaar programma).

Als een bezoeker dan het profiel van de hacker bekijkt en de foto door de browser wordt weergegeven, zal de browser zelf kijken en zich afvragen “Wat is dit voor iets?”. De webserver zegt namelijk dat het een plaatje is, maar het bestand zelf zegt misschien wel iets anders. “Ik ben een bestandje, voer mij uit.”

Dat willen we natuurlijk niet hebben en vertellen de browser dus dat hij gewoon moet luisteren naar wat de server aangeeft. Dat gebeurt zo:

Header always set X-Content-Type-Options "nosniff"

Nee, je mag niet meer ruiken (“nosniff”) naar wat het is. Doe maar gewoon wat wij zeggen.

Referrer-Policy

Als je van site naar site hopt, bijvoorbeeld door een link naar een andere site in jouw blogartikel, worden er door de browser ook headers meegestuurd. Het gaat hier dan om de zogenaamde ‘Referrer’, oftewel de ‘waar kom je vandaan’ headers.

Deze referrer-informatie wordt vaak toegepast door de website statistieken software (zoals Google Analytics) om te bepalen hoe bezoekers op je site uitkomen. Maar, misschien wil je wel helemaal niet dat andere website-beheerders kunnen zien dat bezoekers van jouw site naar een andere site gaan, vooral als de site waar naartoe gegaan wordt niet beveiligd is met HTTPS, terwijl je dat zelf bent.

Dit kan je instellen met de volgende Security Header:

Header set Referrer-Policy "no-referrer-when-downgrade"

Content-Security-Policy

Het moderne internet is een wereldwijd netwerk waar miljarden mensen kijken naar en gebruik maken van inhoud die door duizenden of tienduizenden webmasters, programmeurs en designers wordt gepubliceerd. Veel van deze inhoud wordt gedeeld met elkaar, zodat niet iedere webmaster het digitale wiel opnieuw uit hoeft te vinden. Denk aan bekende frameworks zoals Bootstrap (styling), jQuery (JavaScript) en Google Fonts (lettertypen).

Het is dan ook niet vreemd dat een website ook externe bronnen gebruikt. Zo zie je vaak dat een browser de daadwerkelijke inhoud van de website van de server krijgt, maar dat de server vervolgens zegt: “Ga de lay-out maar bij Twitter Bootstrap halen, ik gebruik icoontjes van FontAwesome en voor websitestatistieken moet je even een scriptje bij Google Analytics downloaden.”

Dat is prachtig, maar wie zegt dat we dat ook daadwerkelijk willen? Wat gebeurt er als een hacker op de een of andere manier het voor elkaar heeft gekregen om de server te laten zetten “oh ja, er staat ook nog iets op www.hackercollective.com/hackscript.js, ga dat ook even halen”? Dan doet de browser dat zonder vragen te stellen. En hop, daar gaat je veiligheid.

Door gebruik te maken van een CSP (Content Security Policy) geeft de server aan de browser door welke (externe) links gevolgd mogen worden. En al het andere? Dat valt buiten de boot.

Het instellen van een CSP maakt je website dus des te veiliger, maar hoe doe je dat? Hoe weet je precies vanuit welke bronnen worden ingeladen als je gebruik maakt van WordPress met diverse thema’s en plug-ins? Dan wordt het wel heel lastig.

Een dergelijke Security Policy is dus eigenlijk alleen bruikbaar als je precies weet waar je je inhoud vandaan haalt. Als je alles zelf hebt gemaakt bijvoorbeeld. Of als je, in plaats van gebruik te maken van de servers van Google, jQuery en FontAwesome, de benodigde bestanden eerst download naar je eigen server en ze van daar uit laat serveren.

Als je dat eenmaal op orde is, zou je de volgende header kunnen gebruiken:

Header always set Content-Security-Policy: default-src 'none'; script-src https://domeinnaam.nl

Hiermee zeg je tegen browsers dat alleen inhoud van je eigen domeinnaam.nl via HTTPS ingeladen mogen worden. Al het andere moet lekker buiten de deur blijven.

In het geval van het eerdere screenshot, zou de header-regel er zo uit zien:

Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' *.bootstrapcdn.com *.googleapis.com *.cloudflare.com *.gstatic.com *.fontawesome.com *.google-analytics.com"

Hiermee geef je voor alle type bestanden (default-src) aan dat ze vanuit het eigen domein (self), in de code (unsafe-inline en unsafe-eval) of vanuit de genoemde domeinnamen mogen komen.

HTTPD.conf of .htaccess?

Al deze headers worden door de webserver meegegeven en kunnen als zodanig op twee plekken ingesteld worden. Ofwel in de configuratie van de webserver zelf (httpd.conf) zodat ze voor alle websites op de server werken, ofwel in het .htaccess bestand van een enkele website. Waar doe je wat?

De enige die website-gebonden is, is de Content-Security-Policy header. Dat is namelijk afhankelijk van welke externe bronnen je gebruikt en dat is weer afhankelijk van de website die je draait. Deze zet je dus in het .htaccess-bestand van de website zelf.

Alle andere headers kunnen goed meegenomen worden in de webserver-configuratie. Gebruik je DirectAdmin? Zet hem dan in /usr/local/directadmin/data/templates/custom/virtual_host2.conf en virtual_host2_secure.conf.

DirectAdmin

Om de serverwijde headers in een keer in te stellen, gebruik je aangepaste templates. Deze vind (of plaats) je in de map /usr/local/directadmin/data/templates/custom/.

cd /usr/local/directadmin/data/templatescp virtual_host2*.conf customcd custom

Met deze drie commando’s ga je eerst naar de templates map, maak je een kopietje van alle vhost-configuratie-files van Apache 2 en ga je ten slotte naar de custom map.

In het VirtualHost blok (boven de ServerName) kun je dan de headers zetten.

Conclusie

Het internet beveiligen is zo makkelijk nog niet. Maar, met dit soort handige sites als Internet.nl en SecurityHeaders.io kom je een heel eind.

Er zijn nog veel meer dingen om te controleren. In volgende artikelen komen deze ook nog aan bod, bijvoorbeeld wat DANE of TLSA nu eigenlijk is en wat het verschil is tussen SSL en TLS en de verschillende versies van TLS. Zo blijven we bezig.

Voor iedere ccTLD (Country Code Top Level Domain, dus bijvoorbeeld .nl, .be en .de) is er een centrale partij de uitgever. Deze houdt in de gaten wie welke domeinnaam heeft, zorgt dat alles netjes gebeurt, dat er geen dubbele namen worden uitgegeven en meer van dat soort dingen.

Dat dit Binnen het Nederlandse domein allemaal wordt bijgehouden door de SIDN zal niemand vreemd zijn. De Stichting Internet Domeinregistraties Nederland houdt, in opdracht van de Nederlandse overheid, het .nl-internet online.

Maar SIDN doet nog veel meer dan dat. Regelmatig worden er webinars en cursussen gegeven voor registrerende partijen (zoals Flexwebhosting) met voor de hostingwereld interessante informatie over belangrijke ontwikkelingen. Niet alleen dat, ze hebben zich ook veel ingezet voor DNSSEC, een beveiligingsmaatregel om domeinnaam-kaping te voorkomen en publiceren bijvoorbeeld regelmatig duidelijke blog-artikelen die ook voor ‘de normale burger’ goed zijn om te lezen.

Een van die extra initiatieven is de website internet.nl. We krijgen er regelmatig vragen of opmerkingen over. Genoeg om er eens wat dieper in te duiken. Wat doet internet.nl eigenlijk? Wat zeggen ze? En klopt de conclusie wel?

Waarom?

Zelf omschrijven ze zich als volgt:

Op Internet.nl kun je eenvoudig testen of je internet up-to-date is. Gebruiken jouw website, e-mail en internetverbinding wel moderne, betrouwbare Internetstandaarden? En, als dat niet zo is, wat kun je daar aan doen?

Volgens de informatie op de website wordt er door drie miljard internetgebruikers gebruik gemaakt van verouderde standaarden die nog uit de tijd van de Beatles en Abba stammen. Doordat het gebruik van het internet over de decennia is aangepast, moeten de standaarden mee evolueren.

Om gebruikers en providers een gemakkelijk stuk gereedschap te kunnen bieden dat controleert of ‘jouw internet’ inmiddels mee is geëvolueerd, is internet.nl opgezet.

Overigens ook nog wel even belangrijk om te melden: dit project komt niet alleen van de SIDN. Ook andere grote spelers van internettend Nederland, zoals de Dutch Hosting Provider Association (DHPA), ISPConnect, NCSC (Nationaal Cyber Security Centrum) en zelfs het Ministerie van Economische Zaken, doen mee.

De tests

Als je een test start via Internet.nl, krijg je binnen enkele seconden het antwoord op de vraag “Is jouw internet up to date?”. Er wordt gecontroleerd op drie onderdelen:

• Moderne verbinding (IPv6)
• Beveiliging domeinnaam (DNSSEC)
• Beveiliging website (HTTPS)

Als je de resultaten bekijkt, behaalt ‘slechts’ een kleine 6 procent van de geteste websites de 100%.

IPv6

De eerste test is er eentje voor de verbinding naar de website toe. Dat gebeurde ‘vroeger’ altijd met IPv4, waarbij een IP-adres nog enigszins leesbaar is. 127.0.0.1 is een bekende, 192.168.0.1 vast ook wel (beide lokaal).

Maar, als je ‘maar’ vier groepen van drie cijfers hebt om IP-adressen uit te geven, raken ze een keer op. Je hebt dan nog steeds een slordige drie-komma-zeven-miljard adressen beschikbaar, maar toch.

Met de introductie van IPv6 wordt er een einde gemaakt aan het tekort. Als je alle niet uitgegeven of gereserveerde adressen niet mee telt, zijn er alsnog 4.2*10^37 adressen beschikbaar. Zo ver heb ik nooit leren tellen op school.

Als we de test uitvoeren op een site die niet via IPv6 bereikbaar is, krijgen we een rood kruis te zien.

Helaas! Je website is niet bereikbaar voor bezoekers die een modern internetadres gebruiken, of er is verbetering mogelijk.

Jammer, maar dat is niet correct. Je website is namelijk prima bereikbaar voor bezoekers die een modern (IPv6) internetadres gebruiken. Als je dit namelijk zou geloven, zouden gebruikers die wél al een IPv6 adres gebruiken, maar 6% van de geteste sites kunnen benaderen. En daarbij heeft slechts 11% van de verbindingen in Nederland IPv6 beschikbaar.

Nee, zo werkt dat dus niet. Nee, je website is inderdaad niet via IPv6 bereikbaar, maar wel gewoon via IPv4. En iedere internetter gebruikt altijd IPv4 of IPv6.

Bottom line: als je voor dit onderdeel niet slaagt, is er geen vuiltje aan de lucht.

Bij Flexwebhosting: Wij hebben nog geen IPv6 beschikbaar. Het netwerk is er wel al klaar voor, maar we zijn er nog niet helemaal uit hoe we de IPv6 adressen gaan uitdelen, hoe veel dat men er krijgt en hoe we dat bij gaan houden. We hebben wel een projectteam dat hier erg enthousiast mee bezig is.

DNSSEC

De volgende test gaat over de veiligheid van je domeinnaam zelf. Hierover schreven we in 2014 al eens een keer een uitgebreider artikel toen we DNSSEC binnen Flexwebhosting lanceerden.

Het gebruik van DNSSEC wordt steeds breder uitgerold. Ruim 50% van alle .nl domeinnamen wordt inmiddels ondertekend, zoals dat heet. Het is een extra stapje beveiliging, waarbij er op basis van publieke sleutels gecontroleerd wordt of de informatie die jij krijgt over de domeinnaam die je bezoekt ook daadwerkelijk klopt.

Waar IPv6 vooral op netwerk technisch gebied erg lastig is om uit te rollen (en administratief – hoe ga je zo veel IP-adressen bijhouden?!), gaat het bij DNSSEC vooral om hoe de provider om gaat met verschillende koppelingen.

In essentie is het namelijk zo simpel als:

1. Je nameserver een privé slot met publieke sleutel laten maken
2. Die sleutel aan de SIDN geven
3. Alle DNS-records in de nameserver achter het privé slot plaatsen

Het moeilijkste is hierbij vermoedelijk stap 2: er moet namelijk via een API met de SIDN (of andere provider) gebabbeld worden. De in stap 1 aangemaakte publieke sleutel moet daar naar toe worden gestuurd, zodat die ook daadwerkelijk publiek kan worden.

Voor de rest hoef je niets te doen. De nameserver (vaak Bind, Named of PowerDNS) doet het aanmaken van het slot+sleutel en het achter slot en grendel zetten volledig automatisch.

Bottom line: DNSSEC speelt, in tegenstelling tot IPv6, wél een rol bij het beveiligen van het internet én is redelijk gemakkelijk te implementeren.

Bij Flexwebhosting: Voor .nl domeinnamen die bij ons geregistreerd zijn en van onze nameservers gebruik maken, verzorgen wij de DNSSEC beveiliging. Andere extensies worden op dit moment uitgerold.

HTTPS

Over SSL en HTTPS zelf hoeven we niet veel meer te zeggen. We zouden alleen maar in herhaling vallen. AVG, anyone?

De test van internet.nl is relatief uitgebreid. Er wordt niet alleen gecontroleerd of er een SSL-certificaat aanwezig is, maar ook hoe die verbinding staat ingesteld en hoe het er aan de kant van de server uit ziet.

Deze test is het gemakkelijkste om een goede score op te krijgen. Zodra je een SSL-certificaat op de website activeert en, bijvoorbeeld middels een .htaccess-bestand, bepaalde instellingen goed zet, krijg je al een hele zwik groene vinkjes te zien.

Omdat hier een gedeelte op serverniveau plaatsvindt (hetzij in de webserver-configuratie of in een .htaccess-bestand), zullen we hier binnenkort een extra artikel aan wijden. We gaan dan ook dieper in op de vermelding van DANE en TLSA en wat dat verder inhoudt.

Bottom line: Naast het feit dat groene vinkjes en slotjes in browsers natuurlijk helemaal leuk zijn, is het beveiligen van je website middels een SSL-certificaat (meestal) verplicht onder de AVG. Heb je de keuze, zou je dit dus altijd moeten doen.

Bij Flexwebhosting: SSL-certificaten zijn er in allerlei soorten en maten. Meer informatie over de mogelijkheden staan in dit artikel van twee weken geleden.

Conclusie

Initiatieven om het internet duidelijker, moderner en veiliger te maken juichen we met z’n allen toe. Juist door dit soort ondernemingen gaan we vooruit als digitale maatschappij.

Als er dan met relatief kleine handelingen een mooie winst geboekt kan worden, zijn we het eigenlijk aan onszelf en onze bezoekers verplicht om daarin mee te gaan. Een duidelijke tool zoals Internet.nl helpt daar zeker in mee.

Maar, net zoals altijd, blijf ook zelf goed nadenken. Klopt het wel wat er gesteld wordt? Wat staat er in de uitgebreidere uitleg? En hoe kan ik zelf zorgen dat ik nóg beter op de hoogte ben van van alles?

25 Mei 2018. De dag dat alles zou veranderen. Privacy opeens op #1 van ieder bedrijf. Geen slordigheden meer, geen datalekken zonder dat iedereen het zou weten. En een autoriteit die zweepslagen en torenhoge boetes uit mag delen.

Er zijn aangepaste verhuis procedures bij gTLDs.

De afgelopen maand heeft iedereen ze nog wel voorbij zien komen. De e-mailtjes van leveranciers en dienstverleners. “Wij hebben ons privacy-statement aangepast”, “Zo gaan we het doen vanaf nu” en “Wist je dat…?”. Die mailtjes die eigenlijk al een maand eerder binnen hadden moeten zijn, zeg maar.

Maar, wat is er nu daadwerkelijk veranderd? Wat merken wij als registrar en u als klant nu echt?

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens, oftewel de AP, heeft het er maar druk mee. Recentelijk publiceerden ze een nieuwsbericht waarin stond aangegeven dat van de 600 binnengekomen klachten in de eerste maand, er 400 geanalyseerd zijn.

Van deze 400 meldingen slaan 13% op overheden. De overige 87% komen voor het conto van bedrijven. Dat laatste is op zich natuurlijk te verwachten, want veel (vooral kleinere) bedrijven zullen niet tijdig klaar zijn geweest voor de veranderingen. Dat echter 13% van de meldingen aan overheden is toe te rekenen, is iets voor Den Haag om zich over achter de oren te krabben.

De controleurs van de AP zijn dus hard aan het werk om meldingen door burgers te verwerken en waar nodig sancties op te leggen. Hoe zit het dan met de webhosting-wereld? Wat is ons opgevallen de afgelopen maand? Concreet zijn dat drie dingen.

SSL

Een van de meest belangrijke zaken die eigenlijk al jaren lang geldt, is dat je je website up-to-date moet houden. Niet alleen dat, maar ook beveiligd. Als er ook maar een beetje persoonlijke informatie wordt opgeslagen of weergegeven, moet die informatie versleuteld van de server naar de browser gestuurd worden. Pas in de browser mag het dan weer leesbaar zijn.

Hiervoor is een SSL-verbinding vereist en daar heb je dan weer een SSL-certificaat voor nodig. In de laatste maand voor AVG-Day en de eerste maand erna hebben we een grote piek gemerkt in het aantal bestellingen voor -vooral Comodo Essential- certificaten.

Dat is een goed teken. Het betekent namelijk dat de veiligheid van bezoekers serieus genomen wordt en dat onze klanten de verantwoording nemen die door het publiek (of in ieder geval van de overheid) van ze verwacht wordt als eigenaren, webmasters en bloggers.

Misbruik

U kent ze misschien wel. De bedrijven die misbruik kunnen maken van iedere situatie. We komen ze zelf veel tegen in de vorm van frauduleuze domein-verkopers.

“Wist u dat iemand blablabla.com wil kopen? Als eigenaar van blablabla.nl krijgt u nu de kans deze .com vast te leggen. Voor 10 jaar, ja. Slechts €300!”

Uhm, nee, dank je.

Inmiddels zijn ook de eerste AVG-misbruikers opgedoken. Ze bieden valse keurmerken aan om aan te tonen dat jij als bedrijf goed omgaat met gegevens. Ze bellen om hoge boetes te innen, omdat er iets niet op orde zou zijn geweest.

Het was te verwachten. Waar een massahysterie ontstaat, komen aasgieren vanzelf op de proppen om daar op in te haken.

Het klinkt een beetje als een slechte Marktplaats-reclame, maar het motto klopt wel: als het te mooi is om waar te zijn, doe het niet. In dit geval geldt eigenlijk het tegenovergestelde: als je out of the blue een boete of keurmerk krijgt toegeworpen, vertrouw het niet. Bij twijfel, neem contact op met de AP.

Privacy

De hele AVG is natuurlijk bedoeld voor het beschermen van privacy. Het niet doorgeven van gegevens en al helemaal niet het publiek maken van die gegevens.

Een van de partijen die hier lijnrecht tegenover stond, is de ICANN. In het kader van transparantie en online veiligheid wordt voor iedere domeinnamen namelijk publiekelijk bijgehouden wie de eigenaar is. In de zogenaamde WHOIS-gegevens staat de houder met naam en toenaam genoemd, compleet met adres ten tijde van registratie en het e-mailadres. Niet helemaal privacy-georiënteerd dus.

Tegenwoordig is dat anders. Heb je een Europese provider die haar privacy op orde heeft, zul je misschien al gemerkt hebben dat de gegevens die je bij een WHOIS terugziet een stuk minder uitgebreid zijn dan dat ze voorheen waren.

Kijk, daar hebben we wat aan.

Dat betekent ook dat het verhuisproces van gTLDs (.com, .net, .biz en zo nog meer) is aangepast. Voorheen kreeg je namelijk eerst een mailtje als je een domeinnaam wilde verhuizen. In deze zogenaamde ‘FOA’ mail (Form Of Authorisation) moest je dan een linkje klikken voordat de verhuizing überhaupt werd gestart.

Die FOA-mail werd echter getriggerd door de nieuwe registrerende partij op basis van het e-mailadres dat ze uit de publieke WHOIS haalden. Dat kan nu niet meer en dus kan die e-mail ook niet meer verstuurd worden.

Dit resulteert in dat een verhuizing van een gTLD naar een nieuwe provider tegenwoordig niet meer bevestigd hoeft te worden. Wel duurt dit nog steeds vijf dagen.

Conclusie

Zo lang we nog steeds worden gebombardeerd met mailtjes over nieuwe privacy reglementen en algemene voorwaarden, weten we dat de bescherming van persoonsgegevens nog steeds een actief agendapunt is bij veel bedrijven. Goed om te weten.

Dat deze hele wetgeving wat teweeg zou brengen, konden we natuurlijk van te voren wel op een paar vingers natellen. Dat het ook nog wat voordelen met zich mee zou brengen, zoals het verbergen van gegevens in de WHOIS, is een positieve verrassing. Laten we hopen dat die er nog meer komen in de toekomst.

Passende technische en organisatorische maatregelen moeten er voor zorgen dat je voldoet aan allerlei regels. Een SSL-certificaat helpt je daarbij.

Om te zeggen dat de AVG (of GDPR) de afgelopen maanden een ‘hot topic’ is, is een understatement. Links en rechts wordt je overdonderd met informatiebrieven en overeenkomsten en de kans is groot dat je alleen maar méér vragen hebt nadat je deze informatie allemaal tot je hebt genomen.

De bottom line van die hele AVG is eigenlijk heel simpel. Als je je bezig houdt met het verzamelen van persoonsgegevens, moet je eens kritisch kijken naar wat je verzamelt, waarom je dat doet en hoe je er mee om gaat. Wat doe je met die gegevens? Waarvoor zet je ze in en hoe beveilig je ze?

Maatregelen

Een organisatie moet “passende technische en organisatorische maatregelen” treffen om de aan hun toevertrouwde gegevens te beschermen. Dat is natuurlijk een heel breed begrip, maar ook daar kom je wel achter.

Technisch gezien betekent dat bijvoorbeeld:

• Het gebruik van een CMS waarbij je sterke wachtwoorden gebruikt
• Dat CMS altijd bijwerken, óók de plug-ins en thema’s
• Als je gegevens tussen browser en server verstuurt, deze altijd met SSL beveiligen

De eerste twee punten kunnen wij als webhoster niet veel aan doen. Je bepaalt immers zelf welk CMS je gebruikt en hoe vaak je inlogt om op die ‘update’ knop te klikken. Maar met het beveiligen van het verkeer kunnen we wél wat doen.

HTTPS door SSL

Over SSL (Secure Socket Layer) en HTTPS (HyperText Transfer Protocol Secure) is er eerder al uitgebreid geschreven. Wat het doet en waarom het nodig is bijvoorbeeld. Daar aan is niets gewijzigd, het is alleen nog belangrijker geworden.

In essentie is het niet meer dan een beveiligingslaag over het webverkeer leggen. Waar webverkeer over HTTP gewoon als normale, leesbare tekst verstuurd wordt van je browser naar de server en terug, wordt er bij HTTPS een beveiliging toegepast waardoor dat leesbare onleesbaar gemaakt wordt.

Vier jaar geleden was er namelijk al sprake van een wettelijke verplichting onder de WBP. Die wekte toen niet veel interesse. De AVG des te meer. En Google blijft ook steeds harder streven naar een beveiligd internet, bijvoorbeeld door hogere zoekresultaten voor HTTPS sites en door meldingen in hun browser Chrome weer te geven.

Nodig

Een SSL-certificaat is tegenwoordig dus gewoon nodig en verplicht als je op je website formulieren hebt staan waar je bezoekers hun gegevens op achter kunnen laten. Een contactformulier bijvoorbeeld, of een profielpagina. Ook als je die gegevens op een andere (bijvoorbeeld analoge) manier verzamelt en dan digitaal aanbiedt, moet je dat aanbieden beveiligd doen.

Niet alleen dat, maar als je website koppelingen heeft met externe partijen – zoals MailChimp voor je nieuwsbrieven, een leverancier voor je webshop of een betalingsprovider zoals Adyen voor je betalingen – moet je eigen website al gebruik maken van een beveiligde verbinding. Logisch natuurlijk, want dan gaan gegevens niet alleen door de digitale lucht tussen browser en server, maar ook tussen servers naar een andere locatie. Veiligheid boven alles dus.

Wat voor een certificaat je hiervoor gebruikt, doet niet ter zake. Je kunt hier een super-de-luxe Extended Validation Multi Domain Wildcard certificaat voor pakken (en hiervoor diep in de buidel moeten tasten), maar met een simpel -en een stuk goedkoper- Comodo Essential certificaat ben je net zo veilig. Je zou zelfs kunnen kiezen voor een gratis certificaat – hierover later meer.

Aanvragen en installeren

Bestel je bij ons een SSL-certificaat? Je koopt dan niet alleen de beveiliging, maar ook alles wat daar omheen komt. Wij zorgen er voor dat het certificaat correct wordt aangevraagd met de juiste gegevens. Dat de validatie uitgevoerd wordt zonder dat we je daar mee lastig hoeven vallen (meestal dan) en dat het geleverde certificaat op je hostingpakket of server geïnstalleerd wordt.

We regelen zelfs nog voor je dat er een doorverwijzing komt voor al je bezoekers, zodat iedereen automatisch naar de HTTPS-variant van je website wordt doorgestuurd. We kunnen je in sommige situaties zelfs adviseren over hoe je binnen je website het een en ander beter kunt instellen.

Ontzorgen

We krijgen wel eens de vraag waarop we onze prijsstelling baseren. Want ergens anders zijn ze goedkoper en je kunt ze zelfs gratis krijgen. Waar betaal je dan voor de certificaten bij Flexwebhosting voor?

Dat heb je dus net gelezen. Ja natuurlijk kun je ergens anders een goedkoper of gratis certificaat krijgen. Maar wie gaat je dan helpen met aanvragen en installeren? Bij wie klop je aan als het niet goed werkt?

Hetzelfde geldt voor de gratis certificaten van bijvoorbeeld Lets Encrypt. Helemaal leuk natuurlijk, een gratis beveiligd internet. Maar wie gaat de nodige plug-ins voor je installeren en configureren binnen DirectAdmin? Updaten? De aanvragen uitvoeren? Troubleshooten als de automatische verlenging niet werkt? Precies, jij dus.

En dat is het nou net. Als je zelf weet waar je mee bezig bent en er de tijd in wilt investeren om alles goed te doen, dan kun je overal terecht voor een certificaat en dit ook zelf installeren. Als je datzelfde certificaat echter bij ons aanschaft, zorgen wij voor ontzorgen. Wij nemen dat hele proces voor onze rekening. En ja, daar betaal je dan misschien wat extra voor, maar dan weet je wel dat het goed gebeurt.

Conclusie

Anno 2018 worden beveiligde verbindingen steeds belangrijker. Met een SSL-certificaat voldoe je niet alleen aan de wettelijke eisen, maar ben je ook nog eens klaar voor de nabije toekomst waar HTTPS steeds vaker verplicht wordt.

Dus, kijk snel op de website voor ons aanbod aan SSL-certificaten en doe mee aan een veilig internet!

Sinds de oorspronkelijke release op 13 juli 2004 – bijna 14 jaar geleden! – heeft de 5^de versie van PHP zich stevig genesteld in de programmerende IT-wereld. Met bijna 200 patches verdeeld over 6 minor versies is het de basis geweest voor enorm veel websites en applicaties.

Op een bekend eiland ten westen van hier hebben ze daar een gezegde voor.

“All good things must come to an end.”

Einde in zicht

Zelfs PHP 5.6, wat voor nu de ideale branch is om de overgang van PHP 5 naar 7 voor te bereiden, wordt al niet meer actief ontwikkeld. Op 19 januari 2017 werd de laatste ‘echte’ update doorgevoerd in de vorm van versie 5.6.30 en sindsdien zijn er enkel nog wat security-patches uitgebracht.

Ook hier houden de ontwikkelaars van de programmeertaal echter mee op en wel aan het einde van dit jaar. Dat wil zeggen dat er over een half jaar afscheid genomen gaat worden van de tot nu toe langs draaiende versie van PHP: Hypertext Preprocessor.

En nu?

De hamvraag is natuurlijk: wat betekent dat nu echt?

Zoals inmiddels algemeen bekend is, is ons hostingplatform bijna helemaal up2date om in lijn te blijven met de welbekende AVG. De dagen dat we legacy servers kunnen blijven aanhouden en aanbieden zijn voorbij en Flexwebhosting wordt verkapt gedwongen tot het upgraden van alle (shared) hostingservers.

Dat is natuurlijk geen probleem en is eigenlijk alleen maar goed. Met tools als Ansible of Puppet is het bijhouden van veel servers een eitje en hoe nieuwer, hoe veiliger. Maar het zorgt wel voor extra werk aan de kant van de gebruikers, want ook daar moeten websites nu actiever bijgehouden worden. En ook dat is eigenlijk alleen maar goed.

Toekomst

Op dit moment zijn (en worden) al onze shared hosting servers uitgerust met een dubbele versie van PHP. Versie 7.2 (de nieuwste branch) als eerste versie en versie 5.6 er langs als een extra versie om nog even te kunnen gebruiken, terwijl websites worden klaargemaakt voor gebruik op PHP 7.

Begin 2019 wordt de tweede versie (5.6) echter weggehaald uit de mogelijkheden en vervangen door de op dat moment nieuwste versie. Dat zal tegen die tijd 7.3 zijn, aangezien de release cycle van PHP 7 eens per jaar lijkt te zijn.

Conclusie

Werk aan de winkel dus. Over een half jaar moeten alle PHP-websites overweg kunnen met PHP 7 en dus geen gebruik meer maken van functies en technieken die samen met PHP 5 verloren gaan.

Benieuwd naar wat dat allemaal is? Kijk eens op de documentatie-pagina’s van PHP.

Goed nieuws voor particulieren en bedrijven met een wens om een Duitse markt aan te boren. De ‘local presence’ die sinds de lancering van de extensie verplicht was, is dat niet meer.

Dat wil zeggen dat er geen Duits contactadres meer hoeft te worden doorgegeven bij de registratie of verhuizing van een .de-domeinnaam.

DS-GVO

Ook onze oosterburen hebben te maken gekregen met de AVG en de ‘Datenschutz-Grundverordnung’ heeft ook daar natuurlijk tot veel wijzigingen geleid. Naast het limiteren van de gegevens die de Duitse registry (DENIC) publiceert in de WHOIS-gegevens, was het weglaten van een Duits adres er een van.

Uiteraard geven ze hierbij ook aan dat er uitzonderingen zijn, bijvoorbeeld voor strafrechtelijke onderzoeken. Maar, afgezien van dat soort situaties, worden WHOIS gegevens afgeschermd en alleen verstrekt bij een gerechtvaardigd belang.

Diese verdammten Kleingedruckten

En toch moet je iets met Duitsland hebben, wil je de domeinnaam kunnen registreren en je tegelijkertijd aan de Algemene Voorwaarden van de DENIC willen houden. In Artikel 3.4 staat namelijk:

“If the Domain Holder is not domiciled in Germany, they shall name within two weeks of a corresponding request an authorised representative for receiving the service of official or court documents who shall have the same rights as defined for an authorised representative for receiving the service of official or court documents in terms of Article 184 of the German Code of Civil Procedure, Article 132 of the German Code of Criminal Procedure, Article 56 paragraph 3 of the German Rules of the Administrative Courts or Article 15 of the German Law of Administrative Proceedings or the corresponding provision of a federal-state law of administrative proceedings. The information to be stated shall include the name of the authorised representative for receiving the service of official or court documents, their full postal address; specifying a post-office box number is not sufficient. In the request, which DENIC is entitled to send to the Domain Holder by e-mail, DENIC will name the person, the authority or the court who or that intends to serve or to instigate the service of documents to the authorised representative for receiving service of official or court documents.”

Met andere woorden: als je zelf niet in Duitsland woont en er is stront aan de knikker, moet je alsnog iemand hebben in Duitsland die er een doekje overheen mag halen. Die iemand valt dan weer terug op het ‘local presence’ principe zoals registrars dat de afgelopen jaren hebben gehanteerd.

Conclusie

Vooralsnog lijkt er dus niet veel te veranderen, behalve dat bij registraties nu geen Flexwebhosting adres meer in de WHOIS gegevens wordt getoond bij het administratief contactadres. Je hoeft ook nog steeds niet te emigreren om een .de-domeinnaam te mogen gebruiken. Alhoewel, als je dan langs dit soort juweeltjes mag rijden…

Onder andere met het oog op de AVG (wie kent hem niet?), wordt het versleutelen van de communicatie van en naar een server steeds belangrijker.

De bekendste manier is het versleutelen van de verbinding tussen een webbrowser en een website, oftewel HTTP over SSL. Het welbekende ‘groene slotje’ in de adresbalk van je browser. Dit is iets waar de meeste mensen wel van op de hoogte zijn en het is een algemeen ingeburgerde vorm van veiligheid.

Wat echter ook steeds meer aandacht krijgt, is het beveiligen van de verbinding tussen je e-mailprogramma en de e-mailserver. Hier kan het al snel wat complexer worden. Er worden bij het ontvangen en versturen van e-mail meerdere protocollen gebruikt en ieder van die heeft zijn eigen beveiligde versie.

Daarnaast kun je beveiligde mail op meerdere manier implementeren op een server. Deze manieren worden hieronder verder uitgelegd.

Een certificaat voor allemaal

Vanuit een technisch oogpunt is de gemakkelijkste optie om op de mailservices slechts één certificaat aan te bieden. Dan kan iedereen beveiligd e-mailen zolang ze een server/hostnaam gebruiken die in dat ene certificaat staat. Dit is de situatie die wij hebben gekozen voor ons shared hosting platform. Hierdoor kan iedereen met of zonder een certificaat voor de website beveiligd e-mailen, zo lang er maar gekozen wordt voor srvxxx.flexwebhosting.nl als inkomende en uitgaande mailserver.

Mail_SNI

Een tweede manier van het aanbieden van beveiligde e-mail is het gebruik van mail_SNI. Wellicht ken je de term SNI uit het aanbieden van certificaten op webservers. SNI is een techniek die het mogelijk maakt om op 1 IP-adres meerdere certificaten aan te bieden op basis van de naam die gebruikt wordt om de server te bereiken. Zonder SNI heb je 1 IP-adres nodig per certificaat en dat zou wel heel erg snel in de financiële papieren gaan lopen.

Met mail_SNI wordt er door de server gekeken welke domeinen correcte certificaten hebben en deze worden aan een lijstje toegevoegd. Wanneer er dan een e-mail verbinding naar de mailserver wordt gelegd, kijkt de server of de naam die is gebruikt om te verbinden, bekend is in het SNI-lijstje. Wanneer dat het geval is, biedt de server het certificaat met die naam aan en is het e-mailprogramma tevreden. Komt de domeinnaam niet in het lijstje voor? Dan biedt de server het standaard server-certificaat aan en zal het e-mailprogramma een melding geven over een ‘commonName mismatch’, oftewel een naam die niet klopt.

De derde optie

Je kan bovenstaande opties natuurlijk ook samen gebruiken. Dan kan iedereen met zijn eigen certificaat via een eigen domeinnaam een beveiligde verbinding aanbieden, terwijl je alle anderen laat verbinden met het algemene certificaat en dus een servernaam moeten gebruiken die je zelf aandraagt. Voor de eigen domeinnamen is dan wel een wildcard-certificaat nodig óf een certificaat specifiek uitgegeven op mail.domeinnaam.nl.

E-mail en versleuteling

Er zijn meerdere soorten versleuteling als het om e-mail gaat. Tot nu toe hebben we het alleen gehad over het beveiligen van de verbinding van het mailprogramma naar de server toe. Maar dat is niet alles. Want hoe controleer je de verbinding aan de andere kant? Als jij je mail beveiligd verstuurt, hoe zit het dan met de ontvanger?

Er zijn een paar technieken voor end-to-end encryptie van berichten. Deze hebben echter niets met de server te maken en alles met instellingen in het e-mailprogramma. De twee meest voorkomende methodes zijn PGP en S/MIME.

PGP/GnuPG

PGP en de open-source variant GnuPG is een software pakket dat bestanden op een erg sterke manier kan versleutelen. Dat gaat zo. Zodra je PGP activeert binnen je e-mailprogramma, maak je een privé en een publieke sleutel aan. De privé sleutel wordt gebruikt om berichten die naar je toe worden gestuurd te ontcijferen. Je eigen publieke sleutel moet je echter zelf delen met je ontvangers en die moeten de sleutel vaak handmatig vertrouwen. Daarna kan deze gebruikt worden om berichten te versleutelen op een manier dat alleen de correcte privé sleutel dit kan ontcijferen.

S/MIME

S/MIME lijkt in een aantal opzichten op pgp/GnuPG. Beide werken met een publieke en private sleutel. Echter, waar je bij PGP/GnuPG de basis van vertrouwen bij jezelf legt, ligt deze bij S/MIME bij een certificatie autoriteit. Deze geven S/MIME certificaten uit na een controle dat je daar ook daadwerkelijk recht op hebt (net zoals bij gewone SSL-certificaten) en de echtheid van de certificaten is dan ook te controleren via deze instantie. Je kan de publieke sleutel handmatig doorgeven maar je kan er ook voor kiezen om alle bericht te ondertekenen met je publieke sleutel zodat iedereen je versleutelde berichten kan sturen.

Nadelen bij end-to-end encryptie

Naast het feit dat je deze end-to-end encryptie zelf in je e-mailprogramma dient in te stellen, ben je ook afhankelijk van de ontvangende partij.

Wanneer zij jou geen publieke sleutel geven, niet dezelfde methode gebruiken of zelfs geen end-to-end encryptie ondersteunen, kan je versleutelen wat je wilt maar heb je er geen voordeel van. Je kunt er dan simpelweg geen gebruik van maken. Daarnaast, mocht je om een of andere reden je eigen privé sleutel kwijtraken dan kun je versleutelde mails die naar jou gestuurd zijn niet meer inzien.

S/MIME wordt dan ook vaak gebruikt binnen grote organisaties, waar een centrale IT-afdeling bepaalt hoe iedereen de mailservers gebruikt.

Conclusie

Het versleuteld ontvangen en versturen van e-mail hoeft tegenwoordig geen lastig probleem meer te zijn. De stand van de techniek is dusdanig verbeterd de afgelopen jaren dat het ook geen hoge kosten meer met zich meebrengt.

Ook gebruik maken van Mail_SNI op een VPS of dedicated server? Voor managed servers is een installatie hiervan kosteloos. Voor unmanaged systemen bedragen de kosten €37,50 ex btw. Neem contact op met onze technische dienst voor de mogelijkheden.

Heeft u opeens last van een mopperend e-mailaccount op uw telefoon of computer? Waarschuwingen over een beveiligde verbinding die het aangeboden certificaat niet accepteert? Dan is dit artikel voor u.

We hebben het al vaker genoemd de afgelopen weken, maar Flexwebhosting voert op verschillende fronten onderhoud uit. Niet alleen zijn er vernieuwde Algemene Voorwaarden uitgedeeld en worden er bepaalde servers niet langer ondersteund, maar ook het goed en veilig kunnen e-mailen met hostingpakketten wordt uitgerold op servers waar dit nog niet op beschikbaar was. Dit laatste kan echter tot foutmeldingen leiden binnen uw e-mailprogramma’s, of dat nu op een laptop of telefoon is, Windows of Apple.

De oorzaak

Steeds meer servers worden geupdatet naar de nieuwste standaarden. Hierbij worden er ook nieuwe certificaten geinstalleerd om het beveiligd emailen beter te laten verlopen. Helaas kan dit ten gevolge hebben dat u een melding krijgt dat het certificaat niet vertrouwd kan worden.

Dit wil niet zeggen dat het certificaat slecht is of iets dergelijks. Het heeft ermee te maken dat de naam waarmee er verbinding met de server wordt gemaakt niet overeen komt met wat het certificaat toelaat. Misschien kunt u het zich nog herinneren dat doen u ‘ooit, lang geleden’ het e-mailaccount op uw computer of telefoon heeft ingevuld een melding te zien kreeg, iets met een localhost certificaat. Daar heeft u toen vast geklikt op ‘vertrouwen en doorgaan’ en alles werkte.

De oplossing

Leuk om te weten wat de reden is, maar hoe kom je er van af? Om te beginnen moet er natuurlijk gebruik gemaakt worden van de juiste instellingen. Deze vindt u terug in uw klantenpagina.

De oplossing hiervoor is in veel gevallen slechts een kleine aanpassing. De servernaam (ook wel hostnaam genoemd) veranderen naar een servernaam die voldoet aan de eisen van het certificaat zorgt ervoor dat het certificaat vertrouwd kan worden. Hierdoor kunt u dan ook meteen een beveiligde verbinding opzetten tussen uw email programma en de server waar uw pakket op staat. De correcte servernaam voor uw pakket kunt u in de pakketgegevens pagina van het hostingpakket vinden.

In sommige gevallen houdt het email programma instellingen vast en lukt het omzetten van de servernaam niet meteen. Het e-mailprogramma volledig afsluiten en dan weer opstarten is vaak voldoende om de wijzigingen wel doorgevoerd te krijgen. Indien u dit op een mobiele telefoon wilt doen is het vaak handiger om de telefoon te herstarten.

Mocht u problemen ondervinden bij het instellen van deze aanpassing dan kunt u uiteraard contact met ons opnemen zodat wij u verder kunnen helpen.

/squirrelmail

Naast het gebruik van de hierboven genoemde certificaten zijn er nog een paar andere zaken die wat anders verlopen dan u wellicht gewend bent.

Wanneer u Squirrelmail gebruikte om uw e-mail online te bekijken, zult u erachter komen dat deze niet langer meer beschikbaar is. Squirrelmail is een pakket dat helaas erg weing geupdatet wordt en daardoor werkt het niet goed samen met de nieuwere PHP versies. De laatste officiële versie die de ontwikkelaars van Squirrelmail hebben uitgebracht stamt al uit 2011…

In plaats hiervan zijn we enkele jaren geleden de overstap naar RoundCube begonnen. Deze webmail-client wordt wél nog actief ontwikkeld en biedt functionaliteiten en een interface die nog het meeste overeen komt met moderne e-mailprogramma’s.

U kunt de RoundCube webmail ten alle tijden bereiken via de link in de pakketgegevens pagina van uw hostingpakket of via uw eigen domeinnaam, gevolgd door /webmail. Bijvoorbeeld http://jansenenjanssen.nl/webmail. U wordt dan automatisch doorgestuurd naar de juiste, beveiligde RoundCube-pagina.

Het kan zijn dat het automatisch invullen van de gebruikersnaam en het wachtwoord niet meer gedaan wordt. De webbrowser houdt namelijk een lijstje bij dat aangeeft dat een inlogveld op een bepaald adres een bepaalde waarde moet krijgen. Echter wordt u vanaf nu standaard naar een beveiligd adres van de server doorgestuurd. Het opnieuw handmatig invoeren van de inloggegevens en het laten opslaan door de webbrowser zou voldoende moeten zijn om ook dit weer te laten werken.

/flexadmin

U weet het waarschijnlijk al, maar inloggen in uw hostingpakket gaat gemakkelijk via de klantenpagina. U komt dan direct in het controlepaneel van uw hostingpakket uit.

‘Vroeger’ werd er echter gebruik gemaakt van de /flexadmin-loginpagina. Dan ging je naar http://jansenenjanssen.nl/flexadmin en kwam je bij het hostingpakket uit. Ook dat werkt tegenwoordig net ietsje anders: dat is vanaf nu http://jansenenjanssen.nl:2222. Ook deze link wordt automatisch doorgestuurd naar de juiste, beveiligde URL.

Inloggen via de klantenpagina blijft gewoon werken zoals het al deed, hier is niets aan veranderd.

Conclusie

Het mag blijken: er gaat het een en ander veranderen voor uw hostingdiensten. Voor nu is het even doorbijten. Maar als we klaar zijn, worden we er wel nog beter van.

Vorige week werd WordPress versie 4.9.3 uitgebracht. Helaas zat er een klein euvel in: de auto-update functie binnen WordPress zelf werd hiermee uitgeschakeld. Websites op versie 4.9.2 zijn wel automatisch geüpdatet naar 4.9.3, maar zullen niet automatisch verder gaan.

Auto-wat?

WordPress maakt sinds versie 3.7 al gebruik van een auto-update functie. Hierdoor worden de websites volledig geautomatiseerd geüpdatet naar een nieuw uitgebrachte versie. Hartstikke handig natuurlijk, want helaas gebeurt het nog wel eens dat een site wordt ‘vergeten’ en, na drie jaar updates gemist te hebben, gehackt.

WordPress’ auto-updater update zogenaamde minor versions. Van 4.9.1 naar 4.9.2 bijvoorbeeld, of van 4.8.3 naar 4.8.4. Maar niet van 4.8 naar 4.9 of van 4.9 naar 5.0.

Standaard staat de functie aan, maar deze kan handmatig uitgeschakeld worden middels een extra toevoeging in de wp-config.php.

N.B.: Op onze shared hosting servers wordt hier op gemonitord en wordt de auto-update weer ingeschakeld als we merken dat deze uitgeschakeld is. Dit omdat er vaak bugfixes uitgebracht worden die de veiligheid van sites ten goede komen en dat vinden wij natuurlijk heel fijn.

Welke sites hebben er last van?

Alleen WordPress websites die op het moment van de release van versie 4.9.3 gebruik maakten van 4.9.2 kunnen vanaf dat moment problemen ondervinden met het automatisch updaten. Dit betreft dus alleen websites die geïnstalleerd zijn sinds de release van de 4.9 branch drie maanden geleden of websites die handmatig zijn geüpdatet naar 4.9.

‘Kunnen’, want het hoeft niet. Het klinkt logisch dat het wél zo is, maar toch komen er voldoende reacties van gebruikers met een auto-updatende WP 4.9.x site die wel gewoon door is gegaan naar 4.9.4. Ik heb er zelf ook zo eentje draaien. Nee, niet dit blog. Daarnaast zal onze application installer Installatron ook een handje helpen.

Wat nu?

Maak jij gebruik van een WordPress site of hou je deze bij voor iemand anders? Log dan nu in om te controleren welke versie je gebruikt! Je ziet dit in je WP-dashboard in de rechter-benedenhoek.

Ben je blijven ‘hangen’ op 4.9.3, update dan handmatig naar de nieuwe versie, 4.9.4. Vanaf dat moment zal je weer verder automatisch geüpdatet worden.

Daarnaast, zegt het voort! Veel gebruikers zijn misschien blindelings gaan vertrouwen op de auto-updater die WordPress is gaan leveren en zullen zich niet realiseren dat er nu zelf wat gedaan moet worden. Het is belangrijk dat zo veel mogelijk gebruikers of beheerders hier van op de hoogte worden gebracht, zodat we het internet niet te ver achter laten lopen.

Meer informatie

https://wordpress.org/news/2018/02/wordpress-4-9-4-maintenance-release/

De technische details

Afgelopen weekend is er een nieuwe versie van Magento2 uitgebracht. De ontwikkelaars hebben zich speciaal gericht op de performance. Deze was, zoals bij iedereen wel bekend, schrikbarend slecht. Zou het nu beter zijn?

Magento. Een van de bekendste webshop software die bestaat en een typisch voorbeeld van een “you either love it or hate it” programma. Want voor alles wat het goed doet, is het werkelijk waar te log voor woorden.

De afgelopen week stond de halve wereld weer eens op z’n kop. Een stelletje slimme koppen is er namelijk achter gekomen dat zo’n beetje iedere computer en server die sinds de ninetees wordt verkocht, vatbaar is voor een vrij kritiek lek. Door een bepaalde manier van werken, kan er via de processor toegang worden gekregen tot het geheugen. En tja, dat geheugen he. Daar staat dan weer van alles en nog wat in opgeslagen. Wachtwoorden bijvoorbeeld…

Meltdown en Spectre, zoals de kwetsbaarheden genoemd zijn, zijn niet de eerste twee die zich ongeoorloofd toegang tot het geheugen verschaffen op een slinkse manier. De techniek achter de manier zullen we maar achterwege laten, want dan zitten we hier morgen nog. Toch geïnteresseerd? Kijk eens op Tweakers of de officiele Meltdown/Spectre-pagina.

Smeltende servers?

De vraag is dan natuurlijk, ben je daadwerkelijk kwetsbaar? Smelt je computer zometeen echt onder je bureau vandaan of wordt je hostingserver door een heuse James Bond aartsvijand gegijzeld?

Nou ja, dat nou ook weer niet. Wel is het zo dat alles met een (Intel) processor toch wel degelijk misbruikt kan worden als de juiste manier gevonden wordt en dat is een risico. Zorgen dat er degelijke beveiliging voor beschikbaar komt, was voor veel partijen dan ook een must. In de afgelopen week hebben onder andere Microsoft, Apple, Google en de Linux ontwikkelaars patches beschikbaar gemaakt om ons, de gebruikers, tegen de gevaren van de door Meltdown en Spectre geopende deuren te beschermen.

Beveiligen

Inmiddels hebben de ontwikkelaars van het door ons gebruikte platform ook de nodige patches beschikbaar gesteld. Wij zijn dus ook in staat gesteld om te beginnen met het beveiligen van ons serverpark. Dat betekent dat er vanaf volgende week volop wordt gepatched. Hier gaat iedereen wat van merken, want om de patch door te voeren moeten alle servers een keer herstart worden.

Daarnaast heeft het fixen van het probleem ook nog een tweede resultaat, namelijk dat de performance van de processoren langzamer zullen worden. Dat heeft dan weer iets te maken met de manier waarop de lekkende processor misbruikt werd. Die nam maar van alles als waarheid aan en moet dat nu opeens gaan controleren. Met andere woorden: meer controleren = langer nadenken = later resultaat. Sommige techneuten roepen dat de kracht van de processoren tot wel 30% verminderd gaat worden. Wij verwachten dat het zo’n 10-15% zal zijn.

Conclusie

Uiteindelijk valt het tijdens het browsen op het web waarschijnlijk niet eens op, want de processoren van een server hebben het vaak niet eens zo hard te halen. Bij een server zijn vaak geheugen en/of harde schijf de onderdelen die wat traagheid veroorzaken, terwijl de processoren met twee schroefjes in hun spreekwoordelijke neus staan te wachten op de volgende opdracht.

Op een thuiscomputer zal dat wellicht een ander verhaal zijn. Vooral voor de wat geavanceerdere gebruiker – fotootje shoppen, spelletje spelen, bitcointje minen – zal het verschil zeker merkbaar zijn. Desondanks is het zeker aan te raden om de aankomende weken alle beschikbare updates te installeren – of je nu een Windows, Linux of Mac-computer of laptop hebt – want het risico op het flink misbruiken van buitgemaakte gegevens is te groot om het niet te doen.

Niemand houdt van spam. Het is rotzooi en je hebt er niks aan. Oké, wie wil er nu geen drieëntwintigmiljoen euro opstrijken uit de erfenis van die Nigeriaanse prins die toevallig nog een ver familielid blijkt te zijn? Of een date met een prachtige Russische dame die claimt je grootste fan te zijn? Dromen hebben we allemaal, maar uitkomen gaan deze nooit.

Een van de meest voorkomende redenen waarom een website door ons geblokkeerd moet worden, is omdat deze wordt misbruikt voor het verzenden van spam e-mailtjes. Dat gebeurt op allerlei manieren, bijvoorbeeld doordat een e-mailadres een dusdanig gemakkelijk wachtwoord heeft dat een kleuter het binnen vier keer proberen kan raden of omdat de website zo lang al niet is bijgewerkt dat er feitelijk omgeroepen wordt dat hackers welkom zijn. Een derde mogelijkheid is het misbruik van de zogenaamde ’tell-a-friend’ mogelijkheden die websites soms bieden. Een berichtje in de trend van “Hey, ik heb deze pagina gevonden, die vind je vast leuk!”, maar dan via e-mail in plaats van op Facebook.

Omdat er nu eenmaal veel websites gemaakt zijn met WordPress, wordt daarvan ook veel misbruik gemaakt. Direct na installeren zijn er al twee mogelijkheden als spammer om los te gaan. Des te meer plug-ins er worden geïnstalleerd, des te meer mogelijkheden er bij komen. In dit artikel laten we een aantal van deze opties de revue passeren en bieden we daar natuurlijk ook een oplossing voor.

Registreren

WordPress wordt gebruikt voor tal van verschillende websites en -applicaties. Oorspronkelijk alleen opgezet als blog-platform, maar inmiddels maken ook het lokale caviaforum en de overheid er al gebruik van voor hun forum en informatie-sites. Het zelf aan kunnen melden en inloggen van gebruikers is dan ook niet altijd wenselijk (wel voor cavialiefhebbers, niet voor burgers), maar de functionaliteit is er wel.

Dan vraag je je af wat daar mee mis kan gaan. Dat zijn dus twee dingen: het aanmelden zelf en de mogelijkheden die het opent.

Want als ik me aanmeld op jouw forum, krijg jij als beheerder een mailtje. Als er dan bij het aanmelden extra informatie gevraagd wordt, kan ik zo’n veld misbruiken om een linkje naar een door mij gekozen mee te sturen. Dan dan is het dus feitelijk spam, want dat extra linkje wil je helemaal niet zien. Vooral niet als ik het dan verbloem als “zie deze link voor mijn portfolio/ID-kaart/website (kruis aan wat het beste bij de site past)” en je dan doorlink naar een louche site met schaarsgeklede dames of iets dergelijks.

Vervolgens heb ik een account en kan ik ook artikelen schrijven of reacties plaatsen. Dat is dan de volgende jackpot, want dan kan ik als spammer helemaal los gaan. We zien regelmatig een (wat oudere) WordPress site met tig-miljoen commentaren, variërend van niet-van-echt-te-onderscheiden Louis Vuitton tassen tot libido-verhogende pilletjes of snelle leningen tegen een laag rentepercentage.

WordPress biedt zelf oplossing #1: schakel het registreren van gebruikers uit. Dit kan gemakkelijk via Instellingen in de menubalk. Onder Algemeen vind je de optie Lidmaatschap, waar je door het vinkje bij Iedereen kan registeren uit te schakelen er voor zorgt dat het registratieformulier wordt uitgeschakeld.

Wil je juist wel dat mensen zich kunnen aanmelden voor een account, bijvoorbeeld omdat je een forum hebt of het juist leuk vindt als er gereageerd wordt op je posts, schakel dan het vinkje in maar zorg dat vervelende robots er niet doorheen komen. Dit kan met bijvoorbeeld een reCaptha – zo’n verificatieding dat je wel vaker tegen komt. Selecteer alle vakjes waar een auto op staat. Implementeren klinkt heel moeilijk, maar stelt niks voor met bijvoorbeeld de plug-in Google Captcha (reCAPTCHA) door BestWebSoft. Bijkomend voordeel: deze plug-in beveiligt direct ook je log-in en reactie-formulieren. Wel zo handig!

Reacties

Dit brengt ons ook direct bij de tweede mogelijkheid om als spammer een WP-site te misbruiken. Reacties op je blog-artikelen zijn natuurlijk hartstikke leuk. Dat betekent namelijk dat iemand de tijd heeft genomen om jouw stukje tekst te lezen en zich geroepen voelt om er zijn of haar mening over te geven. Beetje jammer als dat dan alleen maar over nepschoenen of blauwe magische pilletjes gaat…

Reacties uitschakelen is mogelijk, bijvoorbeeld door de Disable Comments plugin van Samir Shah te gebruiken. Wil je reacties wél toe blijven staan (want het is en blijft leuk), zorg dan dat ook daar een beveiliging tegen robotjes bij komt. De eerder genoemde reCaptcha plug-in doet dit voor je, heel makkelijk dus.

Plug-ins

Vervolgens ga je natuurlijk je site bouwen en worden er plug-ins geïnstalleerd. Een erg populaire plug-in met een heel scala aan verschillende functies is Jetpack. “De enige plug-in die je nodig hebt voor statistieken, gerelateerde berichten, zoekmachineoptimalisatie, delen via social media, bescherming, back-ups, snelheid en beheer van je mailinglist.”  Nou, dat is dus best veel.

Er zit daar ook een addertje onder het gras. Want, met zo veel functionaliteit, zit er ook wel eens wat tussen waar je niet blij van wordt. In dit geval is dat de deel-functie, want dan kun je dus pagina’s doorsturen naar vrienden. En als ik een mailtje kan sturen naar Jan vanuit jouw site met een berichtje over hoe leuk die pagina is, kan ik daar ook meteen bijzetten dat mijn voorraad pilletjes weer is aangevuld, toch? Jammer.

Maar, Jetpack houdt ook hier rekening mee door reCaptcha als optie aan te bieden. Het enige wat je hiervoor hoeft te doen, is twee regeltjes toe te voegen aan het wp-config.php bestand:

define( 'RECAPTCHA_PUBLIC_KEY', 'XXXXXXX' );define( 'RECAPTCHA_PRIVATE_KEY', 'XXXXXXX' );

Eenmaal opgeslagen, wordt de ‘delen via e-mail’-optie in ieder geval beschermd met dezelfde reCaptcha als die van het registreren en het plaatsen van reacties. Daarnaast kun je de hele optie sowieso uitzetten via de nieuw beschikbaar gekomen Jetpack instellingen. Onder Delen staat nu een lijstje van deel-opties, zoals Facebook, Twitter en dus ook e-mail. Wanneer je het e-mail-symbooltje versleept van Geactiveerde services naar Beschikbare services haal je de hele verstuur-een-e-mail-optie weg. Want e-mail is zooo 2017…

Conclusie

Het is dus niet zo moeilijk. Het enige wat je nodig hebt om een groot gedeelte van het spam-misbruik te voorkomen, is tien minuten tijd en een setje reCaptcha-keys van Google. Je krijgt ze met een webmaster-account op https://www.google.com/recaptcha/, waar je per site, domeinnaam of project codes kunt genereren.

Dus, doe jezelf (en alle potentiële ontvangers) een lol en neem de volgende keer dat je inlogt even de tijd om je site te beveiligen. Daar wordt iedereen blij van.

Behalve spammers natuurlijk, maar daar geven wij niks om.

Wij vinden het leuk om dingen weg te geven. Of het nou korting is of producten of diensten zijn, wij worden er blij van. Daarom pikken we ook een graantje mee van de gekte van deze dag en hebben we zes aanbiedingen verzonnen waarvan wij denken dat jij er wat aan hebt. Waar waar komt het eigenlijk vandaan? En wat doen we er mee?

Een zwarte dag in de geschiedenis staat synoniem voor een dag waarop iets ergs is gebeurd. Vaak betreft dat een ongeluk of een aanslag met veel doden en gewonden, maar ook een dag van financiële crisis kan zo genoemd worden. Denk bijvoorbeeld aan de vrijdag na de Brexit-stemdag, waarbij de financiële markten wat vertrouwen en gezamenlijk twee triljoen dollar verloren. Hatsjekidee.

De jaarlijks terugkerende Black Friday is niet zo gevaarlijk. Of nou ja, gevaarlijk voor je portemonnee misschien, maar daar blijft het dan ook bij.

Oorsprong

Een paar duizend kilometer verderop, over een hele grote oceaan, vieren ze ‘Thanksgiving Day’. Dat is een mooie dag ergens in de laatste week van november waarop dat er massaal “Thank you” gezegd wordt. Tegen God, familie of vrienden bijvoorbeeld. Een mooi en vooral gezellig idee, want het wordt vooral gevierd met familie en ook al wonen die mijlen ver bij elkaar vandaan, iedereen zit gezellig aan tafel met een drankje en overvloed aan eten.

De dag erna moet er worden uitgebuikt en heeft iedereen vrij. Dat niet alleen, maar traditioneel gezien is het ook de start van het kerstinkoop-seizoen. En dáár hebben de Amerikaanse ondernemers dan weer slim gebruik van gemaakt. Dit startshot geven ze namelijk door een dag lang de gekste kortingen te geven. Je kent het wel uit films of van het nieuws: honderden of duizenden mensen die zich in drommen massaal door nog niet eens helemaal geopende deuren heen wringen om als eerste die blitse TV of geweldige telefoon te pakken.

Waar de kleur zwart vandaan komt, is niet helemaal met zekerheid te zeggen. In het Nederlands heb je het over “Het ziet zwart van de mensen” (en nee, niet alleen bij een zekere intocht die toevallig ook in november is). Dat is dan ook de leukste verklaring die er aan gegeven kan worden en al sinds de jaren vijftig gebruikt wordt door de lokale politie die het verkeer in de gaten moest houden.

Hoe het ook zij, de naam is blijven hangen en staat tegenwoordig synoniem voor een van de drukste en gekste dagen van het Amerikaanse retail-jaar. Inmiddels is het overgewaaid naar andere delen van de wereld en sinds een jaar of twee ook onderdeel van de Nederlandse economie.

Black Friday @Flexwebhosting

Wij vinden het leuk om dingen weg te geven. Of het nou korting is of producten of diensten zijn, wij worden er blij van. Daarom pikken we ook een graantje mee van de madness van deze dag en hebben we zes aanbiedingen verzonnen waarvan wij denken dat jij er wat aan hebt.

Wat denk je bijvoorbeeld van gratis VPS-upgrades? Of sterker nog, gratis hostingpakketten? Serieus, leuker dan dat kan het eigenlijk niet worden. Gekker ook niet. Voor alle aanbiedingen, check the speciale Black Friday pagina en claim die korting.

Flexwebhosting. Wij zijn leuker. Zelfs op een zwarte dag.

Wat kun je doen om je WordPress website te beschermen? Een firewall is een goede uitkomst. Deze werkt voor jou bij de voordeur en fungeert als een soort bouncer. Want als je hackers buiten houdt, kunnen ze binnen ook geen kwaad doen.

In het vorige artikel hebben we het gehad over het beschermen van ingebouwde ingangen en vergeten achterdeurtjes in de vorm van thema’s en plug-ins. Door te blijven updaten en onnodig geraakte add-ons te verwijderen, houd je je site een stuk veiliger.

Wat kun je nog meer doen om je publiekelijk bereikbare website te beschermen? Een firewall is een goede uitkomst. Deze werkt voor jou bij de voordeur en fungeert als een soort bouncer. Als je hackers buiten houdt, kunnen ze binnen ook geen kwaad doen.

WordFence to the rescue!

Wat is het?

WordFence is een van de meest gebruikte plug-ins op het gebied van beveiliging in de volledige WordPress plug-in directory. Met ruim drieënvijftig miljoen downloads en meer dan twee miljoen actieve installaties, beschermen ze het internet met maar een doel:

“WordFence Firewall stops you from getting hacked.”

Nou, dat is nogal duidelijke praat. Ga er maar aan staan.

Hoe doen ze dat?

Door gebruik te maken van een breed scala aan technieken, houdt deze plug-in je website zelfs in de gratis variant al behoorlijk veilig. Een aantal kernpunten van de plug-in zijn:

Firewall: Alle binnenkomende verzoeken worden gescand en beoordeeld. Bekende hacks en hack-gerelateerde aanvragen worden geweigerd.

Rate Limiting: Een rate-limiter bekijkt het aantal aanvragen van een bepaald IP-adres, of het nu een Bot of een Mens is, en controleert of dit nog wel door de beugel kan.

Brute Force Protection: Ook het aantal inlogpogingen wordt gemonitord en de verbindingen worden geblokkeerd als het verdacht lijkt.

Scans: Op basis van bekende gegevens wordt een website doorgelicht. Ze kijken bijvoorbeeld naar de code van WordPress-bestanden en vergelijken die met een schone installatie van dezelfde versie. Als daar verschillen tussen zitten, klopt er iets niet. Hetzelfde geldt voor thema’s. Daarnaast kijken ze naar of er überhaupt bestanden gewijzigd zijn en sturen je een melding als dat gebeurt, voor het geval dat je het zelf niet bent.

Meldingen: Is er een update voor WordPress zelf, een plug-in of een thema? Je krijgt een seintje wanneer dat zo is.

Waarom zou ik?

Is het echt zo belangrijk, een firewall op je WordPress-website? Er is maar een goed antwoord op deze vraag: JA.

Een aantal weken geleden schreef ik een artikel over mijn gehackte server. Op dat moment werd ik geconfronteerd met de harde realiteit over internetcriminaliteit: het houdt gewoon niet op. Dat doet het pas op het moment dat je er heel hard tegen optreedt, bijvoorbeeld door een firewall er voor te zetten.

“Ja, maar ik heb maar een simpel blog en alleen mijn familie kijkt er op.” Dat maakt niet uit, want zo’n blog heb ik ook. Wekelijks vier bezoekers vanuit de familie, misschien tien als mijn vrouw mijn nieuwe post op Facebook zet. En toch zit ik deze maand – die nog geen twee weken aan de gang is – al op veertig geblockte aanvallen.

“Ja, maar ik gebruik helemaal geen WordPress.” Nee, dan kun je inderdaad geen WordFence gebruiken. En toch moet je dan wel opletten dat je je blog of website goed beveiligt. Voor dit blog maken we ook geen gebruik van WordPress en toch zien we dagelijks aanvragen op wp-admin terugkomen.

Conclusie

Al met al is ‘veilig op internet’ maar een lastige kwestie. Je blijft aan de gang met continue verbeteren en beveiligen. Het is handig als een enkele plug-in zoals WordFence dan kan helpen. Wil je nog extra beveiligd zijn, kun je de Premium variant van deze plug-in overwegen. Dit biedt dan weer net dat beetje extra. Maar, zelfs de gratis variant doet al uitstekend werk. En samen met een goed plug-in en template-beleid, kom je al een heel eind.

Extra beveiliging komt vaak pas ter sprake als het te laat is. Dan pas zie je eigenlijk hoe veel slechterikken er online actief zijn.

Geen zin in de inleiding? Ga hier naar de installatie-instructies!

Mijn server werd laatst gehackt. Geen versleutelde bestanden, gelukkig. Maar wel een cryptominer er op.

Ik kwam er achter omdat ik een melding kreeg van DirectAdmin. Net voordat ik op de fiets naar huis stapte. “Warning: The system load average is 10.08.” 10 is nog niet zo spannend. Misschien wat processen die zijn blijven hangen, of een back-up die gemaakt wordt.

Nog geen tien minuten later aan de eetkamertafel zoemde mijn telefoon weer. “Warning: The system load average is 22.49.” Ho even, dat kan zo maar niet. Via mijn telefoon ingelogd in DirectAdmin, de proces-lijst opgeroepen. Daar stond hij. Vol trots bovenaan de lijst, flink te stampen. Een cryptominer. Geld te verdienen met mijn server? Ik dacht het niet! Twee minuten later stond de server uit en keken mijn vrouw en kind me vragend aan. Want papa was opeens wel even héél snel.

Gelukkig ging het in dit geval om mijn ‘staging’ server. De server waar mijn applicaties op draaien die ik ontwikkeld heb en waar de opdrachtgever dan kan kijken hoe het er uit ziet, voordat ik de applicatie live zet. Wat dat betreft maakte het me niet eens zo heel veel uit, want die kan ik gemakkelijk herinstalleren en doorgaan. Maar het heeft me wel aan het denken gezet. Want als ze al op mijn staging server komen, dan kunnen ze dat ook bij mijn live server. En dáár word ik dan weer minder blij van.

De oorzaak

Tot op de dag van vandaag weet ik niet hoe ze er in zijn gekomen. Ik zorg altijd dat mijn server up-to-date is, draai de nieuwste versies van bijvoorbeeld OpenSSL en Apache en heb, dacht ik, redelijk sterke wachtwoorden, zelfs voor mijn testomgevingen. Toch wisten ze een bestand op root-niveau te plaatsen, wat eigenlijk alleen maar kan betekenen dat ze ofwel het root-wachtwoord wisten, ofwel zichzelf vanuit een user-account hebben kunnen upgraden.

In de logs was niets terug te vinden. Wachtwoord-bestanden zoals /etc/passwd en /etc/shadow waren intact. Uiteindelijk heb ik de klopjacht maar opgegeven en heb ik me neergelegd bij een 1-0 nederlaag.

En toen

De beslissing om een nieuwe server op te leveren was dan ook snel gemaakt. Na het installeren en het zorgen voor de juiste versies van PHP, GIT en nog meer van dat soort dingen, zocht ik mijn heil in de firewall van de server. DirectAdmin biedt namelijk ‘out of the box’ de mogelijkheid om de logs uit te lezen en te bepalen of er IP-adressen vaak foutief inloggen. De Brute Force Monitor.

Voor degene die niet weten hoe een Brute Force aanval werkt, eigenlijk is het heel simpel. Je hebt een deur. Je hebt een oneindig grote sleutelbos met mogelijke sleutels. Begin maar vooraan en ga net zo lang door totdat je de juiste sleutel hebt.

Met een kleine aanpassing in DirectAdmin en de installatie van een aantal extra scriptjes is het mogelijk om de logs volledig geautomatiseerd uit te laten lezen en de IP-adressen te laten blokkeren. Dat wist ik, maar ik had nog nooit de moeite genomen om me daar in te verdiepen. Daar werd het nu tijd voor.

Installeren

Met wat hulp van mijn technische collega’s heb ik op mijn gloednieuwe staging server de nodige stappen doorlopen om DirectAdmin automatisch te laten blokkeren. Via SSH waren dat de volgende 12 commando’s:

1. cd /etc/init.d2. mv -fv iptables iptables.backup3. wget http://files.directadmin.com/services/all/block_ips/2.1/iptables4. chmod 755 iptables5. /etc/init.d/iptables restart6. cd /usr/local/directadmin/scripts/custom7. wget http://files.directadmin.com/services/all/block_ip.sh8. wget http://files.directadmin.com/services/all/show_blocked_ips.sh9. wget http://files.directadmin.com/services/all/unblock_ip.sh10. wget http://files.directadmin.com/services/all/brute_force_notice_ip.sh11. chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh brute_force_notice_ip.sh12. touch /root/blocked_ips.txt; touch /root/exempt_ips.txt

Stap 1 t/m 5 hebben te maken met het instellen van IP-tables. Dit is de firewall van de server en door het overnemen van de DirectAdmin versie kan DA er vervolgens mee gaan babbelen.

Stap 6 t/m 11 halen de benodigde scripts van de DirectAdmin server af. De namen spreken redelijk voor zich.

• block_ip blokkeert een IP-adres
• show_blocked_ips leest de geblokkeerde IP-adressen uit voor de weergave binnen DA
• unblock_ip haalt een IP-adres uit de firewall
• brute_force_notice_ip is het script wat de admins notificeert dat een IP-adres een brute force aanval uitvoert en vervolgens ook de blokkade uitvoert.

In stap 11 worden de bestanden van de benodigde rechten voorzien. Ten slotte worden in stap 12 twee lege tekst-bestanden aangemaakt, waarin de geblokkeerde IP-adressen (blocked_ips) en de IP-adressen op de ‘skip list’ (een soort whitelist) worden opgeslagen.

Configureren

Vervolgens moet er binnen DirectAdmin het een en ander geconfigureerd worden. Hiervoor zijn er in de Administrator Settings een paar instellingen te vinden.

Een klein puntje van aandacht zijn de ‘notify admins after’ opties. Dit gaat namelijk niet alleen om het notifyen van de admin via het DirectAdmin message system, maar óók om het blokkeren van de IP’s. Beide acties worden namelijk uitgevoerd door het brute_force_notice_ip script wat in stap 10 binnen gehaald wordt. In eerste instantie had ik dat niet eens door. Ik hoef heus niet bij iedere paar pogingen een melding te ontvangen, dus ik had de limiet op 1000 ingesteld staan. Maar ik vind 25 keer verkeerd inloggen al voldoende om iemand de deur te wijzen. Maarja, door die limiet op 1000 te zetten, gaat DirectAdmin ook pas blokkeren bij 1000 mislukte inlogpogingen. #waytoofriendly

Resultaten

Uiteindelijk staat dan toch alles goed ingesteld en kan het blokkeren beginnen. En hoe. Het heet met recht een Brute force monitor, want die aanvallen die zijn er. In drie dagen tijd heb ik van DirectAdmin 177 berichten gevonden en staan er tussen de 40 en 60 IP-adressen op de blacklist. Op de root-user zijn er bijna 90.000 inlogpogingen geweest, 1200 op user admin en 156 op user oracle. Wie? Oracle. Volgens mij doen die iets met databases, maar waarom die dan op mijn server zou moeten staan? Geen idee…

Conclusie

Het meest frappante van dit alles? Het is een staging-server. Er staat niks van waarde op, er draaien geen live sites en de enige manier om bij de server uit te komen is toevallig te weten hoe mijn ontwikkel-domein heet. Het gaat hier dus niet om een gerichte aanval, maar om willekeurige hackers die willekeurige IP-adressen afstruinen om met willekeurige gebruikersnamen (oracle, git, pi, jenkins, ubuntu en zo kan ik nog wel even doorgaan) in te loggen. Maar met nog 8 uur te gaan op dag drie en de teller voor root hard stijgend naar de honderdduizend, weet ik in ieder geval dat ik mijn wachtwoorden extra aan moet gaan scherpen. Stelletje etterbakken.

Ook extra bescherming toevoegen op je server? Stuur een ticket naar onze technische dienst en wij regelen het voor je. Gratis voor managed servers, €35 ex btw voor unmanaged.

In serverland zijn er veel verschillende termen voor veel verschillende diensten. Af en toe is dat best verwarrend. Bij iets belangrijks als het type server scheppen we graag duidelijkheid. En om het uit te leggen aan mensen die zich liever bezig houden met hun eigen interesses, vergelijken we het vaak met huizen.

Het appartementje

Shared hosting is over het algemeen wel duidelijk: hostingruimte op een server waar je met nog wat andere websites op staat. Je levert in op vrijheid en configuratie-opties, maar wint stevig in prijs. Bijkomend voordeel: wij zorgen voor de server, daar hoef je zelf niet naar om te kijken.

Eigenlijk huur je dus gewoon een kamertje in een gebouw. Een studentenkamer in Amsterdam of een appartementje hier in Eindhoven bijvoorbeeld.

De duplex-woning

Ook een VPS, een Virtual Private Server, is vrij normaal. Ja, je hebt een eigen afgeschermde server, maar eigenlijk ook weer niet. Het is een afgeschermde omgeving, maar de hardware zelf wordt nog gedeeld met andere VPSsen. Heeft de fysieke server bijvoorbeeld 64 processoren, 128 gigabyte geheugen en 4 terrabyte aan harde schijven aan boord, dan mag jij er 4, 8 en 500GB van gebruiken.

Het is dus een compleet huis, maar je deelt de fundering en de buitenmuren. Een duplex-woning dus eigenlijk, want je hebt allebei je eigen ingang. Wat je doet met de ruimte achter jouw ingang, mag je zelf weten. Eigen keuken, slaapkamer onderverhuren, verzin maar wat leuks.

Wanneer je een VPS gebruikt, heb je eigenlijk geen weet van andere VPSsen op die hardware. Dat in tegenstelling tot een flatgebouw, waar je elkaar bij de ingang beneden nog tegenkomt.

Het flatgebouw

Over wat een dedicated server nu precies is, kan nog wat verwarring ontstaan. Dit komt door het verschil in interpretatie van wat ‘dedicated’ betekent.

Cambridge Dictionary legt dedicated uit als: ‘designed to be used for one particular purpose’. Grappig genoeg geven ze dan als voorbeeld ‘a dedicated computer’. Heel toepasselijk.

Een dedicated server is een server die alleen voor jou is. Een echte server wel te verstaan: fysiek, niet virtueel. Met andere woorden, als het een server is met 4 processoren, 8GB geheugen en 500GB harde schijven dan zijn die alle 4, 8 en 500 voor jou.

Dit is dus wel een flatgebouw. Jij hebt een heel groot gebouw met meerdere appartementen en kamers. Die mag je inrichten of onderverhuren hoe jij dat wilt.

Tot zo ver niets spannends. Waar de verwarring ontstaat is echter bij het verschil tussen een gevirtualiseerde dedicated server en een zogenaamde ‘bare metal server’, die bij andere providers vaak aangeboden wordt. Want ja, een dedicated server bij FXW/Flexwebhosting is gevirtualiseerd, wat het principe dan terug brengt naar een VPS. Maar waarom?

Eigenlijk is het heel simpel. We hebben allemaal wel eens een computer gehad waar iets stuk aan is gegaan. Een harde schijf of een reepje geheugen bijvoorbeeld. Geen probleem: even openschroeven, nieuw onderdeel er in en doorgaan. Jammer als het de harde schijf is, want dan ben je ook meteen al je bestanden kwijt.

Bij een server werkt dat net iets anders. Die hangt namelijk in een rack in het datacenter, aan de andere kant van het land. Daar hangen nog honderden andere servers omheen en er lopen duizenden kabels van hot naar her. ‘Even iets vervangen’ is dan ook vaak een kwestie van goed plannen en uitkijken wat je doet. Vervolgens moet je de server uitzetten terwijl je aan het werk gaat en bent en pas weer aanzetten als je klaar bent.

Wat zou het dan toch makkelijk zijn als je, terwijl je server gewoon aan blijft staat en lekker door draait, een identieke kopie kunt maken van de server en die op andere hardware kunt zetten, toch? Dat je ongemerkt een kloon maakt op een server die niet stuk is en als die kloon klaar is, de oude uit zet en die nieuwe kloon kunt opstarten.

Ja, dat is het inderdaad. En dat is ook precies de reden waarom wij onze dedicated servers virtualiseren. Hierdoor hebben wij namelijk nog een achteringang naar de hardware zelf, waarmee we een zogenaamde sync kunnen starten. Hiermee zetten we alle bestanden een voor een over naar een andere, fysieke server. Dit kan gewoon terwijl alles aan staat. Wel zo handig.

De fundering

Dan zijn er nog ‘bare metal servers’. Dit zijn dedicated servers die niet gevirtualiseerd zijn. Je krijgt in zo’n geval echt alleen maar de fysieke server en een achteringang via SSH. Meer is het niet. Vergelijk het maar met de fundering op een stuk grond. Geen heipaal of betonnen muur te bekennen. Leeg he?

Voor sommige mensen is dit juist een uitkomst. Complete vrijheid om neer te zetten wat je wilt, hoe je het wilt. Voor andere is dit juist niet zo handig, omdat ze wel weten hoe ze een website moeten maken en hoe ze een server met DirectAdmin moeten beheren, maar niet weten hoe ze DirectAdmin geïnstalleerd krijgen, of hoe ze een partitie moeten aanmaken, of hoe ze een besturingssysteem moeten installeren.

Bare metal servers zijn dan ook een compleet andere tak van sport. Het vereist een bepaald kennisniveau en een specifiek doel, anders begin je daar niet aan.

Conclusie

Als hostingprovider voor zowel shared als server-hosting geven wij de voorkeur aan gevirtualiseerde servers. Gelukkig zijn onze klanten het daar over het algemeen ook mee eens, want nog geen 20% van onze servers zijn dedicated en van deze 20% is slechts 6% ‘bare’. Dat is een magere 1% van het totaal.

Maar, mocht je die kennis of het doel hebben, kunnen we je ook helpen. Wij storten de fundering wel voor je, de rest mag je helemaal zelf doen.

WordPress is hartstikke leuk. Echt waar, voor heel veel mensen is het een uitkomst. Developers die liever niet designen, designers die het developen liever aan hun collega’s overlaten en gebruikers van alle niveaus. Helaas is dat nu net ook de valkuil. Ook voor hackers is het leuk. Dat vinden wij, als hostingprovider, dan weer niet leuk.

In enkele artikelen brengen we wat kleine trucjes onder de aandacht om jouw WordPress site op een zo’n gemakkelijk mogelijke manier toch gewoon veilig en bruikbaar te houden. In deze editie een simpel maar effectief onderwerp: hoe ga je om met je thema’s en plug-ins.

Wat zijn het

Met thema’s en plug-ins zorg je dat jouw website precies doet wat jij wilt. Een contactformulier maken bijvoorbeeld, of wisselende afbeeldingen op de startpagina. Twee kolommen in plaats van één of alle pagina’s onder elkaar.

Als je naar ze kijkt puur op een beveiligings-niveau en het dan vergelijkt met een huis, zijn het eigenlijk allemaal achterdeuren of extra ramen. Iedere plug-in en ieder thema biedt een nieuwe, mogelijke ingang tot je website. Eentje die je dus wel goed op slot moet doen als je de virtuele deur achter je dicht trekt.

Een onderzoekje

Omdat we eens wilden weten hoe ernstig dit probleem nu daadwerkelijk is, hebben we ons shared hostingplatform eens onder de loep genomen. De resultaten hiervan zijn eigenlijk best zorgwekkend.

Want als je je bedenkt dat een website maar één actief thema kan hebben (op je muur zie je immers ook maar één laag verf of behang), maar er gemiddeld vijf thema’s per site geïnstalleerd staan, dan klopt er iets niet. Of dat WordPress out-of-the-box best al wat functionaliteit biedt en er met een plug-in of vijf tot tien zo’n beetje alles toch wel mogelijk is, waarom zijn er dan gemiddeld zeventien plug-ins geïnstalleerd?

We hebben zelfs sites gezien met meer dan honderd thema’s – het record is vierhonderdvierentachtig! – en tachtig tot negentig plug-ins – met ook hier vierhonderdzestig als record.

Installeren

Tijdens de opkomst van Windows en het internet zag je overal en nergens downloadsites verschijnen. De een nog betrouwbaarder ogend dan de ander, de ander een nog gevaarlijker of irritanter virus meeleverend dan de een. Inmiddels zijn we als gebruikers een stuk voorzichtiger geworden en installeren we niet zomaar iets bij ieder linkje wat we zien.

Binnen de WordPress-community kun je eigenlijk datzelfde principe toepassen als waar we de afgelopen jaren zo in getraind zijn. Installeer een thema of plug-in altijd vanuit de WordPress-collectie of van een andere vertrouwde leverancier, zoals ThemeForest. Kijk bij het uitzoeken van een download dan ook meteen naar de reputatie. Het aantal sterren samen met het aantal reacties wat die sterren heeft gegeven, zegt veel over de kwaliteit. Als je moet kiezen tussen een plug-in met minder dan 5.000 downloads waarvan vier mensen vijf sterren geven en een vergelijkbare plug-in met meer dan 100.000 downloads waarvan zevenhonderdtweeëntachtig gebruikers samen vier sterren geven, dan kies je natuurlijk voor die tweede.

Ten slotte controleer je ook nog of de plug-in of het thema werkt op jouw versie en wanneer deze voor het laatst is geüpdatet. WordPress komt regelmatig met een update waar ontwikkelaars hun eigen toevoegingen op moeten aanpassen. Als er al meer dan een half jaar geen update meer is geweest, is dat vreemd. Een jaar betekent vaak dat de ontwikkeling helemaal gestopt is. Vermijden is het devies.

Bijhouden

Als je eenmaal tevreden bent met je website en de plug-ins en thema’s dusdanig geconfigureerd zijn dat je met een gerust hart kunt uitloggen, dan begint de pret pas echt. Naast het genieten van je harde werk, log je natuurlijk ook regelmatig in om te kijken hoe veel bezoekers je trekt en om een oogje in het zeil te houden. Via je WordPress dashboard kun je gemakkelijk je plug-ins en thema’s updaten. Er is echt geen reden om dat niet te doen. Je logt in in je dashboard, klikt op het gele update bolletje en laat WordPress vervolgens al het werk doen.

Doe dat overigens voor álle plug-ins en thema’s die je geïnstalleerd hebt, niet alleen voor de paar die je actief gebruikt. Dit geldt dus ook voor je actieve thema, ook al is dit op jouw wensen afgestemd. Hiervoor wordt (als het goed is) altijd een zogenaamd ‘child-theme’ gebruikt, waardoor je ook je thema feilloos in je update-proces mee kan nemen.

Verwijderen

Even terugkomen op de niet actief gebruikte thema’s en plug-ins, die je vanaf nu dus wel iedere keer mee update. Waarom staan die er eigenlijk nog? Omdat je ze ooit uitgeprobeerd hebt, maar niet mooi, leuk of nuttig genoeg vond? Jammer genoeg zijn juist dit de boosdoeners voor het grootste gedeelte van alle gehackte websites.

En het grootste probleem is dan dat de in het vorige punt genoemde advies niet gevolgd wordt. Waarom zou je die updaten, als je ze toch niet gebruikt? Logische vraag. Maar als de buurjongen iets te enthousiast aan het oefenen is om de volgende Arjan Robben te worden en zijn gloednieuwe voetbal door jouw keukenraampje trapt, ga je het dan ook niet vervangen omdat je die toch nooit open zet? Of als het slot van je voordeur van gammeligheid en roest uit het houtwerk valt, laat je het daar dan ook maar bij omdat je toch altijd via de poort naar buiten en binnen gaat?

NB: dit geldt dus óók voor de standaard door WP meegeleverde onderdelen, zoals Akismet en de twenty-number thema’s. Er is totaal geen reden om ze te bewaren als je ze niet gebruikt.

Conclusie

WordPress is hartstikke leuk. Voornamelijk omdat je zo veel zelf kunt doen, ook al ben je geen techneut. Maar, net zoals bij zo veel dingen, is het altijd verstandig om logisch na te blijven denken. Dus, als je vandaag of morgen nog eens inlogt in je dashboard, check dan eens even die plug-ins en haal de digitale bezem eens door je thema’s. Daar wordt iedereen beter – en blijer – van.

Draait je WordPress-sites op je server? Grote kans dat je dan wel eens gebruik gemaakt hebt van het SearchReplaceDB script van InterconnectIT. Heb je er dan ook aan gedacht om dat script weg te gooien nadat je klaar was? Zo niet, dan heb je waarschijnlijk een probleem.

De WordPress-vrienden bij WordFence hebben de afgelopen week een flinke piek gezien in aanvragen naar bestanden met de naam searchreplacedb2.php. Met dit script kunnen hackers namelijk zonder problemen in een database inloggen en rotzooi uithalen. In dit geval zoeken ze naar een link en voegen ze daar een eigen script aan toe, waardoor pagina’s geïjecteerd worden met een doorverwijzing naar malafide servers.

Ons shared hosting platform wordt al beschermd tegen deze aanvallen. Dit doen we door al onze servers (zowel Basic als Premium) te scannen op de aanwezigheid van een bestand met de naam searchreplacedb2 en, als we het vinden, dit bestand onbereikbaar te maken.

Voor onze klanten met een eigen server adviseren we om, als je gebruik maakt van WordPress of je klanten zelf de keuze geeft dit te gebruiken, de server op de aanwezigheid van dit bestand te controleren. Kom je het tegen bij een of meerdere van je websites, log dan in in die database (bijvoorbeeld via PHPmyAdmin) en zoek in de wp_posts tabel op LIKE %script% in de post_content kolom.

Kom je dan resultaten tegen en verwijzen deze naar traffictrade.life (of een andere onbekende URL), herstel de site dan naar een back-up of, wanneer je deze niet beschikbaar hebt, voer hetzelfde trucje uit als de hackers. Open het searchreplacedb2-script in je browser en vervang de gevonden script-injectie door niets.

Hulp nodig? Stuur een ticket in met je vraag. Onze techneuten helpen u graag. Houd er wel rekening mee dat hiervoor een tarief voor gerekend kan worden.

Afgelopen december werd bekend dat er een lek in PHPMailer was geslopen, waardoor onbekenden de scripts konden misbruiken om SPAM e-mail mee te verzenden. Dit werd bekend onder CVE-2016-10033.

PHPMailer is een bekend en wijd gebruikt script om het verzenden van e-mails vanuit websites, bijvoorbeeld contactformulieren of bestel-bevestigingen, gemakkelijk mogelijk te maken. Waar het begon als een op zichzelf staand iets, werd het gemak al vlot gesignaleerd door andere ontwikkelaars en werd het script binnen een mum van tijd de standaard in grote CMSsen, zoals WordPress en Joomla.

In versie 5.2.18 werd het probleem in eerste instantie ontdekt en gedicht, waarna bleek dat er toch nog iets gemist was en uiteindelijk versie 5.2.20 als veilig werd verklaard. De ontwikkelaars van CMSsen importeerden de nieuwe versie in hun platform en de wereld werd weer een stukje spam-vrijer.

Helaas komen we op ons hostingplatform nog geregeld verouderde versies tegen, zelfs zo ver terug als 2.0.6. Vaak zijn dit oude, vergeten back-ups of testversies van websites, welke nooit meer worden geüpgraded.

Om ons platform te beschermen tegen verdere spamverzending en te voorkomen dat u als klant hier hinder van ondervindt doordat onze servers een slechte reputatie krijgen, zullen we vanaf vandaag alle versies van PHPMailer lager dan 5.2.20 blokkeren.

Ondervindt u problemen met het versturen van mails vanuit uw website? Dan kan dit de reden zijn. Neem contact op met onze collega’s van de TD om dit vast te stellen. Als het inderdaad zo is, kunt u uw website of de gebruikte PHPMailer library updaten om zo weer volledig gebruik te kunnen maken van de functionaliteit hiervan.

De ICANN, het overkoepelende orgaan voor gTLD registraties, stuurt regelmatig e-mails naar domeinhouders met informatie over hun domeinnaam. Helaas is deze informatie niet altijd even duidelijk en schept het wellicht meer verwarring dan dat het goed doet.

Sinds begin van dit jaar heeft de ICANN enkele processen die betrekking hebben op het verlengen en opheffen van domeinnamen gewijzigd. De ICANN is het overkoepelende orgaan voor alle zogenaamde ‘gTLDs’, oftewel Global Top Level Domains. Hieronder vallen bijvoorbeeld domeinnamen met de extensie .com, .org en .net.

De meest recente wijziging betekent dat u, als houder van een dergelijke gTLD, zowel een maand als een week voor de officiële vervaldatum van de domeinnaam een mail zult ontvangen van no-reply@registrar.eu, uit naam van Flexwebhosting BV.

U ontvangt deze mail om u erop te attenderen dat de registratie voor de domeinnaam binnenkort gaat verlopen en dat u hierop desgewenst actie moet ondernemen. De informatie in deze mail is echter niet helemaal correct.

Wij houden namelijk in onze eigen administratie bij welke domeinnamen al dan niet verlengd moeten worden. De domeinnamen worden, tenzij deze door u in opheffing is geplaatst, altijd standaard verlengd met een jaar. Dit doen we alleen niet al een maand van tevoren, maar pas tegen het verlopen van de domeinnaam aan om onnodige kosten voor u en voor ons te voorkomen.

Wanneer u deze mail heeft ontvangen, hoeft u zich dan ook geen verdere zorgen te maken. U kunt natuurlijk altijd even in uw klantenpagina controleren of de domeinnaam in kwestie nog op actief staat of misschien toch in opheffing staat, terwijl u de naam wilt behouden. Mocht u echter vragen of twijfels hebben na aanleiding van de ontvangen e-mail, dan kunt u te allen tijde contact met ons opnemen. Dit kan telefonisch via 040 235 9290 of via uw klantenpagina .

Op donderdag 1 juni is de landelijke Dag van de Domeinnaam. Op deze dag staat de domeinnaam centraal en worden allerlei grote en kleine acties vanuit de branche georganiseerd om aandacht te vragen voor wat je, vooral zakelijk, met domeinnamen kunt doen.

De dag is een initiatief van de Vereniging van Registrars (VvR). In samenwerking met de SIDN, ondersteunt Flexwebhosting deze actie natuurlijk ook. Samen willen we het Nederlandse publiek laten zien dat domeinnamen onmisbaar zijn voor (startende) ondernemers en een belangrijk onderdeel zijn van de Nederlandse economie.

Ontvang €10,- shoptegoed op fonQ.nl

De .nl-extensie is het populairste domein voor Nederlandse bedrijven. Op de Dag van de Domeinnaam heeft SIDN, het bedrijf achter het .nl-domein, een leuke actie bedacht waarbij je 10 euro shoptegoed kunt verdienen voor de webwinkel van fonQ.nl. Wie wil dat nou niet? Om mee te doen hoeft je maar 2 dingen te doen:

Stap 1: Registreer zelf op 1 juni 2017 een nieuwe .nl-domeinnaam via je klantenpagina of het DRS.

Stap 2: Post of tweet wat je met deze domeinnaam gaat doen op social media via één van onderstaande social mediakanalen van Dag van de Domeinnaam:

Twitter: @DagvdDomeinnaam, #dvdd2017 Facebook: https://www.facebook.com/DagvandeDomeinnaam/ Instagram: https://www.instagram.com/dagvandedomeinnaam/ LinkedIn: https://www.linkedin.com/company-beta/18053473

Heb je dit gedaan? Dan ontvang je per mail een voucher van € 10 te besteden op Fonq.nl. Meer details en de actievoorwaarden vind je op de website.

Belang van domeinnamen voor zakendoen

Ondernemen doe je vandaag de dag voor een belangrijk deel online. Bijna alle bedrijven en ondernemers hebben een eigen website. Zo is uit recent onderzoek gebleken dat het hebben van een website een zzp’er gemiddeld €22.500,- per jaar oplevert. Een goede domeinnaam draagt in belangrijke mate bij aan de herkenbaarheid en betrouwbaarheid van je bedrijf of webshop. Daarom vragen we op 1 juni breed aandacht voor de waarde van domeinnamen.

Kijk voor leuke weetjes over domeinnamen en een overzicht van alle activiteiten op www.dagvandedomeinnaam.nl.

We weten allemaal dat het (goed) maken van websites een vak apart is. Het bijhouden en beschermen hiervan vereist echter weer een andere vorm van expertise. Maar, met logisch nadenken kom je al een heel eind.

Omdat niet iedereen hiervoor gestudeerd heeft, wordt ons regelmatig gevraagd of er punten zijn waar men extra op kan letten bij het beveiligen van een website. Het gaat hier dan meestal om websites gemaakt door een webmaster welke niet meer in beeld is en gebruik maakt van een CMS (Content Management System) zoals WordPress of Joomla.

Nu zijn wij geen specialisten op het gebied van de genoemde software, maar we komen dergelijke websites regelmatig tegen en er zijn dan ook altijd wel een paar basis regels waar u zich aan kunt houden om zo de kans op misbruik van uw website, bijvoorbeeld door een hacker, te minimaliseren.

De eerste vraag is dan natuurlijk wel, waarom zou u gehackt worden? Wat heeft uw website, waardoor dit een mooi doelwit wordt? Is het een hacker echt te doen om uw website?

Type hackers

Feitelijk is een hacker niets meer of niets minder dan een ouderwetse inbreker. Als een inbreker echt binnen wil komen, dan bestaat er geen huis waar hij of zij niet in kan komen. Zelfs de kluizen van een bank zijn immers wel eens het doelwit van een inbraak. In het geval van een inbraak is tijd en moeite versus de opbrengst vaak een afweging welke er gemaakt moet worden door de crimineel-in-spe: hoe meer tijd het kost, des te minder interessant het wordt voor de doorsnee inbreker om zich aan uw huis te wagen.

Voor uw website is het niet anders. Zolang u geen financiële dienst levert, zoals bijv. een bank, of anderszins belangrijke of waardevolle informatie opslaat, dan is uw website geen belangrijk doelwit voor een professional.

Hackers zijn over het algemeen in te delen in een viertal categorieën.

– Script kiddies

Dit zijn vaak beginnende hackers van jongere leeftijd met een laag kennisniveau. Ze gebruiken bestaande, door meer ervaren hackers geschreven software om stoer te doen. Vaak weten dit soort hackers niet eens wat voor schade zij aanrichten en doen ze dit voor de lol of bijvoorbeeld om een boodschap over te brengen van politieke aard. Denk hierbij aan het ‘defacen’ (het vervangen van de homepage van een website door bijvoorbeeld een stuk propaganda van terroristische organisaties) van een hele zwik Joomla-sites waarin eenzelfde lek zit.

– Black hat hackers / Crackers

Dit zijn de professionele criminelen, de Bonny’s en Clyde’s van nu. Zij maken software voor andere hackers en verkopen deze, houden zich bezig met identiteitsfraude en het binnen dringen van financiële instellingen om transacties te monitoren of kapen.

– Grey hat Hackers

Dit zijn vaak ingehuurde hackers, of hackers die een systeem binnen proberen te komen om via deze weg een beloning te ontvangen. Dit soort hackers proberen vaak lekken bij grote bedrijven zoals Google en Facebook of overheden te vinden en bieden dan hulp aan om het probleem tegen betaling op te lossen.

– White hat of ethical hackers / Security specialisten

Dit zijn de mensen die de kennis hebben van alle bovenstaande hackers, maar die hun kennis en kunde op een legale manier toepassen. Ze doen dit onder andere door de lekken in bestaande systemen te detecteren om het te verbeteren in opdracht van hun werkgever.

Waarom

Zoals u ziet zijn er verschillende type hackers. Of en zo ja, waarom uw website gehackt wordt komt neer op de mate van beveiliging en het type hacker aan de voordeur.

Vroeger hoorde je verhalen van straat-schoffies die een brood uit het raam van de bakker joepte. Als uw poort en achterdeur thuis open staan, hoeft er maar een hongerig scharminkel langs te komen die binnenglipt en de fruitschaal leeg rooft. Doet u de poort op slot en installeert u een beveiligingssysteem, hoeft u voor het schoffie niet meer bang te zijn.Voor een hongerige inbreker ook niet. Maar heeft u vervolgens naast die fruitschaal uw autosleutels of een duur horloge liggen, zal een inbreker de afweging maken hoe lang het duurt voordat het alarm gekraakt is.

Waar het op neer komt is dat een website voldoende beveiligd moet zijn om de standaard inbreker (de straat-schoffies en script kiddies) buiten te houden. Dit is namelijk verreweg de grootste groep lastpakken. Om u zichzelf hiertegen te beschermen, volgen hieronder een paar belangrijke tips.

– Maak regelmatig back-ups en bewaar deze het liefst op uw eigen PC of zelfs op een externe harde schijf. Bewaar eventueel back-ups van verschillende jaren, maanden en dagen om altijd terug te kunnen naar een bepaald tijdstip.

– Zorg ervoor dat uw software altijd up to date is. Komt er een update uit, stel dit dan niet uit. Het up to date houden van een systeem is misschien wel het belangrijkste onderdeel van een veilig systeem. Denk bij het updaten niet alleen aan de software zelf, zoals WordPress, maar ook aan de gebruikte plug-ins en thema’s of templates.

– Verwijder templates/thema’s en plug-ins die u niet gebruikt, dus ook de standaard vooraf geïnstalleerde dingen. Hoe meer plug-ins er geïnstalleerd zijn, des te meer ingangen en dus ook kansen een hacker heeft om een ingang te detecteren.

– Gebruik geen templates/thema’s en plug-ins van derden die niet goed zijn gekeurd door de software leverancier. Het komt vaak voor dat men een leuke uitbreiding ziet die bepaalde mogelijkheden biedt en het ‘even’ geïnstalleerd wordt om te kijken of het wat is. Een cracker kan hier echter een virus in hebben gebouwd en op het moment dat u dit installeert, heeft deze direct een ingang waar, vaak geautomatiseerd, misbruik van wordt gemaakt. Als u de plug-in daarna verwijderd, dan is het al te laat.

– Gebruik een sterk wachtwoord. De meningen zijn hierover verdeeld, maar een sterke wachtwoorden bestaat tegenwoordig uit minimaal 12 karakters.Het bevat geen bestaand woord en gebruikt een combinatie van kleine letters, hoofdletters, cijfers en symbolen. Ter indicatie: met moderne technologieën en geen beveiliging aan de server-kant is een wachtwoord met minder dan 15 karakters binnen 4 dagen geraden.

– Gebruik niet dezelfde wachtwoorden voor verschillende websites. Zodra een cracker een database van een grote organisatie heeft bemachtigd – denk hierbij aan LinkedIn of recentelijk enkele erotische datingsites – dan zijn ze er op uit om de wachtwoorden te achterhalen. Deze wachtwoorden worden dan verkocht of gedeeld met andere hackers. Als men dan een systeem probeert binnen te komen, worden deze wachtwoorden eerst gebruikt. Deze vorm van hacken staat bekend als een Rainbow Table.

– Met oog op bovenstaande, doet u er goed aan om een wachtwoord dus ook met enige regelmaat te veranderen. Hoort u op het nieuws over een bekend platform wat u gebruikt, zoals LinkedIn, verander dan niet alleen bij dit platform uw wachtwoord, maar ook bij alle andere platformen en websites waar u hetzelfde wachtwoord bij gebruikt.

– Zet de editor functies van uw template/thema en plug-ins uit. Hackers kunnen via deze weg bestanden uploaden en aanpassen. De hack hiervan is wat ingewikkelder, maar via deze weg kan een wat ervaren hacker volledige controle krijgen over uw website waardoor de website niet meer betrouwbaar is en in de meeste gevallen opnieuw gebouwd moet worden.

– Zorg dat de inlog omgeving niet op een standaard plaats staat. CMS applicaties gebruiken vaak standaard inlogpagina’s met namen zoals administrator, of wp-login of wp-admin. Er bestaan echter manieren om dit uit te schakelen en de inlogpagina op een andere plaats te zetten (ook wel bekend als secret link).

– Zorg dat de de folder waarop ingelogd wordt, zoals de administrator of de wp-admin map met extra wachtwoord beveiligd is door middel van bijvoorbeeld een .htaccess blokkade. Zie http://www.site-helper.com/misc.html#password voor meer informatie over hoe dit in DirectAdmin kan.

– Zet een beveiliging op mappen waar geen PHP bestanden horen te staan, bijvoorbeeld via .htaccess waarin staat dat PHP niet uitgevoerd mag worden in de betreffende en onderliggende mappen. Dit komt vaak te pas in de map ‘wp-content/uploads’. De code hiervoor is de volgende:

RemoveHandler .php .phtml .php3RemoveType .php .phtml .php3php_flag engine offdeny from all

– Ten slotte is het aan te raden om binnen de website een soort firewall te installeren. Voor WordPress is de WordFence plug-in hiervoor geschikt.Zo houd u aanvallers buiten die verdachte of bekende aanvallen proberen uit te voeren. Naast functioneren als een firewall, stuurt WordFence ook een bericht wanneer er iets verdachts gebeurt, zodat u daarop kunt handelen. Tevens maakt WordFence een vergelijking met de bestanden van uw website en de bestanden zoals WordPress deze publiceert en heeft dus dezelfde soort werking als een virus scanner.

Conclusie

Het beschermen van een website is dus eigenlijk niet veel anders dan het beschermen van uw persoonlijke eigendommen in huis. Zorg dat de deur altijd op slot zit door middel van een sterk wachtwoord. Zorg voor extra inbraakbeveiliging door extra beveiliging op de admin-mappen. Gebruik verschillende sloten voor verschillende deuren door wachtwoorden niet te hergebruiken. Zo valt er voor alles wel een vergelijking te vinden. Het belangrijkste is nog altijd: denk logisch na en vraag voor een ‘second opinion’ door iemand die meer ervaring heeft dan uzelf.

In een digitaal tijdperk waar alles draait om veiligheid, is het vreemd dat we een e-mail eigenlijk blindelings vertrouwen als die binnenkomt. “Hey, een e-mail van Jan, leuk.” Ja, maar wie zegt dat die ook daadwerkelijk van Jan af komt? En dat er onderweg niet mee geknoeid is, zodat er eigenlijk iets heel anders staat dan wat er daadwerkelijk gestuurd is?

Enter: DKIM. Uitgesproken als ‘dee kim’ of ‘dee-ka-ie-em’, kort voor DomainKeys Identified Mail. In een notendop is de werking ervan eigenlijk heel simpel en, gelukkig, de installatie er van doorgaans ook.

Hoe werkt het?

Stel, Jan typt een e-mail. Deze e-mail bestaat uit verschillende onderdelen, zoals een afzender, een ontvanger, de inhoud, tijdstip van verzending en meer van dat soort karakteristieken. Samen vormen ze een uniek object wat door de digitale postduif wordt verstuurd. Dit versturen gaat via een mailserver, bijvoorbeeld smtp.ziggo.nl of mail.domeinnaam.nl.

Is DKIM geïnstalleerd op de uitgaande mailserver, dan gaat die server met het bericht aan de slag, voordat het naar de ontvanger wordt verstuurd. Voor iedere domeinnaam die op de server bestaat, is er een unieke en geheime private key aanwezig. Met deze sleutel wordt het volledige bericht, inclusief alle karakteristieken, omgetoverd tot een hash. Deze hash wordt meegestuurd met het bericht naar de ontvangende mailserver.

Als de ontvangende kant weet hoe het met DKIM om moet gaan, zal deze merken dat er wat extra’s aan de mail hangt: een gehashte versie van de ontvangen mail, inclusief alle eigenschappen daarvan. Om deze hash te ontcijferen, is er een andere sleutel nodig dan degene die voor het versleutelen werd gebruikt. Deze zogenaamde public key staat openbaar in het DNS van de verzendende domeinnaam opgeslagen als DKIM-record. Met deze publieke sleutel kan de hash vertaald worden naar ‘leesbare’ tekst, welke vervolgens wordt vergeleken met de normale variant van het bericht. Komt het overeen, dan is iedereen blij.

Twee kanttekeningen hierbij:

a. Komt het niet overeen, dan zal het bericht, al naargelang de instellingen van de ontvangende partij, gemarkeerd worden als spam, in een spamfolder geplaatst worden of zelfs gewoon compleet geweigerd worden. Daar heeft u als verzender verder geen invloed op.

b. Weet de ontvangende kant niet hoe DKIM werkt, dan is er geen nood. Het DKIM-gedeelte van de ontvangen e-mail zal dan volledig genegeerd worden.

Openbare sleutel?

Oké, die theorie klinkt logisch. Maar als de public key gewoon te grabbel ligt in het DNS en iedere willekeurige internetter die op kan vragen, is dat dan niet een beveiligingsrisico? Wat let een onderscheppende hacker om het bericht te ontcijferen met de publieke sleutel, aan te passen en weer ‘op slot te doen’ door een nieuwe hash te genereren?

Kijk, en daar komt het mooie van deze techniek naar voren. Het versleutelen zelf kan namelijk alleen met de private key, niet met de public key. Een hacker kan het bericht dus wel onderscheppen en van het slot afhalen en aanpassen, maar zal nooit in staat zijn om het geheel weer in te pakken met een nieuwe kloppende hash, simpelweg omdat daar de private key voor nodig is. En, als het goed is, staat die alleen maar op de verzendende server geïnstalleerd.

Installeren

Het installeren van DKIM is doorgaans niet zo heel moeilijk. Vooral wanneer er van een semi-standaard hosting oplossing gebruikt wordt gemaakt, zoals bijvoorbeeld ons succesnummer CentOS met DirectAdmin en Exim, is het een fluitje van een cent.

Voor de volledige en up-to-date installatieinstructies, kun je terecht bij ons kennisbank-artikel.

In gebruik nemen

Grote kans dat u geen gebruik maakt van de DNS-servers van DirectAdmin, maar van de DNS-functionaliteiten van Flexwebhosting. In dat geval moet u zelf nog handmatig de door DirectAdmin toegevoegde DKIM-sleutel overhevelen naar de DNS-zone in de centrale nameservers. Hiervoor logt u als admin-gebruiker in in DirectAdmin en zoekt u bij DNS Administration de domeinnaam op welke u nodig heeft.

DirectAdmin laat u dan de zonefile zien van die domeinnaam. Het DKIM-record springt er direct uit:

Deze gegevens neemt u ook zo over in de DNS-configuratie van uw domeinnaam in de actieve nameservers, bijvoorbeeld door het record in de klantenpagina toe te voegen.

Tip: Heeft u alle domeinnamen in een keer laten signen door DirectAdmin? Deze staan per domeinnaam opgeslagen in de zone-file van DirectAdmins nameservers. Met een scriptje kunt u ze er dan allemaal uitlepelen en laten verzamelen in één bestand, in plaats van ze allemaal per stuk langs te moeten. Vraag onze technische dienst voor meer informatie!

Conclusie

Het installeren en activeren van DKIM is in de meeste gevallen zo gepiept. Het effect is echter ongemerkt grandioos, want het is bijvoorbeeld een hele grote stap voorwaarts in het beschermen van de vanaf uw server verstuurde e-mails en daarmee een enorm pluspunt voor Microsofts inkomende spamfilters.

Het beste kunt u DKIM direct activeren bij de in gebruik name van een nieuwe server. Heeft u al een server draaien, dan kost het even wat extra werk om voor alle domeinnamen het DNS correct in te stellen. Maar uiteindelijk scheelt het u wel veel soebatten met Outlook.coms Deliverability Support Team over het deblokkeren van een geblacklist IP-adres.

In het vorige artikel hebben we de meest gangbare DNS records besproken. A-, MX- en CNAME-records verzorgen het grootste gedeelte van de werking van domeinnamen. Daarnaast zijn er TXT-records, waarin veel verschillende soorten informatie in kan worden opgeslagen, zoals SPF-records. SPF-records zijn een veel gebruikte tool waarmee voorkomen wordt dat door u verzonden e-mails bij de ontvanger in de spamfolder terecht komen.

Het opzetten van een SPF-records vereist geen kennis van de door u gebruikte mailservers. Wel moet u weten welke mailservers u gebruikt om een juist SPF-record op te stellen. Laten we eerst bekijken wat het SPF-record eigenlijk doet.

Belangrijk?

Voordat we dat doen, eerst nog even dit. Het DNS is al veel langer een bekende naam in internet-land als dat SPF-records dat zijn. Is deze extra toevoeging dan wel belangrijk genoeg om de tijd in te stoppen om het goed te regelen? Het antwoord is heel simpel: ja.

Grotere partijen, zoals Microsofts Hotmail, Googles Gmail en SpamExperts, maken tegenwoordig allemaal gebruik van een SPF-controle. Heeft u geen of een onjuist ingesteld SPF-record ingesteld? Dan is de kans groot dat uw e-mail nooit in de inbox van de ontvanger terecht komt, maar gedoemd is tot de spamfolder. Als de mail überhaupt al wordt afgeleverd, want de kans is groot dat er bij de voordeur al gezegd wordt: “Jij komt er niet in.”

Goed, dat gezegd hebbende, kunnen we nu door naar het idee achter SPF-records.

De gedachte

SPF staat voor Sender Policy Framework. Mits goed ingesteld, definieert het SPF record een set van (mail-)servers waarvan een domeinnaam gebruik mag maken om e-mail te verzenden.

SPF heeft voor u dan ook geen enkel effect op het ontvangen van e-mails, enkel voor het door anderen ontvangen van door u verzonden e-mails.

Wanneer u een e-mail naar iemand stuurt, maakt deze ontvanger in veel gevallen gebruik van een spamfilter. Dit filter controleert uw e-mail op verschillende punten, zoals bijvoorbeeld de inhoud, linkjes, IP-adressen en dergelijke. Eén van de checks controleert waar de e-mail van vandaan komt en of u in uw DNS heeft aangegeven of dit wel één van uw servers is.

Wanneer de binnenkomende e-mail door het spamfilter wordt geanalyseerd, wordt er gecontroleerd vanaf welke server of vanaf welk IP-adres deze e-mail werd verstuurd. Staat deze aangegeven in uw SPF-record, wordt deze check door het spamfilter afgevinkt. Klopt het niet? Dan wordt deze check niet afgevinkt, wat in het totaalplaatje van de controle meetelt voor de spam-score.

De techniek

Het SPF-record is, in de meest simpele vorm, erg klein. Maar, hoe complexer uw opstelling, des te langer het SPF-record wordt. Laten we beginnen met een simpel voorbeeld.

“v=spf1 mx a ~all”

Ieder SPF-record begint met v=spf1 om aan te geven dat het hier een Sender Policy Framework record betreft. Dit laten we daarom voor de rest van het document buiten beschouwing. Hierna worden de servers aangegeven die goedgekeurde servers zijn, hierover zo meteen meer. Ten slotte wordt er afgesloten met een instructie wat er moet gebeuren als er niet aan de gestelde voorwaarde wordt voldaan. Laten we daar mee beginnen.

Ja of nee?

Er zijn vier mogelijkheden om het SPF-record mee af te sluiten. Dit zijn:

Het gebruik van de Pass waarde wordt altijd afgeraden, want dan kunt u nog beter geen SPF-record instellen. Dan wordt er in ieder geval ook nog serieus gekeken naar andere kenmerken.

Vaak zult u kiezen voor de Fail of Softfail, omdat deze de meest geslaagde adviezen geven. Als u uw SPF-record correct instelt, geeft u namelijk precies op van welke servers u e-mail verzendt en kunt u dus ook precies aangeven wat er moet gebeuren als een e-mail wordt ontvangen die niet van één van die servers af komt.

De servers

Dan nu het belangrijkste gedeelte van het SPF-records: het opgeven van de servers die uit uw naam e-mail versturen.

Laten we dat eerder genoemde record er nog eens bij pakken.

“v=spf1 mx a ~all”

We weten al dat het advies is om te twijfelen, maar twijfelen waaraan? Dat wordt hier aangegeven door het gedeelte mx a. Dit betekent dat alle servers die een MX-record of een A-record in de zone van het domein zijn, vertrouwde servers zijn. Stel dat een domeinnaam de volgende records heeft:

domeinnaam.nl     TXT  "v=spf1 mx a ~all"domeinnaam.nl     MX  mail.domeinnaam.nldomeinnaam.nl     A  192.168.0.1www.domeinnaam.nl    A  192.168.0.1mail.domeinnaam.nl  A  192.168.0.5

Effectief betekent dit dat een e-mail die door info@domeinnaam.nl verstuurd wordt als vertrouwd aangemerkt wordt, als het verzendende IP-adres 192.168.0.1 of 192.168.0.5 is. Maar wat als het MX-record verwijst naar een andere zone, van een andere domeinnaam?

domeinnaam.nl     TXT  "v=spf1 mx a ~all"domeinnaam.nl     MX  mail.anderenaam.comdomeinnaam.nl     A  192.168.0.1mail.domeinnaam.nl    A  192.168.0.5

anderenaam.com      TXT  "v=spf1 mx a -all"anderenaam.com      MX  mail.anderenaam.comanderenaam.com      A  192.168.2.1mail.anderenaam.com  A  192.168.2.5

In dit geval wordt de e-mail geaccepteerd van 192.168.0.1, 192.168.0.5 en 192.168.2.5. De .0.1 omdat de A-records van domeinnaam.nl er naar verwijzen, de .0.5 ook (ook al wordt er geen e-mail op afgeleverd, en de .2.5 omdat het MX-record van domeinnaam.nl verwijst naar mail.anderenaam.com, en die verwijst dan weer naar 192.168.2.5.

192.168.2.1 is geen vertrouwde host. Dit is immers geen MX-record, noch A-record van domeinnaam.nl.

Mag ik overvaren?

In het laatste voorbeeld hebben we drie vertrouwde hosts. Het effect hiervan staat omschreven in de volgende tabel.

Geen verrassingen hier dus. Verstuurt u een e-mail vanuit een server die staat ingesteld in het SPF record, dan wordt deze gewoon geaccepteerd. Staat dat IP-adres er niet specifiek in, dan is het afhankelijk van het laatste gedeelte van het SPF-record wat er met de e-mail gebeurt. In het geval van domeinnaam.nl, met een Softfail, wordt er geadviseerd om er voorzichtig mee te zijn. Dat betekent dat, als de e-mail er verder goed uit ziet, deze alsnog doorgelaten zal worden. Zijn er meer dingen waaraan het spamfilter twijfelt, bijvoorbeeld veel linkjes of vreemde bijlages, dan zal het filter de mail alsnog tegenhouden.

Aan de anderdomein.com-kant, zal er een duidelijker antwoord komen. Komt het e-mailtje niet van de twee geaccepteerde IP-adressen, dan wordt het spamfilter vriendelijk doch zeer dringend geadviseerd om de e-mail niet door te laten.

Meer criteria

Natuurlijk zijn er nog meer mogelijkheden om mailservers toe te voegen aan het lijstje met vertrouwde servers. In de volgende voorbeelden worden niet alleen de A-records als vertrouwd aangemerkt, maar ook:

Valkuilen

Wat kan er nu mis gaan bij het instellen van een SPF-record voor uw domeinnaam? In principe is dat maar één ding, en dat is het vergeten van een mailserver.

Normaal gesproken, stelt u uw e-mail programma in om uw e-mail te versturen via uw eigen domeinnaam. Voor ons shared hosting platform is dat simpelweg mail.domeinnaam.nl, waarbij de domeinnaam natuurlijk voor iedereen anders is. In dat geval zal een standaard SPF-record waar de A- of MX-records in staan vermeld prima voldoen. “

Maar, wat nu als u thuis uw mailprogramma nét even wat anders ingesteld heeft staan? En u daar mailtjes via de uitgaande mailserver van uw internetprovider, bijvoorbeeld mail.kpnmail.nl of smtp.ziggo.nl, verstuurt? Dan wordt het een heel ander verhaal. Want laten we er van uitgaan dat uw SPF-record er gewoon lekker standaard uit ziet:

“v=spf1 mx a -all”

Een adviestabel zoals we eerder al lieten zien, komt er dan zo uit te zien:

Dat gaat dus niet werken, want zo kunt u van thuis uit geen e-mails versturen. Of ja, versturen kan wel, maar de kans dat uw ontvangers in het ongewisse blijven van uw proza, is toch wel groot.

NB. Denk hierbij ook aan nieuwsbrief-providers zoals MailChimp! Deze bieden u vaak een aanvulling op uw eigen SPF-record, wat u er gewoon in toe kunt voegen.

Een ander aandachtspuntje is wellicht nog de gebruikte aanhalingstekens. Zoals gezegd, wordt een SPF-record altijd omringd door dubbele aanhalingstekens. Dat alle SPF-records in dit artikel in een ander lettertype zijn geprint, is echter geen toeval. Het betreft hier namelijk ASCII karakters, oftewel, de simpelste tekens die je maar kunt vinden op een toetsenbord.

Wanneer een Office programma gebruikt wordt om tekst op te stellen, moet dit er vaak aantrekkelijk uit zien. Een simpele quote wordt dan ook omringd door “ gekrulde aanhalingstekens ”. Heel mooi natuurlijk, maar voor het DNS is dit niet behapbaar. De DNS-software die op nameservers is geïnstalleerd, wil dingen zo simpel mogelijk zien. Daarom geen gekrulde aanhalingstekens, maar simpele, recht toe recht aan “ASCII aanhalingstekens”. Twijfelt u aan welk type u gebruikt? Plak dan uw SPF-record eerst in kladblok, voordat u het record in uw DNS-instellingen inbrengt. Dan weet u zeker dat u goed zit.

Ten slotte is het de bedoeling dat er maar 1 SPF-record per domeinnaam staat ingesteld. Als er meerdere SPF-records staan ingesteld met conflicterende informatie, wordt het door vaak compleet genegeerd. En dat is nou juist niet wat we willen bereiken.

Conclusie

Het gebruik van een SPF-record wordt steeds meer aangeraden en, vooral als u vaak naar @hotmail- of @gmail-adressen mailt, zelfs verplicht. Zonder SPF-record komt u er gewoon niet meer in.

Het genereren van een correct SPF-record is niet moeilijk, maar vereist wel enige vorm van logisch nadenken en een overzicht van waar, en vooral hoe u uw e-mails verstuurd. Vervolgens is het een kwestie van alles netjes op een rijtje zetten. Hier zijn gelukkig ook online generators voor te vinden. Zo vindt u op http://www.spfwizard.net bijvoorbeeld een erg simpele maar goede tool om uw SPF-record voor u aan te maken.

Doe er uw voordeel mee!

Tip: nog meer DNS-informatie vergaren en uw mail beveiligen? Neem ook de volgende stap naar DKIM!

Een belangrijk onderdeel van het werken met websites en domeinnamen, is het DNS. Het is een term die vaak gebruik wordt en bijna net zo vaak tot problemen leidt als dat het deze oplost. Maar, wat doet het nu precies en waarom is het zo belangrijk?

Het DNS, oftewel het Domain Name System , is uitgegroeid tot de ruggengraat van het moderne internet. Het is ontwikkeld omdat de doorsnee mens niet van alle websites kan onthouden op welke IP-adressen ze gehost worden en computers juist weer handiger zijn met cijfers dan met woorden. Het zorgt ervoor dat de adressen van de miljoenen verschillende domeinnamen worden doorverwezen naar de juiste servers, zodat uw PC, laptop of telefoon weet waar de door u gevraagde website gevonden kan worden. Feitelijk is het eigenlijk gewoon een heel groot online telefoonboek, en dat is dan ook de gemakkelijkste manier om het te begrijpen.

In het telefoonboek staan namen. Sommige namen staan er dubbel, drie dubbel of soms wel honderden keren in. Om over een naam als Jansen of Willems maar niet te spreken. Een domeinnaam, zoals google.nl, is ook een naam, en is dus te vinden in het digitale telefoonboek. Zo’n telefoonboek heet een nameserver.

De online bibliotheek

Er zijn duizenden nameservers aangesloten op het internet, vaak beheerd door hosting- en internetproviders. In de nameservers staat precies aangegeven waar een domeinnaam naar verwijst. Zo kan er bijvoorbeeld staan dat google.nl te vinden is op IP-adres 216.58.213.195, net zoals dat er in het telefoonboek staat dat Flexwebhosting gevestigd is op de Dr. Cuyperslaan 76 in Eindhoven.

Oké, dus we hebben duizenden nameservers die allerhande informatie bevatten. We weten ook dat we domeinnaam google.nl willen opvragen in onze browser. Hoe komen we daar dan uit? Hier komt het DNS om de hoek. Het Domain Name System is te vergelijken met zo’n ouderwetse telefoondienst van voor dat we allemaal internet op onze telefoon hadden. Die je dan belde en vroeg: ik moet die en die in Eindhoven hebben, wat is ’t adres?

Dat is precies wat het DNS doet. Via de internetkabels en routers en dergelijke, vraagt de PC aan ‘het internet’: waar moet ik zijn voor google.nl? Dan gaat het Domain Name System aan de slag, zoekt de nameserver op waar de informatie vandaan moet komen en geeft het juiste IP-adres als antwoord terug. Hartstikke handig dus.

Overigens is de registrerende provider, ook wel de registrar genoemd, altijd degene die bij ‘het internet’ aangeeft welke nameservers er de juiste informatie over de gezochte domeinnaam bevatten. Zo kan een domeinnaam dus bij wel twintig verschillende nameservers bekend zijn, maar, wanneer u uw domeinnaam bij Flexwebhosting heeft geregistreerd, bepalen wij welke servers leidend zijn.

Er zijn veel verschillende type records waaruit een DNS zone is opgebouwd. In dit artikel vindt u meer informatie over de meest gangbare types.

Zones en records

Een DNS zone is een verzameling van gerelateerde records. De DNS zone van domeinnaam google.nl bevat bijvoorbeeld alle records die betrekking hebben op die domeinnaam. Een record is te vergelijken met een regel in het telefoonboek. Zo staan Jan Willems en Piet Willems allebei apart in het telefoonboek met een eigen adres. Dit zijn, in DNS taal, twee records die behoren tot dezelfde zone (Willems).

A-record

Het A-record is het meest standaard record van het DNS. Het is dan ook het meest simpel te begrijpen. Het A-record is simpelweg de link tussen een naam en een adres. Een A-record ziet er bijvoorbeeld zo uit:

www.google.nl  A  216.58.213.195

Als een browser naar www.google.nl wordt gestuurd, krijgt deze het IP-adres 216.58.213.195 terug en zal de netwerkverbinding de rest oplossen.

Aan A-records zitten over het algemeen geen restricties. Een A-record met dezelfde naam kan meerdere keren voorkomen en op die manier naar verschillende IP-adressen verwijzen. Deze techniek wordt round robin genoemd en kan overbelasting van servers of uitvallen van diensten voorkomen. Stel dat er bijvoorbeeld het volgende staat ingesteld:

www.google.nl  A  216.58.213.195www.google.nl  A  216.58.213.196

Als de browser dan naar www.google.nl wordt gestuurd, kan of het 195, of het 196 IP-adres worden opgegeven. Zo zullen de beide servers maar ongeveer 50% van het verkeer te verwerken krijgen.

Naast de A-records zijn er ook nog AAAA-records. Deze werken hetzelfde als standaard A-records en hebben dezelfde functie, echter worden AAAA-records ingezet om naar IPv6 adressen te verwijzen. Standaard A-records verwijzen naar IPv4 adressen.

MX-record

MX staat in dit geval voor Mail eXchange. De MX-records zorgen dan ook voor een correcte e-mail afhandeling voor het domein. Het wordt gebruikt door mailservers om onderling te kunnen bepalen waar een e-mail naartoe gestuurd moet worden.

MX-records moeten altijd verwijzen naar een hostnaam, bijvoorbeeld een A-record of een CNAME-record. Ze kunnen dan ook nooit direct naar een IP-adres verwijzen. Zie bijvoorbeeld de records van google.nl.

google.nl  MX  10 aspmx.l.google.comgoogle.nl  MX  20 alt1.aspmx.google.comgoogle.nl  MX  30 alt2.aspmx.google.comgoogle.nl  MX  40 alt3.aspmx.google.comgoogle.nl  MX  50 alt4.aspmx.google.com

De e-mail naar alle @google.nl adressen verwijst in bovenstaand voorbeeld door naar aspmx.l.google.com en nog vier andere servers. De extra kolom die er voor staat, geeft de prioriteit aan. Er zijn in dit geval namelijk vijf verschillende mailservers waaruit een verzender kan kiezen. De prioriteits-waarde geeft aan welke ontvangende server de voorkeur heeft.

Wanneer u een e-mail verstuurt naar een @google.nl adres, zal er eerst geprobeerd worden om deze af te leveren op aspmx.l.google.com. Is deze server even niet bereikbaar, dan zal deze proberen om te verbinden met alt1.aspmx.google.com en zo verder.

Overigens zijn de MX-records van Google een typisch voorbeeld van hostnamen en zien deze er zo uit:

aspmx.l.google.com  A  74.125.136.26alt1.l.google.com  A  74.125.130.27

Het gebruiken van verschillende MX-records wordt vaak gebruikt voor anti-spam oplossingen of gecentraliseerde mailservers. U kunt het MX-record van uw domeinnaam natuurlijk ook gewoon doorverwijzen naar mail.domeinnaam.nl, wat dan vervolgens weer een A-record is naar het IP-adres van uw mailserver, bijvoorbeeld zo:

domeinnaam.nl   MX  mail.uwdomeinnaam.nlmail.domeinnaam.nl  A  192.168.0.1

Een MX-record wordt doorgaans aangemaakt voor de hoofddomeinnaam zelf, bijvoorbeeld google.nl of domeinnaam.nl, en dus niet voor www.google.nl. MX-records voor www.google.nl handelen namelijk de e-mail af voor @www.google.nl adressen, zoals info@www.google.nl. Niet echt handig dus.

CNAME-record

Het CNAME-record komt vaak voor als doorverwijzing naar andere dienstverleners. Maakt u bijvoorbeeld gebruik van de diensten van Google Apps, dan wordt u gevraagd om onder andere een CNAME-record in te stellen om de webmail interface van Google te benaderen via uw eigen domeinnaam, bijvoorbeeld zo:

webmail.domeinnaam.nl  CNAME  ghs.googlehosted.com

ghs.googlehosted.com is dan een A-record van Google, wat verwijst naar hun eigen IP-adres:

ghs.googlehosted.com  A   74.125.136.121

Dus als u webmail.domeinnaam.nl in uw browser in typt, wordt u achter de schermen doorverwezen naar de servers van Google.

Een CNAME-record moet altijd verwijzen naar een hostnaam, moet een subdomein zijn en mag nooit eenzelfde subdomein zijn als een al bestaand record. Dit kan dus niet:

webmail.domeinnaam.nl  A   74.125.136.121webmail.domeinnaam.nl  CNAME  ghs.googlehosted.com

Wanneer u dit instelt in uw DNS, zal de domeinnaam vaak helemaal niet meer werken, omdat de zone corrupt is geraakt. Verwijderen van één van de twee records zal dan de oplossing zijn.

TXT-record

TXT-records zijn eigenlijk gewoon platte tekst, waar allerhande soorten informatie in wordt opgeslagen. Je kunt ze zelfs gebruiken om notities in op te slaan over je domeinnaam, maar over het algemeen worden ze gebruikt voor SPF-records, DKIM-keys of DMARC-instellingen.

Het TXT-record op zichzelf hoeft niet aan eisen te voldoen, afgezien van het feit dat, wat er ook in staat, het altijd tussen dubbele aanhalingstekens moet staan. Individuele instellingen, zoals bijvoorbeeld voor een SPF-record, komen wel nauw. Meer informatie hierover wordt doorgaans verstrekt door de partij welke vindt dat u de records aan moet maken.

Conclusie

Het DNS is een onmisbaar onderdeel van het hedendaagse internet. Zonder het DNS zou er geen enkele domeinnaam meer werken, en dat zou het online plezier toch wel ernstig hinderen.

Gaat u zelf aan de slag met DNS instellingen, let dan goed op met wat er precies wordt gevraagd, wat u vervolgens instelt en of dit wel klopt. Bij twijfel zijn onze collega’s van de technische dienst altijd bereid om even met u mee te kijken, of om de instellingen voor u te maken.

Wanneer je met websites werkt, gebruik je plaatjes. Dat is ook niet zo vreemd, want volgens het bekende gezegde scheelt dat natuurlijk een hoop typewerk. In het geval van foto’s en afbeeldingen op websites, wordt hier vaak gebruik gemaakt van ImageMagick (of de PHP module iMagick) om het bewerken hiervan mogelijk te maken.

Helaas zijn er recentelijk ook in ImageMagick een aantal lekken ontdekt, waardoor hackers misbruik kunnen maken van de server. We zullen niet te ver op de details in gaan, maar het heeft te maken met het veranderen van de zogenaamde ‘magic bytes’ – wat dan eigenlijk wel weer toepasselijk is – van een afbeelding voordat je hem upload via de website.

Maar, gelukkig is de ontwikkeling van ImageMagick nog steeds in volle gang en heeft het dan ook niet lang geduurd voordat er een update van de veel gebruikte software beschikbaar is gekomen. Updaten en op die manier uw eigen server (en uw klanten!) beschermen, is dan ook een fluitje van een virtuele cent.

Om deze stappen te volgen, zorgt u dat u via SSH bent ingelogd op uw CentOS server.

N.B.: Twijfelt u? Wilt u liever dat wij het doen? Geen probleem! Stuur een ticket naar onze technische dienst en wij voeren het graag voor u uit. Voor unmanged systemen kost dit slechts €17,50 exclusief BTW.

Stap 1: Heb ik het?

Natuurlijk bepaalt u eerst of u überhaupt kwetsbaar bent voor het lek. Via SSH geeft u het volgende commando aan de server om dit te controleren:

# yum list installed | grep -I image

Het antwoord kan er dan bijvoorbeeld zo uit zien.

# yum list installed | grep 'Image'ImageMagick.x86_64 6.5.4.7-6.el6_2 @baseImageMagick-devel.x86_64 6.5.4.7-6.el6_2 @base

Oké, dus ImageMagick is geïnstalleerd op de server en u draait momenteel versie 6.5.4.7-6.el6_2 voor zowel de gewone als de development branch. De nieuwste versie voor CentOS is 6.7.2.7-4.el6_7, dus daar moet verandering in komen.

Stap 2: Updaten die handel

Om de software op uw CentOS server te updaten, maakt u gebruik van YUM. YUM is het interactieve installatie- en update-programma van het zwarte scherm, wat niet alleen handmatig, maar ook op de achtergrond door de server zelf gebruikt wordt om nieuwe software te installeren of bestaande software te updaten of verwijderen.

Groot voordeel van het gebruik van YUM is dat dit zelf ook bij houdt wat je nodig hebt om iets te kunnen gebruiken. Dus, zoals in het geval van ImageMagick, is bijvoorbeeld een nieuwe versie van OpenEXR-libs benodigd om ImageMagick te kunnen updaten. Goed nieuws: YUM doet dit zelf, en helemaal automatisch.

Dus, laten we de server maar eens aan het werk zetten. Via SSH, geef de server het volgende commando:

# yum install ImageMagick

Dat is alles. YUM gaat alle informatie bij elkaar zoeken welke het nodig heeft voor een succesvolle update. Uiteindelijk krijgt u een overzicht in beeld met wat er allemaal moet gaan gebeuren.

Zoals u ziet, betreft het hier in ons geval 5 installaties en 7 upgrades, wat in totaal 9.8MB in beslag gaat nemen. Prima toch? Er wordt gevraagd voor een verificatie, dus typt u de letter ‘y’, gevolgd door een enter.

Stap 3: Achterover leunen en koffie drinken

Dit is een hele korte stap, want het betreft hier maar een kleine collectie van acties welke uitgevoerd moeten worden en het zal dan ook niet langer duren dan enkele minuten.

YUM gaat voor ons aan het werkt en zal beginnen met het downloaden van alle benodigde installatie-bestanden. Vervolgens worden er wat zaken getest, voordat er daadwerkelijk met de installatie of updates begonnen wordt.

Uiteindelijk wordt er grote opschoning gehouden en worden alle overtollige bestanden verwijderd en wordt alles nog geverifieerd, waarna u gepresenteerd wordt met een totaal-overzicht van wat er gebeurd is.

Stap 4: Controleren

Oké, dat is mooi. Als we nu controleren of het gelukt is door nog een keer te vragen welke versie er geïnstalleerd is, zien we inderdaad dat de laatste beschikbare versie aanwezig is op onze server.

# yum list installed | grep -i imageImageMagick.x86_64 6.7.2.7-4.el6_7 @updatesImageMagick-devel.x86_64 6.7.2.7-4.el6_7 @updates

In de nu geïnstalleerde versie zijn de laatste beschikbare patches ook meegenomen. Dit valt te controleren via het volgende commando:

# rpm -q --changelog ImageMagick | less* Thu May 05 2016 Jan Horak <jhorak@redhat.com> - 6.7.2.7-4- Add fix for CVE-2016-3714, CVE-2016-3715, CVE-2016-3716 and CVE-2016-3717

Stap 5: Tevreden terugblikken

Het heeft u tien minuten gekost, maar mede dankzij uw inzet is het internet weer een stukje veiliger. Daar mag u best trots op zijn! Host u (veel) klanten op de server welke u zojuist heeft beveiligd? Plaats eens een artikel op uw blog of nieuwsfeed, dat schept weer vertrouwen.

Vandaag werden wij er van op de hoogte gebracht dat er valse facturen in omloop zijn, welke afkomstig lijken te zijn van Flexwebhosting, FXW of Anony Produkties. Deze zijn NIET van ons!

De e-mails worden verstuurd met valse gegevens, bevatten geen logo of juiste contactgegevens van Flexwebhosting en zijn vergezeld van een Word-document (.doc of .docx). Dit document bevat een virus en mag dus NIET geopend worden. In de e-mail zelf wordt een factuurnummer genoemd wat begint met een # en gevolgd wordt door een combinatie van letters en cijfers. De bedragen vallen vaak hoger dan €2000,00 uit.

Facturen of herinneringen van Flexwebhosting zijn voorzien van een bijlage in PDF formaat en zullen te allen tijde de correcte contact- en adresgegevens bevatten. Deze vindt u terug op de contactpagina op onze website. Daarnaast bestaan onze factuurnummers enkel uit cijfers en beginnen de facturen van dit jaar met de cijfers 16.

Nogmaals, de bijlage bevat een virus en mag NIET geopend worden. Heeft u de bijlage toch geopend? Dan willen wij u adviseren om zo snel mogelijk een volledige systeemscan uit te voeren met een up-to-date virusscanner en belangrijke bestanden te back-uppen. Omdat deze berichten niet afkomstig zijn van ons, kunnen wij u niet assisteren met het beveiligen van uw apparaten. We raden u aan om in dat geval een computer beheerder in te schakelen. Flexwebhosting kan niet aansprakelijk gesteld worden voor eventuele schade aan de computer of andere nadelige effecten door het openen van de bijlage.

Mocht u nog vragen hebben of twijfelen over de juistheid van een factuur, kunt u deze als bijlage doorsturen naar abuse@flexwebhosting.nl. Onze collega’s controleren graag voor u of het inderdaad een valse factuur betreft.

— UPDATE woensdag 29 juni —

Inmiddels is er nog een partij het slachtoffer geworden van valse incassobrieven. Syncasso, een officieel incassobureau, maakt op op hun eigen website melding van vals verstuurde incasso e-mails. De opdrachtgever van deze incasso’s zou Domeinregistratie Nederland zijn. Deze partij is inmiddels natuurlijk bekend als een bedrijf met een nogal twijfelachtige handelswijze, zoals we ook al vaker over geschreven hebben (zie bijvoorbeeld dit of dit artikel).

Ontvangt u dus een incasso e-mail van Syncasso, is deze niet van ons afkomstig. Wanneer wij overgaan tot een incasso-procedure, maken wij gebruik van bureau’s ISB of DAS. Twijfelt u over de echtheid, volg dan het advies van Syncasso en stuurt u de e-mail ter verificatie door aan communicatie@syncasso.nl.

WordPress is in de afgelopen jaren uitgegroeid tot een stukje software wat ongeveer de helft van alle websites op het internet mogelijk maakt. Het CMS is gemakkelijk te installeren, te personaliseren en uit te breiden, wat allemaal factoren zijn welke de populariteit alleen maar vergroten.

Helaas brengt dergelijke populariteit ook een risico met zich mee. Hetzelfde doet zich voor met bijvoorbeeld Windows ten opzichte van Mac en Linux als besturingssysteem van computers. Voor Windows zijn er veel meer virussen in omloop, voor Mac en Linux waren er tot voor kort eigenlijk geen enkele te bespeuren. Verschillende onderzoekers hebben in het afgelopen jaar echter een grote toename in schadelijke software voor Apple-producten gemerkt, juist omdat deze in populariteit groeien.

Voor WordPress uit dit zich niet alleen in handige plug-ins en mooie templates welke net niet helemaal veilig zijn, maar ook in grootschalig misbruik van één van de basis functionaliteiten van WordPress als blogging platform: XML RPC.

Dit gewraakte onderdeel van WordPress werd ontwikkeld als een functionaliteit en wordt door de ontwikkelaars nog steeds zo gezien. Het kan gebruikt worden voor een groot aantal dingen, zoals bijvoorbeeld het posten vanuit externe programma’s of het linken naar andere interessante blog artikelen op externe sites. Ontzettend handig natuurlijk, alleen brengt het wel wat problemen met zich mee.

Onderzoek naar aanval

De onderzoekers van Sucuri kwamen recentelijk met een uitgebreid  artikel over een simpele manier om de XML RPC functionaliteit te misbruiken. De tweede alinea van het artikel sloeg meteen de spijker op zijn kop:

“Any WordPress site with pingback enabled (which is on by default) can be used in DDOS attacks against other sites.”

Met andere woorden: iedere standaard geïnstalleerde WordPress site zonder extra beveiliging, kan misbruikt worden voor DDOS aanvallen waarmee zelfs grote en beveiligde websites volledig lamgelegd kunnen worden.

Wat doen we er aan?

Ook het netwerk van Flexwebhosting en de op onze servers gehoste WordPress websites werden ongemerkt gebruikt voor het aanvallen van andere websites. Omdat wij als webhosting provider natuurlijk streven naar een zo veilig mogelijk internet, ondernemen we verschillende acties om dit soort aanvallen niet langer mogelijk te maken.

Om die reden wordt er bij alle WordPress websites op ons shared hosting platform een extra plug-in geïnstalleerd en geactiveerd. Het betreft hier de plug-in Disable XML-RPC Pingback van ontwikkelaar Samuel Aguilera. Het enige wat deze plug-in doet is het uitschakelen van de PINGBACK methode van de XML RPC functionaliteit. Hierdoor beschermt het de websites tegen het misbruik voor een DDOS aanval, maar laat het tegelijkertijd de eigenlijke functionaliteit van het posten door externe applicaties wél nog toe.

Conclusie

Door onze installatie zou u, als WordPress gebruiker, geen verandering moeten merken in uw website. Wel merkt u dat er een extra plug-in actief is in uw dashboard. Deze kunt u zonder problemen actief laten en beschermt uw website zonder verdere overhead voor ongewenst en ongemerkt misbruik.

Heeft u vragen over deze installatie of over andere manieren om uw WordPress website te beveiligen? Neem dan per ticket contact op met onze technische dienst, zij geven u graag nog wat meer tips.

Schoenmaker, blijf bij je leest. Het bekende Nederlandse gezegde waarmee iedereen vroeg of laat wel eens in aanraking komt. Voor problemen met de auto is er de monteur, het verzinnen van recepten zijn er chefs en recepten (had ik daar gisteravond maar naar geluisterd) en voor het maken van websites zijn er allerhande webmasters, -developers en -designers. Helaas komt het wel eens voor dat het in het laatste geval fout gaat.

Stel, u heeft een eigen bedrijf. Laten we het ‘Jansen & Janssen’ noemen. De bedrijfstak mag u zelf invullen, evenals uw klantenbestand. Omdat u dit klantenbestand wat wilt vergroten en mee wilt met de trend van de online aanwezigheid, besluit u om een website te laten maken. Op advies van enkele conculega’s neemt u contact op met de lokale websitebouwer. Laten we deze Kees noemen.

Samen met Kees stelt u vast wat de website moet kunnen, voor wie deze bedoeld is en, ook niet geheel onbelangrijk, hoe deze er uit moet komen te zien. Kees weet voldoende en gaat aan de slag. Na enige tijd laat hij u het resultaat zien en u bent blij. Het is tijd voor het lanceren van www.jansenenjanssen.nl . Hier komt overweging 1.

Wie bestelt?

U kunt namelijk twee dingen doen. Kees kan u helemaal van dienst zijn, door alles onder zijn naam te registeren. Misschien heeft Kees wel ergens een reseller-account en regelt hij zijn eigen zaakjes. U kunt ook zelf klant worden bij uw hostingprovider. Beide opties hebben zowel voor- als nadelen.

Zoals u ziet, zijn er verschillende redenen om te kiezen voor Kees of toch juist voor Flexwebhosting zelf. Wanneer u twijfelt, lees dan even verder voor een, misschien wel doorslaggevend, argument.

Van wie is het?

De laatste tijd horen we namelijk vaker van conflicten tussen een klant, zoals u of het bedrijf Janssen & Jansen, en de webmaster, zoals Kees Willems. Misschien maakt Kees niet meer de wijzigingen die u wenst, of betaalt u hem niet omdat hij naar uw mening onvoldoende werkt levert. Helaas komt het dan wel eens voor dat een boze webmaster bijvoorbeeld opeens de website ‘op zwart gooit’. Niet handig als u net een advertentie heeft geplaatst in het lokale nieuwsblaadje. En nu?

Hoe u het ook wendt of keert, er zijn altijd meerdere partijen in het spel. Feitelijk zijn er twee eigenaren die hier de broek aan (kunnen) hebben: de eigenaar van de domeinnaam en de eigenaar van de website.

De domeinnaam

De domeinnaam is verreweg het belangrijkste. Dit is uw bedrijfsnaam, het beginpunt van uw online aanwezigheid. Alles wordt hier op aangepast. Uw briefpapier. Visitekaartjes. Advertenties. De bedrukking van uw bedrijfsauto’s. U zorgt er dus voor dat alles in z’n werk is gesteld dat deze domeinnaam dan ook echt van u is. Toch?

Helaas is dit niet altijd zo. Want als Kees namelijk de domeinnaam voor u bestelt en dit niet goed invult (bewust of onbewust), kan het wel eens zo zijn dat niet u, maar Kees de eigenaar is van de domeinnaam. Dat lijkt op het eerste gezicht geen probleem, maar wat gebeurt er als er wel iets mis gaat?

Token opvragen of escalatie procedure

Dit klinkt als een afschrikwekkend iets en het zal in de werkelijkheid niet veel voorkomen. Maar wat gebeurt er als u uw domeinnaam naar een andere provider wilt verhuizen en hij blijkt niet van u te zijn?

Om heel kort te zijn: dan kunt u niets. Bij het opvragen van een token, wordt in principe gecontroleerd wie de token op vraagt. Is dat niet de bekende partij van de registrar, dan wordt er gevraagd om een kopie ID van de geregistreerde houder. Neem het volgende voorbeeld:

Kees is klant bij Flexwebhosting. Het klantnummer en alle inloggegevens voor zijn account zijn enkel bij hem bekend. Maar, u krijgt geen contact meer met hem en wilt de domeinnaam onderbrengen bij een andere partij.

Wanneer u dan contact op neemt met Flexwebhosting, kunt u de token alsnog opvragen. Maar, dit kan alleen als u de houder van de domeinnaam bent. Voor een .nl domeinnaam kunt u dit gemakkelijk controleren via de website van de SIDN: https://www.sidn.nl/ . Voor alle andere domeinnaam-extensies kunt u gebruik maken van een online tool, bijvoorbeeld https://www.whois.net/.

Bent u de houder? We zullen u dan, aan de hand van een kopie van uw ID of, in het geval van een bedrijfs-registratie, aan de hand van een uittreksel van de Kamer van Koophandel plus een kopie van het legitimatiebewijs van de eigenaar of gemachtigde personen, de verhuiscode kunnen verstrekken. Dat wil zeggen dat u de domeinnaam zelf kunt onderbrengen bij een partij naar uw keuze. Wilt u bij Flexwebhosting blijven? Dat kan! Wij voorzien u dan graag van een nieuw, eigen account.

Let wel, deze gang van zaken heeft enkel betrekking op de domeinnaam. Dit is uw webadres, maar is op zichzelf staand een lege huls. De website wordt hiermee niet overgenomen!

De website

Naast de domeinnaam (het feitelijke adres) is er ook de website. Met de website wordt in dit geval alles bedoelt wat u met de domeinnaam doet op hostinggebied. Zoals dus niet alleen de website zelf, maar ook e-mailadressen, databases, FTP en nog meer van dat soort dingen.

De website heeft Kees voor u gemaakt. Kees is dus, volgens het auteursrecht, ook de eigenaar van het gemaakte eindproduct. Houd daar dus rekening mee wanneer u afspraken maakt of contracten ondertekent. Wat gebeurt er als de website klaar is? Als u de factuur voldaan heeft, wie wordt er dan de eigenaar? En wat als u de website bij een andere hostingprovider wilt onderbrengen? Geeft Kees u dan alle nodige bestanden?

Dit is dus ook een lastig punt. Want, stel u voor dat Kees voor u een account heeft aangemaakt bij Flexwebhosting. Kees heeft daar zijn eigen naam en gegevens voor gebruikt, waardoor Kees dus eigenlijk de klant is. Wanneer u in een dispuut belandt met Kees, hoe gaat u dan die website terugkrijgen?

Het antwoord is eigenlijk heel gemakkelijk: niet. Wij zijn namelijk geen rechters of advocaten en wij gaan geen contracten tussen u en Kees doorspitten om te controleren of er ergens een clausule te vinden is over het overdragen van de inhoud van de website. Uiteraard bieden we wel alle medewerking waarmee u uw zaak bij uw eigen advocaat aanhankelijk kunt maken en zullen ook graag de website overzetten naar uw eigen hostingpakket onder uw eigen naam, wanneer dit op last van een rechter gebeurt. Of omdat Kees er om vraagt natuurlijk.

Conclusie

Al met al is het dus overduidelijk een belangrijke zaak om te weten wie de eigenaar is van uw online aanwezigheid. Het is dan ook aan te raden om dit goed te bedenken en door te spreken vóór dat u bestellingen gaat of laat plaatsen. Heeft u er vragen over of twijfelt u? Neem dan contact met ons op via klantenservice@flexwebhosting.nl. Wij adviseren u graag.

LET OP! Recentelijk zijn er phishing mails in omloop, welke verstuurd worden vanuit de registries ENOM en PSI-USA. Deze waarschuwen u er voor dat ze reeds enkele malen contact hebben geprobeerd te zoeken betreffende misbruik van de domeinnaam en dat deze, bij uitblijven van gepaste actie, over zijn gegaan tot blokkade van de domeinnaam.

Het betreft hier een phishing e-mail, waar u NIET op moet reageren en überhaupt geen actie op hoeft te ondernemen. Voor meer informatie, zie de volgende links van ENOM en PSI-USA zelf:

http://www.enom.com/kb/kb/kb_2000-phishing-alert.htm

en

http://news.internetx.com/inxmail/html_mail.jsp?params=7135+aleksandar%40flexwebhosting.nl+0+0000nji0000gw0000000000pejocvdhl

Deze e-mail wijzigt niets aan de status van de domeinnaam. Deze blijft in uw bezit, wordt niet geblokkeerd of opgeheven (tenzij u een opzegging heeft aangevraagd natuurlijk). Mocht u twijfelen of vragen hebben, horen we die natuurlijk graag.

Sinds eind juli stappen er steeds meer mensen over naar Windows 10, de laatste nieuwe versie van Microsofts populaire besturingssysteem. De update is gratis en verloopt in veel gevallen vlekkeloos. Persoonlijk heb ik er met vijf upgrades totaal geen problemen mee gehad, maar links en rechts ontstaan er toch wat klachten.

Eén van de problemen waar wij vragen over krijgen, is dat Outlook rariteiten gaat vertonen nadat u de upgrade heeft uitgevoerd. Hierdoor kunt u bijvoorbeeld problemen hebben met het ontvangen of versturen van e-mail of het bekijken van eerder ontvangen berichten. Dit is een bekend probleem en wordt veroorzaakt doordat er in sommige gevallen Windows-bestanden beschadigd raken tijdens de update naar Windows 10.

De oplossing hiervoor is de Command Prompt als administrator uitvoeren. Dit doet u door met de rechtermuisknop op de ‘start-knop’ (het Windows-vlaggetje links onder in uw scherm) te klikken en voor Opdrachtprompt (Administrator). In het zwarte scherm wat in beeld komt, typt u dan het volgende commando:

sfc /scannow

Als u dan op de enter-toets drukt, begint het systeem met het uitvoeren van een scan. Dit kan even duren, u ziet in het zwarte scherm de voortgang als percentage. Ter indicatie: op een PC hier duurde het 23 minuten voordat de volledige 100% gescand waren. Nadat het proces voltooid is, zijn de bestanden op uw systeem gescand, de beschadigde bestanden hersteld en zal Outlook weer correct functioneren.

Vandaag hebben wij een gedeelte van onze klanten een e-mail gestuurd over een aankomende houderverificatie. Heeft u deze e-mail ontvangen? Dan is de inhoud hiervan op u van toepassing. We willen u vriendelijk verzoeken de mail aandachtig door te lezen.

(Please note: you will find an English version below)

Mocht u twijfelen aan de echtheid van deze e-mail: deze is inderdaad legitiem en van ons afkomstig. U ontvangt deze aankondiging omdat u één of meerdere domeinnamen bij ons geregistreerd heeft met als contact e-mailadres het adres waarop u de aankondiging ontvangt. Het is van belang dat u de aangekondigde e-mail die over twee weken volgt ook als echt behandeld en de gevraagde link verifieert. Zowel deze als de aankomende zijn afkomstig van e-mailadres no-reply@flexwebhosting.nl. Let hier dus op wanneer u tracht te reageren.

Het kan zijn dat u deze verificatie recentelijk reeds heeft uitgevoerd. Toch is het nodig om dit nogmaals uit te voeren. De reden dat dit van u gevraagd wordt, is omdat wij op de achtergrond bezig zijn met een grootschalige reorganisatie van al onze systemen. Hieronder valt ook een wisseling van registry via welke wij de domeinnamen voor u registreren.

Mocht u nog verdere vragen hebben, horen we deze natuurlijk graag. U kunt ons per ticket benaderen via uw klantenpagina, via de chat op onze website en telefonisch via 040 235 9290.

English version

Have you received a Dutch email from us with the subject “Belangrijk: aankomende houder verificatie van uw gTLD domeinnaam”? Please take a moment to read the following information.

The email is indeed sent by us and acts as an advance notice for an upcoming email regarding your domain name(s). One or more domain names are registered with us, using the email address you have received our email at.

In about two weeks time, you will receive another email from no-reply@flexwebhosting.nl with a request to verify your contact email address by clicking a link. It is important that you do verify this request by clicking the appropriate link and following the steps laid out on our website you are linked to.

It is possible that you have recently performed a similar verification. Please note that it is still necessary to take action on the email you will receive in two weeks time. This is due to a reorganisation of our complete hosting platform and the systems we use, including a shift in registry we use to provide you your domain name registration.

If you do have any further questions, please don’t hesitate to contact us at your earliest opportunity. You can reach us by sending us a ticket from within your customer panel, by chat on our website or by phone at (+31) 040 235 9290 .

De e-mail heeft de volgende inhoud:

De laatste weken is er veel te doen over de veiligheid van veel gebruikte software. Het betreft hier Adobe’s Flashplayer en het wachtwoord-beheer systeem LastPass.

Flash

Flash was ‘vroeger’ één van de meest gebruikte software om websites of animaties mee te maken. Met Flash kun je een website dynamisch maken, de bezoeker intrigeren en actief op de website te blijven met bewegende beelden of interessante toeters en bellen. Tegenwoordig is de populariteit van Flash aan het dalen, mede doordat Apple er geen ondersteuning meer toe biedt en omdat veel van de mogelijkheden die Flash bood, ondertussen ook door bijvoorbeeld CSS of JavaScript worden geboden.

Afgelopen week werd bekend dat er een ernstig lek zat in alle versies van Flash door een fout in de code, waardoor hackers met behulp van een achterdeur uw PC over kunnen nemen en misbruiken. Een update werd uitgerold, welke gevolgd werd door een reeks nieuwe updates waarin in totaal 36 beveiligingslekken gedicht werden.

Gebruikt u Flash? Om uw PC zo goed mogelijk te beschermen, zorgt u dus dat u een zo up-to-date mogelijke versie van Flash geïnstalleerd heeft staan en gebruikt. De actieve versie vindt u terug op deze pagina (http://www.adobe.com/software/flash/about/) . Het downloaden van de nieuwe versie kan via de download pagina (https://get.adobe.com/nl/flashplayer/) .

LastPass

Een tijdje terug schreven we een artikel over het beheren van uw wachtwoorden (https://www.flexwebhosting.nl/blog/wachtwoord-beheer.html) . Eén van de opties die we daar aandroegen, was het gebruik van een gecentraliseerd wachtwoord-systeem zoals LastPass. Helaas blijkt ook dat niet volledig veilig, aangezien hier recentelijk twee meldingen over kwamen.

De eerste betrof een inbraak in het netwerk van het bedrijf achter LastPass, waarbij de gegevens van gebruikers gestolen werden. De wachtwoorden zelf zijn echter niet achterhaald, verzekerde de ontwikkelaars. Wel werd er aangeraden om, indien u gebruik maakt van een zwak hoofdwachtwoord, dát wel aan te passen.

Afgelopen vrijdag bleek echter dat er een lek in de add-on van LastPass voor Chrome, Internet Explorer en Firefox zat, waardoor aanvallers via ‘clickjacking’ door LastPass ingevulde wachtwoorden kunnen uitlezen. Ook hiervoor geldt dus: direct de laatste nieuwe versie van de add-on downloaden via uw browser of de LastPass website (https://lastpass.com) .

Java

Ook is afgelopen weekend bekend geworden dat er een lek zit in de nieuwe versie van Java ( versie 8 update 45). Hiervoor is nog geen update beschikbaar, maar deze kwetsbaarheid lijkt nog niet op thuis-gebruikers toegepast te worden. Gebruikers worden geadviseerd om uit voorzorg Java uit te schakelen of zelfs te verwijderen. Hoe u dit kunt uitvoeren vindt u terug op de help-pagina’s van Oracle over uitschakelen (http://java.com/nl/download/help/disable_browser.xml) en verwijderen (https://www.java.com/nl/download/help/uninstall_java.xml).

Maar ook…

Vandaag in de categorie ander nieuws: een Britse tiener veroordeelt tot 240 uur taakstraf vanwege zijn rol bij één van de grootste DDoS aanvallen ooit uitgevoerd, een Finse tiener is veroordeeld tot twee jaar (voorwaardelijke) gevangenisstraf vanwege ruim vijftigduizend computermisdrijven en een Amerikaan moet ruim vier jaar de cel in en veertien miljoen euro terugbetalen vanwege zijn rol bij een online inbraak bij een creditcardverwerker.

Zo zien we maar weer, het is niet allemaal kommer en kwel in ICT-land: het recht zegeviert ook.