Ondersteuning » Algemeen WordPress » Beveiliging en hacks

  • Hallo allemaal,

    Ik ben hier nieuw en ben bezig met de voorbereidingen om WP te gaan installeren en gebruiken voor een blog. Best veel werk! Ik lees er nu veel over (WP in Depth) en kom daar ook vanalles over beveiliging tegen.

    Nu heb ik een vraag: stel dat mijn computer gehacked wordt, is dan de hele computer geinfecteerd en naar z’n grootje, of is alleen het WP gedeelte de klos. Misschien een heel stomme vraag hoor, maar ik wil het toch weten. Als zo’n aanval mijn hele computer aantast, zou het dan een idee zijn om WP op een andere computer te installeren die verder geen vertrouwelijke documenten bevat? Ik bedoel, het blijft een open source programma, wat voor mij opzich al eng klinkt en met alleen een Norton antivirusprogramma maak ik mij zorgen over al die hacks en inbraken.

    Hoop van jullie te horen.
    Groetjes,
    Ceebe

4 reacties aan het bekijken - 1 tot 4 (van in totaal 4)
  • wpprogrammeurs.nl

    (@wordpressprogrammeursnl)

    WP word niet op een ‘computer’ geinstalleerd maar op een ‘server’ (dus eigenlijk iemand anders’ computer).

    Als WP lekt (of wat voor programma dan ook) op je server is potentieel je hele server aangetast en kan men bijvoorbeeld je server overnemen om spam te versturen of virussen bij je website bezoekers te injecteren.

    Beveiliging van servers in het algemeen en WP als applicatie is een heel vakgebied op zich. Voor normaal gebruik en met een ‘gedeelde host’ server zal het allemaal niet zo’n storm lopen, maar veiligheid zou permanent een gedachte achter in het hoofd moeten zijn bij iedere server of applicatie exploitant (jij dus).

    Open source is over het algemeen VEILIGER dan commerciele programma’s.
    Hoeveel mensen kijken er mee over de schouders van WP ? Een gevonden lek is snel gedicht !
    Hoe makkelijk is het voor ‘verdoezel B.V.’ om lekken in versleutelde commerciele code verborgen te houden ? (commercieel belang).

    Grootste risico van WP -> plugins en thema’s installeren die niet van reputabele bronnen komen.

    Thread starter Ceebe

    (@ceebe)

    Hoi programmeur,

    Dank voor je snelle reactie! Nog even voor de duidelijkheid het volgende.

    – Ik heb geen eigen server dus daar hoef ik me al geen zorgen over te maken. Pfiew.

    – Toch lees ik het boek dat het handig is om items toe te voegen aan de .htaccess en om de toegang tot folders en mappen aan te passen, indien nodig. Zo ook voor het toepassen van secret keys maar zover ben ik nog niet.

    – Ik heb geen idee wat een verdoezel kan, maar ik wil wel zo veilig mogelijk beginnen (afkloppen).

    – Ja, plugins zijn een risico. Heb gelezen over iemand die een week te laat was met update en toen de klos was. Dus dat is ook iets om goed in de gaten te houden. En natuurlijk niet op elk gratis wifikanaal in de kroeg inloggen enzo.

    Nou ja, nogmaals dank voor je reactie. Ik ben een beetje gerustgesteld en ga dus geen nieuwe computer kopen, haha. Of misschien wel, maar dan wacht ik nog even op windows 8.

    Doeg!

    Just kunt WP wel lokaal draaien, maar dan heb je iets nodig als Wamp (voor Windows) of Mamp (voor Mac). Dat houdt wel in dat je computer altijd aanstaat en dat je een domeinnaam naar het IP adres van je computer moet sturen. WordPress is van zichzelf erg veilig, als je geen stomme dingen doet als “admin” als login en “wachtwoord” als wachtwoord of bestandsrechten waar iedereen mee uit de voeten kan. Bij het installeren kun je ook de standaard ’table prefix’ kiezen en als je iets anders pakt dan wp_ dan wordt het al een stuk moeilijkere gok om te proberen rechtstreeks een tabel vol te pompen of leeg te halen. Die ‘secret keys’ moet je al aanmaken bij het installeren en WP biedt een standaard tooltje om ze aan te maken (net als de ’table prefix’ gebeurt dit trouwens in wp-config.php).

    Zoals gezegd, er is niks mis met WP. Kijk een beetje uit met plugins en thema’s, maar als die van de WP pagina komen, zit je wel goed. Er kan altijd IETS gebeuren, maar in mijn jaren met WP ben ik nog nooit gehackt. Een beetje ‘common sense’, altijd de laatste versie gebruiken en wat ‘hardening‘ en je hoeft je niet echt druk te maken over geautomatiseerde hacks (en dat zijn er veruit de meeste). Als een hacker ècht iets met jouw specifieke pagina wil uithalen, dan kan dat altijd, zelfs bij de politie, grote nieuwsorganisaties en weet ik wat komt iemand binnen als hij lang genoeg blijft rommelen, maar het gros van de internetpagina’s zijn daarvoor niet interessant genoeg. Daar komt nog bij, in de meeste gevallen zijn hacks het doorleiden van je adres naar een spam- pagina of spam op je website en heel soms een virus voor je bezoekers, maar spannender dan dat wordt het eigenlijk nooit. Vervelend is dat wel, maar niks om wakker van te liggen.

    Thread starter Ceebe

    (@ceebe)

    Hi Roy,

    Bedankt voor je duidelijke advies. Ik zal zeker voorzichtig te werk gaan, daarom ook mijn voorbereiding en vragen. Het is fijn dat jullie als kenners zo goed te hulp zijn en een ander goed kunnen beoordelen.

    Dank en groetjes,
    Ceebe

4 reacties aan het bekijken - 1 tot 4 (van in totaal 4)
  • Het onderwerp ‘Beveiliging en hacks’ is gesloten voor nieuwe reacties.