Volgens een bericht op Sucuri worden ruim 162.000 WordPress website gebruikt in het maken van DDoS aanvallen. Niet direct vanaf de website, maar via een omweg. WordPress heeft standaard Pingback actief staan. Deze Pingback wordt gebruikt om websites waarnaar gelinkt wordt in berichten een berichtje (ping) te sturen, waarna deze ping vaak wordt neergezet als reactie op de gelinkte pagina (afhankelijk van het systeem en het ontwerp dat is gebruikt). Het enige dat iemand hoeft te doen is een specifiek commando uit te voeren in Linux: $ curl -D – ” -d ‘<methodCall><methodName>pingback.ping</methodName><params><param><value><string>https:\/\/victim.com</string></value></param><param><value><string> Gekopieerd uit het stuk van Sucuri dat

Vorige keer had ik het over Gravitate Encryption. Nu ga ik het hebben over Gravitate Encryption in combinatie met de Better Pre Submission Confirmation van Gravity Wiz. Better Pre Wattes? De Better Pre Submission Confirmation (BPSC), ofwel: “betere formulier bevestiging”. De mogelijkheid om de ingevulde gegevens – van een formulier – te laten zien, vlak voor het daadwerkelijk te versturen. Eventuele fouten kunnen daardoor nog gauw worden opgepakt. Met bijvoorbeeld offerte aanvraag formulieren, bestelformulieren etc. is zoiets ongelooflijk handig. Toen ik bezig was met mijn eigen offerte aanvragen formulier (op de oude website), in combinatie met BPSC én Gravitate Encryption, liep ik

Gebruik jij een contactformulier op je website? Grote kans dat deze de ingevoerde gegevens opslaat in je database en dat deze gegevens vanuit de database probleemloos te lezen zijn.

Als je de websites van je klanten onderhoud, en deze niet in een WordPress Network omgeving zitten, dan kan het lastig zijn om te weten wanneer je nu precies de website (WP zelf en de plugins, evt ook de theme) moet updaten. Gelukkig is daar een oplossing voor 🙂

Stel je eens voor: inloggen op je WordPress website zónder dat je een wachtwoord hoeft in te vullen. En tegelijkertijd is het een veilige manier van inloggen. Er kleeft namelijk een groot nadeel aan wachtwoorden: ze zijn te raden en te onderscheppen. Maar het zou 2013 niet zijn als ook daar niet wat op was bedacht 😉 Launchkey Launchkey is een app (beschikbaar voor iOS + Android) waarmee je via je iPhone kunt inloggen op je WordPress website. Nee, dat betekent niet dat je de wp-admin voortaan alleen nog maar kunt bekijken vanaf je telefoon. Wél dat je met je

Maandagavond had een leuke avond, samen met man en zoon, bij de IKEA in Hengelo moeten worden. Helaas kwam daar abrupt een einde aan toen ik er achter kwam dat mijn portemonnee gestolen werd. Nou zijn passen redelijk makkelijk te vervangen (al is een nieuw rijbewijs – zeker in verband met verlies / diefstal – toch wel behoorlijk prijzig!), maar zo’n invasie van je personal space en gewoon het feit dat iemand iets van jou heeft gepakt, zonder je toestemming, is best wat om te verwerken. Voor mij wel in ieder geval. Het wordt ook niet hetzelfde als de portemonnee

Als je mijn vorige berichten over Brute Force Attacks gelezen hebt (Aanvallen op WordPress websites, Brute force attacks wp-login.php verminderen) en dit ook hebt toegepast op je WordPress website dan ben je toch al een heel eind. Maar een nadeel is wel dat de bots die deze Brute Force Attacks uitvoeren het gewoon zullen blijven proberen. De server krijgt dus nog steeds erg veel aanvragen die verwerkt moeten worden. In Brute force attacks wp-login.php verminderen geef ik code + uitleg over hoe je de URL voor het inloggen kunt aanpassen. Een nadeel van WordPress (wat qua gebruiksvriendelijkheid wel te begrijpen is) is

Voor wat extra beveiliging kan het erg interessant zijn om de map wp-admin te “hernoemen”. Of als je gewoon graag wilt verbergen dat je WordPress gebruikt, om wat voor reden dan ook. Gelukkig kan dit tegenwoordig redelijk gemakkelijk, zónder core-bestanden van WordPress aan te passen. .htaccess wijzigingen Net als in mijn Brute force attacks wp-login.php verminderen artikel zullen we een .htaccess wijziging door moeten voeren. Ten eerste om de standaard doorverwijzing van mijndomeinnaam.nl/admin naar de huidige actieve wp-admin URL stop te zetten. Daarnaast ook om de hernoeming van wp-admin naar XXXX (in de bestanden heb ik my-administration als voorbeeld gebruikt) te

Laatste update: 6 juni 2013 – filter toegevoegd om de URLs van de site_url() en get_site_url() functies ook te filteren (voor o.a. de URL van het inlogformulier). Daarnaast de verschillende variabelen (voor de opbouw van de inlog & uitlog URLs) global gemaakt om er zeker van te zijn dat de URLs juist opgebouwd worden (dit zorgde voor problemen in de (get_)site_url filter). Zoals je in mijn vorige artikel hebt kunnen lezen zijn WordPress websites behoorlijk het doelwit geweest. Helaas is er in de berichten daarover (ja, zelfs die van mij) twee verschillende termen door elkaar gebruikt. DDoS en Brute Force

Afgelopen donderdag rook ik ‘s ochtends onraad. De server deed raar, reageerde traag en in mijn bewerkingsprogramma kreeg ik ineens een foutmelding die ik niet eerder was tegengekomen (over de verbinding met de server). Ik dacht dat de server wellicht even een schopje nodig had en wou inloggen, maar dat ging ook al niet lekker. Na eindelijk in mogen loggen kreeg ik een bericht dat mijn IP op de blacklist gezet was (gebeurd na teveel inlogpogingen van 1 IP, tijdelijke ban). Dus: hostingprovider gebeld. Zij gaven aan dat mijn server inderdaad in error-status stond vanwege vol geheugen.Dus deze werd vanuit hun opnieuw