AVG Awareness, AVG Corona, Privacy Nieuws
Check Point® Software Technologies Ltd. waarschuwt leraren, leerlingen en studenten wereldwijd voor beveiligingslekken in online leeromgevingen die gebruik maken van de populaire WordPress plug-ins LearnPress, LearnDash en LifterLMS.
De plugins worden gebruikt door vele gerenommeerde universiteiten en worden ingezet op meer dan 100.000 leerplatforms.
In verband met de Corona crisis ontwikkelen momenteel veel organisaties eigen online leeromgevingen waarbij uit kostenbesparingen vaak gebruik gemaakt wordt van het gratis cms WordPress en gratis plug-ins als LearnPress, LearnDash en LifterLMS.
Zowel gebruikers als cybercriminelen kunnen de kwetsbaarheden uitbuiten om persoonlijke informatie te stelen, geld te incasseren en de toegangsrechten van een lerarenaccount te misbruiken.
Dit laatste zou het mogelijk maken om de eigen cijfers en die van anderen te veranderen, certificaten te vervalsen en antwoorden op vragenlijsten op te vragen. Deze kwetsbaarheid is zelfs al enige tijd bekend en is geregistreerd als CVE-2020-11511.
Pluigins voor elke WordPress-website
De kwetsbaarheden zijn gevonden in de WordPress plug-ins LearnPress, LearnDash en LifterLMS. Elk van deze plugins kan van elke WordPress-website een volledig functioneel en eenvoudig te gebruiken Learning Management System (LMS) maken.
LearnPress
Plugin die cursussen met quizzen en lessen maakt terwijl de studenten zich door het curriculum bewegen. Het wordt alleen al in de VS in meer dan 21.000 scholen gebruikt en heeft meer dan 80.000 installaties.
LearnDash
Plugin die tools biedt voor het distribueren van content, het verkopen van cursussen, het belonen van leerlingen en het activeren van triggers op basis van acties. Meer dan 33.000 websites gebruiken LearnDash, waaronder veel van de Fortune 500-bedrijven, evenals de Universiteit van Florida, de Universiteit van Michigan en de Universiteit van Washington.
LifterLMS
Plugin die voorbeeldcursussen, voorbeeldvragen, certificaten en een volledig geconfigureerde website biedt. Meer dan 17.000 websites maken gebruik van deze plugin, waaronder WordPress-agentschappen en -opvoeders, evenals verschillende scholen en onderwijsinstellingen.
“Studenten en leerlingen die zich inschrijven op e-learning sites weten misschien niet hoe gevaarlijk dit kan zijn”, zegt Christine Schönig, Regional Director Security Engineering CER van Check Point Software Technologies.
“Onze veiligheidsonderzoekers hebben aangetoond dat hackers het hele platform gemakkelijk kunnen overnemen. Hoge onderwijsinstellingen en veel online academies vertrouwen op de door ons onderzochte systemen om hun online cursussen en trainingen uit te voeren. We dringen er bij de relevante onderwijsinstellingen op aan om overal de nieuwe versies van de platforms en plug-ins te installeren om de veiligheidsgaten te dichten. We raden alle gebruikers ook aan om voorzichtig te zijn bij het gebruik van de programma’s.”
Privacy Nieuws
Privacymanagers moeten eigenlijk duizendpoters zijn. Bij de intake van klanten moeten alle veiligheidsrisico’s in een bedrijf in kaart worden gebracht. Een van de aspecten die daarbij aan de orde komt is hoe het staat met de veiligheid van de website.
Veel bedrijven maken gebruik van het populaire contentmanagementsysteem (cms) WordPress. Net als veel privacymanagers hebben ze geen idee van de vele risico’s die WordPress met zich mee brengt als in het cms na de standaardinstallatie niet handmatig diverse instellingen worden gewijzigd.
WordPress is een van de meest gebruikte websitesystemen ter wereld. Daarom is het systeem ook bijzonder interessant voor cybercriminelen.
Op basis van de Algemene Verordening Gegevensbescherming (AVG) is iedere organisatie verplicht om aantoonbaar technische maatregelen te treffen om veiligheidsrisico’s af te schermen. Dat is bij WordPress zeker nodig.
Gelukkig is het niet zo moeilijk om je WordPress website te beschermen. In dit artikel laat ik je zien hoe je je dat kunt doen.
Inhoudsopgave
1 Update, Update, Update!
2 Veilige wachtwoorden en gebruikersrechten toewijzen
3 Zet in op goede hosting
4 Installeer alleen thema’s & plugins van veilige bronnen
5 Beveiliging van WordPress-admin
6 Veiligheidsplug-ins gebruiken
7 Maak back-ups!
Update, Update, Update!
Tip nummer 1: Houd WordPress altijd up-to-date. Standaard installeert WordPress zelf kleine updates. Bij grotere versie updates moet je het zelf doen.
Dit geldt niet alleen voor de WordPress core installatie. Plugins en thema’s van derden moeten ook regelmatig worden bijgewerkt.
Veilige wachtwoorden en gebruikersrechten toewijzen
De meeste hackpogingen zijn gebaseerd op gestolen wachtwoorden. Als je moeilijk te raden wachtwoorden verstrekt en ervoor zorgt dat ze niet in verkeerde handen vallen, is dat de helft van de strijd.
Op de website HandigeTools.nl kun je veilige wachtwoorden genereren. Er is alleen een nadeel met de wachtwoorden die je zo creëert. Hoe onthoud je ze? Als je ze opslaat in een document of in een notitieblok ben je nog steeds niet bepaald veilig bezig.
Daarom kun je beter gebruik maken van de wachtwoordgenerator van wachtwoordmanagementsoftware zoals mijn favoriet Lastpass. Daarmee kun je veilige inlognamen en veilige wachtwoorden genereren. De tool is gratis beschikbaar. Er is voor weinig geld ook een betaalde update van Lastpass beschikbaar met meer functies.
Andere gratis aanbieders van passwordmanagers zijn KeePass voor Windows of MacPass voor Mac (de tool is ook beschikbaar voor iPhone, Android en andere besturingssystemen en apparaten) hebben een functie om veilige wachtwoorden te genereren.
In het algemeen raad ik u aan om alleen wachtwoorden op te slaan in programma’s of apps die versleutelde wachtwoorden opslaan en die kunnen worden beschermd met een master wachtwoord (hierbij uiteraard ook aandacht besteden aan wachtwoordbeveiliging).
De browsers Internet Explorer, Google Chrome, Firefox, Opera en Safari bieden ook een optie aan om wachtwoorden op te slaan. Deze optie raad ik echter niet aan. Iedereen die toegang weet te krijgen tot je computer kan dan gebruik maken van deze inloggegevens. En als je een keer bij familie, vrienden of kennissen, of onderweg, gebruik maakt van de computer van een ander met jouw account voor de browser loop je extra risico.
Noteer de wachtwoorden ook niet in platte tekst (bijv. in een vrij toegankelijk Word- of Excel-document of in een notitieboekje, dat u dan in de trein of in het vliegtuig achterlaat…)
Verstuur alsjeblieft geen wachtwoorden in platte tekst per e-mail! Gebruik e-mailversleuteling of overdrachtswachtwoorden op een andere manier, via een ander medium. En zeker niet via Facebook of WhatsApp Messenger.
WordPress gebruikersrechten
Als er meerdere mensen zijn die artikelen publiceren op je blog is het raadzaam om alleen de rechten toe te kennen die dringend nodig zijn om artikelen te posten of te bewerken. Als je alleen artikelen publiceert, maar geen plugin updates of ict-onderhoud doet, heb je geen administratorrechten nodig.
Zet in op goede betrouwbare hosting
Beveiliging begint bij hosting. Hier moet je absoluut niet op besparen. Als je geen ervaring hebt met webserverbeheer, moet je kiezen voor een hostingprovider die Managed Hosting aanbiedt. Hier zorgt de hoster voor belangrijke updates van de serversoftware.
Installeer alleen thema’s & plugins van veilige bronnen
Installeer alleen plugins en thema’s van WordPress.org via het archief of vertrouwde bronnen. Zorg ervoor dat je een actuele versie downloadt.
Een kleine vuistregel: kijk altijd of de plugin onlangs werd bijgewerkt. Hoeveel downloads de plugin tot nu toe heeft gehad doet er niet toe. Als ik zie dat een plugin regelmatig wordt bijgewerkt kun je er relatief zeker van zijn dat de plugin ondersteund zal blijven worden en dat het geen “flash in the pan” is met veiligheidsrisico’s.
Het motto bij plugins is: minder is meer! Installeer alleen die plugins die dringend nodig zijn. Op die manier – verklein je het risico op datalekken. En er is nog een bijkomend voordeel: de site laadt sneller als er minder plugins worden gebruikt. Dat is weer goed voor de vindbaarheid op Google. Snelle sites krijgen een hogere ranking.
Beveiliging van WordPress-admin
Als eerste meteen de login-URL voor WordPress wijzigen.
De standaard login URL voor WordPress is /wp-admin. Dat is natuurlijk waar hackers als eerste naar op zoek zijn. Met plugins zoals WPS Hide Login en Loginizer kunt u de URL wijzigen.
Een back-up maken van het dashboard met .htaccess
Als u wordt gehost op een Apache-server, wordt het aanbevolen om a.htaccessbescherming te gebruiken. Dit zal het voor hackers nog moeilijker maken om toegang te krijgen tot uw site. Vraag uw webmaster hiervoor om ondersteuning.
Beveiligingsplugins gebruiken
Er zijn tal van plug-ins waarmee je WordPress kunt beveiligen. Zoals iTheme Security, Sucuri, WordFence, Ninja Firewall. Belangrijk om te weten: Beveiligingsplug-ins slaan gewoonlijk de IP-adressen van de gebruikers op, dus je moet ze in je privacyverklaring en verwerkingsregister vermelden.
Maak back-ups!
In geval van nood – niet alleen in termen van hackeraanvallen, maar ook in termen van eigen fouten bij het beheer van WordPress, is het raadzaam om altijd een back-up klaar te hebben. Zo kun je in noodgevallen je installatie herstellen. Goede back-up plug-ins zijn BackWPUp of UpdraftPlus.
Dit artikel geeft een summier overzicht geven hoe je WordPress veiliger kunt maken. Voor vragen en suggesties kun je contact opnemen met ons: info@privacyzone.nl of 06-31995740.
Privacy Nieuws
WordPress is wereldwijd het meest gebruikte content management systeem (csm) voor websites. En daarom zijn websites die gebouwd zijn met WordPress een populair doelwit van cybercriminelen die jagen op persoonsgegevens die via WordPress plug-ins worden verzameld.
Organisaties met een site die op WordPress is gebaseerd lopen kortom meer risico gehacked te worden.
Daarnaast zijn er diverse ‘handige’ plugins die op de achtergrond in strijd met de Europese privacyregels informatie verzamelen. De eigenaar van de website is daarvoor verantwoordelijk.
Kun je dan maar beter geen gebruik kunt maken van WordPress?
Nee, geen zorgen. Zolang je weet wat je doet is er geen probleem.
Omdat WordPress zo populair is worden hacks ook sneller ontdekt. Lekken worden sneller gedicht. Het systeem wordt voortdurend doorontwikkeld. Wereldwijd is er een team van specialisten bezig om WordPress steeds beter aan te laten sluiten op de AVG.
De WordPress community heeft inmiddels een lijst met veilige en onveilige WordPress plug-ins uitgebracht. PrivacyZone.nl zet deze plugins op een rij.
Er zijn drie soorten WordPress plugins:
- Groen => AVG-proof, kunnen zonder meer gebruikt worden
- Oranje => Onveilig, maar mogelijk om door aanpassen van instellingen veilig te maken
- Rood => Onveilig, voldoet niet aan AVG
1. Social Plugins
Bij social plugins die gebruikt worden om berichten op WordPress sites te delen via social media is het oppassen geblazen. Veel van deze plugins leveren een risico op.
Rood
AddThis / Instagram Feed / jQuery Pin It Button for Images / MashShare / Monarch / Share Icons Share Buttons / ShareThis / Social Locker
Oranje (veilig als de juiste instellingen worden ingesteld)
PixelYourSite / Fuse Social Floating Sidebar
Groen
Arqam Social Counter / Better click to Tweet / Blog2Social / Meks Smart Social Widget / NextScripts: Social Networks Auto-Poster / Open Graph for Facebook, Google+ and Twitter Card Tags / Social Count Plus
2. Veiligheidsplug-ins
Hoe veilig zijn WordPress plugins die zeggen dat ze WordPress veiliger maken? Kort antwoord: veilig! Als tenminste de instellingen op de juiste manier worden ingesteld. Er staat momenteel slechts een plugin op de zwarte lijst.
Rood
Google Captcha by BestWebSoft
Oranje (veilig als de juiste instellingen worden ingesteld)
All In One WP Security & Firewall / iThemes Security / Limit Login Attempts / Limit Login Attemps Reloaded / Login LockDown / NinjaFirewall / SpyderSpanker / WP Limit Login Attempts
Groen
BBQ (Block Bad Queries) / Sucuri Security
3. Anti-Spam Plugins
Anti-Spam-Plugins helpen om SPAM reacties op WordPress sites te voorkomen. Daarvoor wordt onder meer gebruik gemaakt van IP-adressen. Dat zijn persoonsgegevens. De meest gebruikte Anti-Spam-plugins kunnen zonder meer veilig gebruikt worden, maar dan moeten er na het installeren wel instellingen veranderd worden.
Rood
Geen anti-spam-plugins beschikbaar
Oranje (veilig als de juiste instellingen worden ingesteld)
Askimet / Antispam Bee / WPBruiser / WP-SpamShield
Rood
Er zijn geen onveilige anti-spam-plugins
4. Statistische plugins
Alle plugins die webmasters en marketeers helpen bij het analyseren van statistische gegevens over het bezoekgedrag van bezoekers van websites verwerken persoonsgegevens. Dat hoeft geen probleem te zijn. Er staat slechts een statistische plugin op de rode lijst. De meeste statistische plugins moeten wel op de juiste manier worden ingesteld om aan de AVG te voldoen.
Rood
FeedStats
Oranje (veilig als de juiste instellingen worden ingesteld)
Count per Day / Google Analytics Dashboard for WP / Google Analytics for WordPress by MonsterInsights / WP Statistics
Groen
Statify
5. Contactformulieren
Contactformulieren verzamelen contactgegevens en verlangen daarom extra aandacht. Maar als de contsctplugins zo ingericht worden dat bezoekers alleen persoonsgegevens kunnen invoeren als ze expliciet aangeven akkoord te gaan met de veerwerking van hun gegevens is er geen vuiltje aan de lucht.
Oranje (veilig als de juiste instellingen worden ingesteld)
Contact Form 7 / Contact Form by WPForms / Gravity Forms / Ninja Forms / Super Forms – Drag & Drop Form Builder
6. Reactie-plugins
Bij plugins die het mogelijk te maken onder artikelen een reactie achter te laten lopen websites het risico dat de plugin persoonsgegevens als IP-adressen en E-mailadressen deelt met de ontwikkelaar van de plugin. Dat mag niet.
Rood
Disqus Comment System / wpDiscuz
7. Membership-, Community- und Forum-Plugins
Om gebruik te kunnen maken van online fora moeten vaak persoonsgegevens als e-mailadressen, IP-adressen of zelfs betaalgegevens worden ingevoerd. Dat mag alleen als daar toestemming voor gevraagd is.
Oranje (veilig als de juiste instellingen worden ingesteld)
BuddyPress / Digimember / OptimizePress / Simple Press / Ultimate Member
8. Laadtijd- en Performance-Plugins
Er zijn momenteel geen laadtijd- of performance plugins bekend die persoonsgegevens verwerken.
9. SEO-Plugins
Bij SEO-Plugins worden IP-Adressen gebruikt voor redirection doeleinden. Bij alle plugins kan deze redirectfunctievuitgeschakeld worden.
10. Foto-, video- en media-Plugins
Bij deze plugins moeten opgepast worden bij WordPress sites. Er worden regelmatig problemen met de AVG gemeld.
Rood
Compress JPEG & PNG Images / EWWW Image Optimizer Cloud / Kraken.io Image Optimizer / ShortPixel Image Optimizer / WordPress File
Oranje (veilig als de juiste instellingen worden ingesteld)
NextGEN Gallery
Groen
Comet Cache / Enable Media Replace / EWWW Image Optimizer / Imsanity / Media Cleaner / Resize Image After Upload / Regenerate Thumbnails / Unite Gallery Lite
11. Design Plugins
Veel Design Plugins kunnen door het aanpassen van een paar instellingen AVG-proof gemaakt worden.
Groen
Genesis Columns Advanced / Mag Mega Menu / MaxButton / Popup Builder / Posts in Page / Shortcoder / WP-PageNavi
Oranje (veilig als de juiste instellingen worden ingesteld)
Elementor Page Builder / Page Builder by SiteOrigin / WP Bakery Page Bilder
