AVG Awareness, AVG Corona, Privacy Nieuws
Check Point® Software Technologies Ltd. waarschuwt leraren, leerlingen en studenten wereldwijd voor beveiligingslekken in online leeromgevingen die gebruik maken van de populaire WordPress plug-ins LearnPress, LearnDash en LifterLMS.
De plugins worden gebruikt door vele gerenommeerde universiteiten en worden ingezet op meer dan 100.000 leerplatforms.
In verband met de Corona crisis ontwikkelen momenteel veel organisaties eigen online leeromgevingen waarbij uit kostenbesparingen vaak gebruik gemaakt wordt van het gratis cms WordPress en gratis plug-ins als LearnPress, LearnDash en LifterLMS.
Zowel gebruikers als cybercriminelen kunnen de kwetsbaarheden uitbuiten om persoonlijke informatie te stelen, geld te incasseren en de toegangsrechten van een lerarenaccount te misbruiken.
Dit laatste zou het mogelijk maken om de eigen cijfers en die van anderen te veranderen, certificaten te vervalsen en antwoorden op vragenlijsten op te vragen. Deze kwetsbaarheid is zelfs al enige tijd bekend en is geregistreerd als CVE-2020-11511.
Pluigins voor elke WordPress-website
De kwetsbaarheden zijn gevonden in de WordPress plug-ins LearnPress, LearnDash en LifterLMS. Elk van deze plugins kan van elke WordPress-website een volledig functioneel en eenvoudig te gebruiken Learning Management System (LMS) maken.
LearnPress
Plugin die cursussen met quizzen en lessen maakt terwijl de studenten zich door het curriculum bewegen. Het wordt alleen al in de VS in meer dan 21.000 scholen gebruikt en heeft meer dan 80.000 installaties.
LearnDash
Plugin die tools biedt voor het distribueren van content, het verkopen van cursussen, het belonen van leerlingen en het activeren van triggers op basis van acties. Meer dan 33.000 websites gebruiken LearnDash, waaronder veel van de Fortune 500-bedrijven, evenals de Universiteit van Florida, de Universiteit van Michigan en de Universiteit van Washington.
LifterLMS
Plugin die voorbeeldcursussen, voorbeeldvragen, certificaten en een volledig geconfigureerde website biedt. Meer dan 17.000 websites maken gebruik van deze plugin, waaronder WordPress-agentschappen en -opvoeders, evenals verschillende scholen en onderwijsinstellingen.
“Studenten en leerlingen die zich inschrijven op e-learning sites weten misschien niet hoe gevaarlijk dit kan zijn”, zegt Christine Schönig, Regional Director Security Engineering CER van Check Point Software Technologies.
“Onze veiligheidsonderzoekers hebben aangetoond dat hackers het hele platform gemakkelijk kunnen overnemen. Hoge onderwijsinstellingen en veel online academies vertrouwen op de door ons onderzochte systemen om hun online cursussen en trainingen uit te voeren. We dringen er bij de relevante onderwijsinstellingen op aan om overal de nieuwe versies van de platforms en plug-ins te installeren om de veiligheidsgaten te dichten. We raden alle gebruikers ook aan om voorzichtig te zijn bij het gebruik van de programma’s.”
Privacy Nieuws
Pinterest is in de afgelopen jaren een populair social media platform geworden voor veel organisaties. Net als Facebook staat Pinterest vanwege de Europese privacyregels echter ter discussie. Voldoet het Amerikaanse bedrijf wel aan de AVG?
In dit artikel leggen we uit wat Pinterest is, waarom Pinterest zo interessant is voor marketingdoeleinden, wat de privacyrisico’s zijn en hoe je Pinterest zonder problemen AVG-proof kunt (blijven) gebruiken.
Pinterest kun je vergelijken met een plakboek waarin je verzamelingen bij houdt van afbeeldingen. En dat is voor internet marketeers bijzonder interessant. Pinterest biedt de mogelijkheid om doelgroepen heel gericht te bereiken.
Gebruikers van Pinterest kunnen hun eigen prikborden aanmaken. Op deze borden kunnen afbeeldingen van websites worden geplaatst door middel van een Pin it-knop.
Elke speld (pin) geeft een afbeelding, video of artikel weer. Deze spelden worden gegroepeerd op de borden die de gebruiker naar wens kan aanmaken en indelen.
De afbeeldingen hebben altijd een link naar de site waar ze zijn gevonden.
Het sociale aspect aan de website is dat deze borden in principe openbaar zijn en dus kunnen worden gevolgd door andere gebruikers.
Ook bestaat de mogelijkheid dat andere gebruikers een repin uitvoeren. Hiermee plaatsen zij de artikelen die zij bij andere gebruikers vinden op hun eigen borden.
Gebruikers kunnen ook samen een groepsbord samenstellen.
Pinterest is voor contentmarketeers een ideaal platform om de SEO waarde van sites te versterken.
SEO is de afkorting van Search Engine Optimalisation. In het Nederlands: Zoekmachine Optimalisatie.
SEO is van groot belang als je websites beter vindbaar wilt laten worden in zoekmachines als Google en Bing.
Je kunt de SEO waarde van een site verbeteren door woorden waarmee veel gezocht wordt (keywords – sleutelwoorden) strategisch te verwerken in titels van artikelen, in de tekst en in bechtijvingen van beeldmateriaal.
Daarnaast is het voor een betere SEO waarde van je site van belang om veel ‘backlinks’ te genereren naar je site.
Backlinks zijn links van andere sites die naar jouw site verwijzen.
Des te meer backlinks je hebt, des te populairder wordt je site in Google. Helemaal als deze backlinks afkomstig zijn van sites die een groot publiek hebben.
Die backlinks kun je onder meer krijgen van blogs die over jouw site schrijven, maar ook door je content te delen op social media kanalen zoals Facebook, Twitter, Instagram, YouTube en Pinterest.
Van alle Social Media platforms is Pinterest de enige met een interessante lange termijn waarde.
Op alle andere platforms zakken links snel weg.
Op Pinterest worden goede foto’s en illustraties echter juist krachtig gebundeld binnen themaborden die exact aansluiten op doelgroepen.
Zulke themaborden kunnen jarenlang waarde houden.
Pinterest is met name in trek bij vrouwen. Ongeveer 80% van de gebruikers is vrouw.
Pinterest maakte in september 2017 bekend te zijn gegroeid naar 200 miljoen maandelijks actieve gebruikers.
Kortom: Pinterest is een hele grote speler die dankzij het pingedrag van zijn gebruikers bijzonder veel waardevolle informatie over hen kan verzamelen. Pinterest weet heel veel van jou als jij een Pinterestaccount hebt en regelmatig pint.
Maar net als Facebook kan Pinterest dankzij de Pinterest knoppen op veel sites ook het surfgedrag van zijn gebruikers volgen.
Iedere site die een officiele Pinterest button of widget van Pinterest zelf gebruikt werkt mee aan de monitoring van zijn bezoekers door Pinterest.
In de Pinterest community wordt hevig gediscussieerd over de vraag of de monitoring door Pinterest wel rechtmatig is.
In principe is alle informatie die toegankelijk is via de widgets en knoppen die door Pinterest worden aangeboden, onderworpen aan de regels voor de bescherming van persoonsgegevens van Pinterest.
Privacy Shield certificaat
Pinterest heeft sinds kort een certificering voor het Privacy Shield akkoord tussen de VS en Europa. Daarmee voldoet Pinterest als Amerikaans bedrijf nu formeel aan de normen van de AVG.
Pinterest biedt de mogelijkheid om profiel-, prikbord- en pinwidgets aan je website toe te voegen. Je kunt de widgets eenvoudig, snel en gratis aanmaken in de zogenaamde Widget Builder van Pinterest.
Als je de Pinterest-widgets op jouw website plaatst, worden er altijd cookies geplaatst door Pinterest.
Dankzij die cookies kan Pinterest de bezoekers van jouw site in kaart brengen en volgen op jouw site en elders op het web.
Dat is op zich geen probleem als je er maar voor zorgt dat je Pinterest vermeldt in je privacyverklaring en een cookiebanner gebruikt.
Hetzelfde geldt voor de Bewaar knop (pinbutton) die je net als de Pinterest widgets in de Widget Builder kunt maken en daarna met html-code kunt integreren in je website.
WordPress plugin
Als je een WordPress site hebt kun je de plugin “Pinterest Hover Pin it Button” gebruiken om de Pinterest Pin knop AVG-vriendelijk in je site te integreren.
De volgende Pinterest widgets en knoppen voldoen volgens Pinterest aan de eisen van AVG:
- Pinterest profile widget
- Pinterest pinboardwidget
- Pinterest pin widget
- Pinterest note button
- Pinterest follow button
Alle widgets en knoppen die je in de Widget Builder kunt aanmaken voldoen aan de refeks van de AVG.
Als je zelf ook je privacyverklaring op orde hebt is er geen enkele reden om Pinterest niet te gebruiken om de SEO-waarde van je site te verbeteren met gerichte content marketing.
Privacy Nieuws
WordPress is wereldwijd het meest gebruikte content management systeem (csm) voor websites. En daarom zijn websites die gebouwd zijn met WordPress een populair doelwit van cybercriminelen die jagen op persoonsgegevens die via WordPress plug-ins worden verzameld.
Organisaties met een site die op WordPress is gebaseerd lopen kortom meer risico gehacked te worden.
Daarnaast zijn er diverse ‘handige’ plugins die op de achtergrond in strijd met de Europese privacyregels informatie verzamelen. De eigenaar van de website is daarvoor verantwoordelijk.
Kun je dan maar beter geen gebruik kunt maken van WordPress?
Nee, geen zorgen. Zolang je weet wat je doet is er geen probleem.
Omdat WordPress zo populair is worden hacks ook sneller ontdekt. Lekken worden sneller gedicht. Het systeem wordt voortdurend doorontwikkeld. Wereldwijd is er een team van specialisten bezig om WordPress steeds beter aan te laten sluiten op de AVG.
De WordPress community heeft inmiddels een lijst met veilige en onveilige WordPress plug-ins uitgebracht. PrivacyZone.nl zet deze plugins op een rij.
Er zijn drie soorten WordPress plugins:
- Groen => AVG-proof, kunnen zonder meer gebruikt worden
- Oranje => Onveilig, maar mogelijk om door aanpassen van instellingen veilig te maken
- Rood => Onveilig, voldoet niet aan AVG
1. Social Plugins
Bij social plugins die gebruikt worden om berichten op WordPress sites te delen via social media is het oppassen geblazen. Veel van deze plugins leveren een risico op.
Rood
AddThis / Instagram Feed / jQuery Pin It Button for Images / MashShare / Monarch / Share Icons Share Buttons / ShareThis / Social Locker
Oranje (veilig als de juiste instellingen worden ingesteld)
PixelYourSite / Fuse Social Floating Sidebar
Groen
Arqam Social Counter / Better click to Tweet / Blog2Social / Meks Smart Social Widget / NextScripts: Social Networks Auto-Poster / Open Graph for Facebook, Google+ and Twitter Card Tags / Social Count Plus
2. Veiligheidsplug-ins
Hoe veilig zijn WordPress plugins die zeggen dat ze WordPress veiliger maken? Kort antwoord: veilig! Als tenminste de instellingen op de juiste manier worden ingesteld. Er staat momenteel slechts een plugin op de zwarte lijst.
Rood
Google Captcha by BestWebSoft
Oranje (veilig als de juiste instellingen worden ingesteld)
All In One WP Security & Firewall / iThemes Security / Limit Login Attempts / Limit Login Attemps Reloaded / Login LockDown / NinjaFirewall / SpyderSpanker / WP Limit Login Attempts
Groen
BBQ (Block Bad Queries) / Sucuri Security
3. Anti-Spam Plugins
Anti-Spam-Plugins helpen om SPAM reacties op WordPress sites te voorkomen. Daarvoor wordt onder meer gebruik gemaakt van IP-adressen. Dat zijn persoonsgegevens. De meest gebruikte Anti-Spam-plugins kunnen zonder meer veilig gebruikt worden, maar dan moeten er na het installeren wel instellingen veranderd worden.
Rood
Geen anti-spam-plugins beschikbaar
Oranje (veilig als de juiste instellingen worden ingesteld)
Askimet / Antispam Bee / WPBruiser / WP-SpamShield
Rood
Er zijn geen onveilige anti-spam-plugins
4. Statistische plugins
Alle plugins die webmasters en marketeers helpen bij het analyseren van statistische gegevens over het bezoekgedrag van bezoekers van websites verwerken persoonsgegevens. Dat hoeft geen probleem te zijn. Er staat slechts een statistische plugin op de rode lijst. De meeste statistische plugins moeten wel op de juiste manier worden ingesteld om aan de AVG te voldoen.
Rood
FeedStats
Oranje (veilig als de juiste instellingen worden ingesteld)
Count per Day / Google Analytics Dashboard for WP / Google Analytics for WordPress by MonsterInsights / WP Statistics
Groen
Statify
5. Contactformulieren
Contactformulieren verzamelen contactgegevens en verlangen daarom extra aandacht. Maar als de contsctplugins zo ingericht worden dat bezoekers alleen persoonsgegevens kunnen invoeren als ze expliciet aangeven akkoord te gaan met de veerwerking van hun gegevens is er geen vuiltje aan de lucht.
Oranje (veilig als de juiste instellingen worden ingesteld)
Contact Form 7 / Contact Form by WPForms / Gravity Forms / Ninja Forms / Super Forms – Drag & Drop Form Builder
6. Reactie-plugins
Bij plugins die het mogelijk te maken onder artikelen een reactie achter te laten lopen websites het risico dat de plugin persoonsgegevens als IP-adressen en E-mailadressen deelt met de ontwikkelaar van de plugin. Dat mag niet.
Rood
Disqus Comment System / wpDiscuz
7. Membership-, Community- und Forum-Plugins
Om gebruik te kunnen maken van online fora moeten vaak persoonsgegevens als e-mailadressen, IP-adressen of zelfs betaalgegevens worden ingevoerd. Dat mag alleen als daar toestemming voor gevraagd is.
Oranje (veilig als de juiste instellingen worden ingesteld)
BuddyPress / Digimember / OptimizePress / Simple Press / Ultimate Member
8. Laadtijd- en Performance-Plugins
Er zijn momenteel geen laadtijd- of performance plugins bekend die persoonsgegevens verwerken.
9. SEO-Plugins
Bij SEO-Plugins worden IP-Adressen gebruikt voor redirection doeleinden. Bij alle plugins kan deze redirectfunctievuitgeschakeld worden.
10. Foto-, video- en media-Plugins
Bij deze plugins moeten opgepast worden bij WordPress sites. Er worden regelmatig problemen met de AVG gemeld.
Rood
Compress JPEG & PNG Images / EWWW Image Optimizer Cloud / Kraken.io Image Optimizer / ShortPixel Image Optimizer / WordPress File
Oranje (veilig als de juiste instellingen worden ingesteld)
NextGEN Gallery
Groen
Comet Cache / Enable Media Replace / EWWW Image Optimizer / Imsanity / Media Cleaner / Resize Image After Upload / Regenerate Thumbnails / Unite Gallery Lite
11. Design Plugins
Veel Design Plugins kunnen door het aanpassen van een paar instellingen AVG-proof gemaakt worden.
Groen
Genesis Columns Advanced / Mag Mega Menu / MaxButton / Popup Builder / Posts in Page / Shortcoder / WP-PageNavi
Oranje (veilig als de juiste instellingen worden ingesteld)
Elementor Page Builder / Page Builder by SiteOrigin / WP Bakery Page Bilder
Privacy Nieuws
WordPress is een van de meest gebruikte software voor websites wereldwijd. En daarom is WordPress ook zeer populair bij hackers. Er worden voortdurend pogingen gedaan om WordPress sites te infecteren met virussen. Zoals recent BabaYaga, een soort malware die andere malware verwijdert en vervolgens uw site zelf infecteert.
BabaYaga werd onlangs uitgebreid beschreven in een rapport van Wordfence, dat bedreigingen van WordPress sites monitort en bestrijdt.
Baba Jaga is in de Slavische mythologie een soort heks. Zij is de wilde vrouw, de donkere dame en meesteres der magie. Ze wordt ook gezien als een bosgeest, aan het hoofd van scharen geesten. Bron: Wikipedia.
Wat doet BabaYaga met uw WordPress site
Het meest opvallende kenmerk van de malware van BabaYaga is haar vermogen om zich te ontdoen van haar ‘concurrenten’. Kortom, BabaYaga eet andere malware. Dit klinkt misschien geweldig, alsof je een vriendelijke spin hebt die de vliegen in je huis eet, maar eigenlijk is het verraderlijker.
De reden waarom BabaYaga zich van andere malware ontdoet, is om zichzelf verborgen te houden. Wordfence zegt:
“Een goede parasiet wil zijn gastheer in leven houden.”
Als malware zijn eigen bestaan duidelijk maakt, zal de eigenaar van de site waarschijnlijk meteen maatregelen nemen. De site wordt doorgelicht en professioneel van alle kwaadaardige programma’s bevrijd. BabaYaga voorkomt dat door zelf stilletjes deze andere bedreigingen te verwijderen, zodat u niet merkt dat er een bedreiging is.
Hoe werkt BabaYaga?
Zodra BabaYaga uw site heeft geïnfecteerd, zal het beginnen met het genereren van spam content. De gegenereerde pagina’s zullen vol staan met keyword vulling waarmee uw site gevonden wordt in zoekmachines. Alleen zijn dat geen keywords waarmee u gevonden wilt worden. De links die BabaYaga op de pagina’s met deze keywords op uw site heeft geplaatst verwijzen naar een externe affiliatesite. BabaYaga verdient over uw rug op een oneerlijke manier geld aan bezoekers van uw site.
Dit kan natuurlijk ernstige schade toebrengen aan de zoekmachine optimalisatie (SEO) van uw site. Het kan ook negatieve gevolgen hebben voor uw bandbreedte en opslag, terwijl uw site kwetsbaar wordt voor andere beveiligingsrisico’s.
Hoe herken je een BabaYaga infectie?
Er zijn een aantal aanwijzingen waaraan u een BabaYaga infectie kunt herkennen.
Ten eerste, als uw server contact opneemt met de volgende host of IP, is uw site waarschijnlijk geïnfecteerd:
7od.info (178.132.0.105)
my.wpssi.com (89.38.98.31)
U kunt ook een Google-zoekopdracht uitvoeren om te zien of uw site spamcontent produceert. U kunt dit doen door naar Google te gaan en te zoeken naar site: https://uwdomeinnaam.nl (uiteraard uwdomeinnaam.nl vervangen door uw eigen domeinnaam).
Als u verschillende pagina’s vindt die u niet herkent, kunt u er zeker van zijn dat BabaYaga uw site heeft beïnvloed.
Hoe kom je van BabaYaga af?
Het verwijderen van de BabaYaga malware is gecompliceerd.
U moet beginnen met het uitvoeren van een antivirusscan op uw computer, gevolgd door het wijzigen van al uw relevante wachtwoorden. Dit geldt ook voor uw site, uw FTP-referenties (File Transfer Protocol) en uw server.
Omdat BabaYaga ongewoon veerkrachtig is, moet u misschien wat tijd besteden aan het handmatig opschonen van uw site. Elke geinfecteerde pagina moet verwijderd worden.
Wellicht kunt u veel tijd besparen door een schone backup van uw site terug te plaatsen. Controleer dan wel of de backup zelf ook schoon is!
Hoe beschermt u uw site tegen BabaYaga (en andere schadelijke software)?
Als u het geluk hebt dat uw site niet is geïnfecteerd door BabaYaga, betekent dit niet dat u kunt achteroverleunen. Voorkom dat u het volgende slachtoffer wordt en neem beveiligingsmaatregelen. Overigens bent u dat volgens de AVG ook verplicht.
Installeer een firewall en andere veiligheidsmaatregelen.
Gebruik altijd sterke wachtwoorden en gebruikersnamen voor uw WordPress site.
Zorg ervoor dat uw inlogscherm veilig is en bestand is tegen brute force-aanvallen.
Scan uw site regelmatig op malware.
Houd WordPress, inclusief uw thema en plugins, te allen tijde up-to-date.
Het is ook de moeite waard om te onthouden dat geen enkele beveiliging perfect of eeuwig is. U moet voortdurend op de hoogte blijven van nieuwe bedreigingen, want cybercriminelen zijn altijd bezig met het ontwikkelen van nieuwe virussen.
In dit artikel hebben we de malware van BabaYaga besproken en hoe deze uw WordPress-site kan beïnvloeden. We hebben je ook uitgelegd hoe je kunt zien of deze bijzonder ongrijpbare aanvaller je site heeft geïnfecteerd, en hoe je er van af kunt komen. Blijf veilig!