Maakt u gebruik van een CMS (content management system) zoals WordPress, Drupal, Joomla, … ? Wist u dat uw website gebruik maakt van plugins? Vergeet u wel eens om deze plugins op uw website up-to-date te houden? Opgelet, het te lang uitstellen van een update kan zware gevolgen hebben op de werking & veiligheid van uw website. 

Zijn plugins nuttig of overbodig?

Een CMS is een framework of geraamte dat kan gebruikt worden om website te maken en eenvoudig te beheren. CMS frameworks zoals WordPress, Drupal of Joomla maken gebruik van modules/plugins die ervoor zorgen dat er allerhande functionaliteiten kunnen verwerkt worden in de site. Dit klinkt voor de hand liggend, maar er zijn uiteraard ook enkele risico’s aan verbonden. Het gebruik van plugins kan de grootte (in gigabytes en megabytes) van je website drastisch verhogen. Dit betekent dat het dus ook langer kan duren om je website te laden voor je bezoekers want al deze pakketten moeten ingeladen en gedownload worden vanuit de server naar de browser van de bezoeker. Wie voorzichtig omspringt met het installeren van dergelijke plugins zal hier uiteraard weinig tot geen last van hebben. 

Zijn plugins altijd even veilig?

Veel plugins worden ontwikkeld door relatief grote bedrijven met een sterk development team achter. Vaak zullen in dat geval veiligheidsrisico!s snel worden ontdekt en dus ook snel worden opgelost. Maar let op, er zijn ook zéér veel plugins die weinig tot geen opvolging krijgen door een gebrek aan interesse of tijd van de developers.

kwetsbare plugin

Recent bijvoorbeeld kwam nog de waarschuwing dat meer dan 100.000 WordPress websites gevaar lopen door een plugin die enkele kwetsbaarheden bevatte. Het zou gaan om de plugin ‘Responsive Menu’. Hackers kregen de mogelijkheid om op eenvoudige manier gevaarlijke bestanden te uploaden naar de website om vervolgens toegang te krijgen. Eens een hacker toegang heeft tot je website is het natuurlijk ‘game over’ want dan kan deze alles wat hij maar wilt gaan aanpassen, uploaden, downloaden, …

Gelukkig heeft het bedrijf achter de plugin ‘Wordfence’, een security plugin, direct contact opgenomen met de ‘ExpressTech’, de makers van deze plugin, om het probleem zo snel mogelijk op te lossen. Dit heeft echter enkele weken geduurd vooraleer de gebruikers een oplossing of patch aangeboden kregen. Tot zover het goede nieuws. De oplossing wordt aangeboden, maar deze moet uiteraard gedownload en geïnstalleerd worden door de beheerder van de website. En daar wringt heel vaak het schoentje. Eigenaars van websites zijn hier onvoldoende mee vertrouwd of hebben hiervoor geen interesse (lees hierbij: zolang het hun business niet impacteert). 

Hoe weet ik of mijn website gevaar loopt?

Wie reeds klant is bij Sinergio en Siohosting weet dat wij constant veiligheidsrisico’s op uw website opvolgen. Uiteraard kunnen wij niet voorspellen welke plugins mogelijke fouten of risico’s met zich meebrengen. Het is daarom uitermate belangrijk dat u regelmatig uw admin paneel van uw CMS consulteert om te kijken of er updates zijn. 

update plugin

Wat kunnen wij voor u betekenen?

Uiteraard kunnen wij voor onze klanten die weinig tot geen ervaring of amper tijd hebben om zich hiermee bezig te houden, ondersteuning bieden. Op maandelijkse basis gaan we dan alle risico’s en functionaliteit van uw site overlopen, upgraden en testen. Neem gerust een kijkje op onze Sio Care pagina en kom te weten op welke manieren wij u kunnen helpen en beter kunnen beschermen op uw website. 

Contacteer mij ivm een care programma

We ontvingen van een klant de waarschuwing dat hij mails ontving van cPanel op zijn eigen account met de vraag tot een "Account Upgrade" . De mail is opgesteld in het Engels en start als volgt : "We are closing down all outdated versions of the webmail ..."

Mag ik u dringend vragen zeker niet in te loggen via dergelijke mail op je account. Het doel van hackers is om je paswoord van je hosting account te bemachtigen. De mail wordt immers niet verzonden van je eigen account, maar gebruikt de spoofing manier om je te misleiden (alsof de mail is gestuurd vanaf jouw account). De enige juiste handeling is deze valse mail onmiddellijk naar de prullenbak te verwijzen.

Dank voor uw waakzaamheid.

Recent werd de vennootschapswetgeving aangepast waardoor alle BVBA's nu BV worden. We merken dat cybersquatters hier ook geld in ruiken.

Een klant die ook in zijn domeinnaam bvba gebruikt, werd bijvoorbeeld door een bedrijfje Web Wolves gecontacteerd dat zij dezelfde naam van zijn bedrijf hadden geclaimed, maar dan met BV achter. Enkel voor een extreem hoog bedrag kreeg de eigenaar de kans om de domeinnaam over te nemen.

Blijkbaar voert dit bedrijf deze activiteit uit op grote schaal !

Als je zo’n voorstel zou krijgen, laat je dan zeker niet beïnvloeden. DNS hanteert strenge regels tegen dergelijke cybersquatters. Temeer daar bijvoorbeeld in dit geval de domeinnaam identiek is en puur wordt geregistreerd uit winstbejag. De domeinnaamkaper kan in dit geval een factuur verwachten tot 1750 euro per domeinnaam indien je de Alternatieve Dispuut Resolutie (ADR) procedures hanteert.

Contacteer ons gerust mocht je dergelijk voorstel krijgen.

De laatste week krijgen we van klanten steeds vaker melding van een circulerende scam of phishing mail waarbij wordt gedreigd dat je computer en email adres zou zijn gehacked en de hacker bovendien hierdoor over compromitterend materiaal van jou zou beschikken. Uiteraard krijg je de mogelijkheid dat dit materiaal kan vernietigd worden middels het betalen van een som van 500 $ in bitcoins. Dit is wat men noemt een sextortion mail.

We vragen u met klem om niet te reageren op dergelijke mails en in de mate van het mogelijke deze te negeren en meteen te verwijderen. Het is niet ondenkbaar dat er toch een trojan virus via deze mails zich zou kunnen nestelen op je toestel als je bijvoorbeeld op een link zou klikken in de mail. Maar naar wat we nu zien, betreft dit enkel een spoofing mail.

Onderstaande tips geven we wel graag nog even mee :

  • Reageer zeker niet op de mail (om bv bewijs te vragen). In dat geval zou een eventuele hacker je wel een foto kunnen sturen die effectief een virus is.
  • Klik nooit op links of open nooit bijlages van betwistbare mails
  • Geloof niet zomaar wat in het from veld van de mail staat.
  • Overweeg om toch regelmatig je paswoorden aan te passen en gebruik zeker geen gemakkelijke. Dit staat los van bovenstaande, maar blijft een gouden advies.

Hieronder vindt u een voorbeeld van een dergelijke mail:

Hello!

My nickname in darknet is arni55.
I hacked this mailbox more than six months ago, through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

If you don't belive me please check 'from address' in your header, you will see that I sent you an email from your mailbox.

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $581 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin):
19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 50 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

Wellicht wordt u -net als wij- ook overrompeld door de massa’s informatie rond GDPR of AVG en bestaat de kans dat u nu nóg minder weet hoe u hiermee nu dient om te gaan. 

Gaat het eigenlijk om een storm in een glas water of zijn er toch wel wat angels te vrezen ? We zijn zeker geen juristen of GDPR consultants (en al evenmin verantwoordelijk omtrent de accuraatheid van onze informatie). Toch voelen we ons niet te beroerd om de inspanningen die we hebben gedaan om een en ander correct te begrijpen en toe te passen voor onszelf, ook te delen met onze klanten.

Meer over de GDPR-wetgeving

Daarom hebben we bovenop een korte introductie ook een 8 stappen plan (dat we voor onszelf hebben toegepast) met duidelijke templates op onze website beschikbaar gemaakt. Het staat u vrij om deze richtlijnen zelf ook toe te passen. Mochten er nog vragen zijn, staan we bovendien graag ter beschikking voor verdere toelichting. Want zo leren we samen bij en een goed beheer van persoonsgegevens belangt ons uiteraard allemaal erg aan.

GDPR 8-stappen plan

TIP 1: is er voldoende bewustzijn in je bedrijf or organisatie rond GDPR

Alles start bij bewustwording van jezelf of je medewerkers. Hier vind je een eenvoudige test die je kan uitvoeren : https://www.dmsuser.com/gdpr/ida.dll?ar&sid=018273

Een handige en leesbare brochure voor je medewerkers is deze van het VBO : http://www.vbo.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_nl_web-pdf.pdf

Wat is GDPR en wanneer treedt het in voege ?

GDPR staat voor General Data Protection Regulation en gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie dient u vanaf 25 mei te kunnen aantonen welke gegevens van personen u bewaart, hoe u deze data gebruikt en hoe u deze beveiligt. Bent u nog niet in orde hiermee, dan mag u niet meteen wanhopen. Belangrijk is dat u nu al aantoont dat u er mee bezig bent. En daarom steken we ook graag een handje toe met deze richtlijnen.

Bekijk het 8-stappenplan

Is er een verschil tussen GDPR en AVG?

GDPR (general data protection regulation) of AVG (algemene verordening gegevensbescherming – Nederlandse variant) betekenen hetzelfde.

Wat zijn de principes van GDPR?

De bescherming van persoonsgegevens (=alle informatie over een identificeerbaar natuurlijk persoon) - Nieuwe rechten voor burgers - Nieuwe verplichtingen voor organisaties (alle organisaties !) - Strengere naleving van de verplichtingen

Wat zijn de principes van GDPR?

De bescherming van persoonsgegevens (=alle informatie over een identificeerbaar natuurlijk persoon)

  • Nieuwe rechten voor burgers
  • Nieuwe verplichtingen voor organisaties (alle organisaties!)
  • Strengere naleving van de verplichtingen

Wat zijn de formele documenten voor AVG of GDPR?

  • Verwerkingsregister: wat, wie, waarom, hoe lang en hoe
  • Verwerkersovereenkomst: afspraken
  • Privacy policy: rechten van de betrokkenen

Wat zijn principes om data te bewaren?

  • Rechtmatigheid : juridische basis om data te verwerken (art 6)
    • Toestemming (consent) (art 7)
    • Noodzakelijke uitvoering overeenkomst (contract)
    • Wettelijke verplichting (bv boekhouding)
    • Vitale belangen
    • Algemeen belang
    • Gerechtvaardigd belang (direct marketing, …) -
  • Verboden (tenzij speciale voorwaarden) (art 9-10)
    • Verwerken van gevoelige gegevens zoals ras, etnische afkomst, politieke opvattingen, religieuze overtuigingen, genetische gegevens, gezondheidsgegevens, …

Wat zijn de rechten van de betrokkene?

  • - Recht op transparantie (art 12)
  • Te verstrekken informatie (art 13)
  • Recht op inzage (art 15)
  • Recht op rectificatie (art 16)
  • Recht op vergetelheid (art 17)
  • Recht op beperking van verwerking (art 18)
  • Recht op overdraagbaarheid (art 20)
  • Recht van bezwaar (art 21)
  • Profilering en geautomatiseerde besluitvorming (art 22)

Welke factoren kent het verwerkingsproces van gegevens ?

  • Verwerkingsverantwoordelijke (data controller): deze is verantwoordelijk voor het doel en de middelen van de gegevensverwerking en treft passende technische en organisatorische maatregelen om te waarborgen dar de verwerking in overeenstemming met GDPR wordt uitgevoerd.
  • Verwerker (processor) : diegene die verwerking van data uitvoert zonder verantwoordelijk te zijn voor de data

Voorbeeld : voor personeelsdata bent u als organisatie de verwerkingsverantwoordelijke en is het sociaal secretariaat de verwerker.

Welke boetes gelden bij inbreuken ?

  • Administratieve geldboetes tot 20 mio euro of 4% van de jaaromzet
  • Eventuele andere sancties per land te definiëren
  • Eventuele claims van personen die materiële of immateriële schade heeft geleden.
HTTPS

Wat houdt dit juist in?

In juli 2018 wordt de nieuwe versie “Chrome 68” gelanceerd door Google. In deze nieuwe versie zullen HTTP websites gemarkeerd worden als “onveilig”. Sites met HTTPS-versleuteling worden momenteel gemarkeerd door een groen hangslotpictogram en een 'Veilig'-melding.

Het verschil tussen HTTPS en HTTP

HTTPS-codering zorgt voor bescherming op het verkeer tussen uw browser en de site die u bezoekt. Indien deze bescherming niet aanwezig is zoals bij HTTP, dan is het verkeer kwetsbaar. Iemand met toegang tot uw router of internetprovider kan hiervan misbruik maken door pagina’s of formulieren te onderscheppen en eventueel malware te injecteren.

SSL Verschil
SSL Verschil

Na juli zal hier ook nog een bordje “onveilig” aan worden toegevoegd.

Waarom is dit verder belangrijk?

Dit is ook belangrijk voor de ranking op de Google zoekmachine. Sites zonder de HTTPS-versleuteling worden veel lager geplaatst dan sites die wel aan deze beveiliging voldoen. Op dit moment is het marktleider Google Chrome dat deze maatregeling implementeert maar andere grote browsers zoals Mozilla Firefox, Microsoft Edge, internet Explorer en Safari volgen.

Jouw site updaten naar HTTPS? Maak gebruik van SioCare!

Om te voldoen aan de HTTPS eisen heb je een SSL-certificaat nodig. Site-eigenaars die gebruik maken van SioCare mogen alvast op beide oren slapen, want sites die onder de SioCare vallen worden automatisch aangepast zodat ze voldoen aan alle benodigdheden om het SSL-certificaat te behalen.

Indien u hierin interesse hebt kan u alle voordelen van SioCare hier ontdekken.

WordPress, een van de vaakst gebruikte CMS systemen ter wereld wereld, heeft een nieuwe versie uitgebracht in verband met een grote kwetsbaarheid waardoor hackers ongeoorloofd toegang zouden krijgen tot uw omgeving.

WordPress maakt gebruik van een REST API. Deze API is kwestbaar doordat kwaadwillenden eigen code kunnen injecteren en hiermee admin rechten kunnen verkrijgen op de wordpress omgeving. Zo zou een aanvaller iedere post of pagina van je website kunnen beïnvloeden met kwaadaardige code. De nieuwe versie die wordpress net uitbracht, versie 4.7.2, heeft een voorziening daarvoor getroffen zodat dit niet meer mogelijk is.  Indien uw site op wordpress draait, dan kan u best zo snel mogelijk de update installeren.

Meer informatie rond deze kwetsbaarheid vindt u op wordpress (pagina is Engelstalig): https://make.wordpress.org/core/2017/02/01/disclosure-of- additional-security-fix-in-wordpress-4-7-2/

Indien u meer informatie wenst of u wenst dat wij een update voor u uitvoeren, dan kan u ons contacteren op info@siohosting.be

Vanaf 1 januari 2017 zal google Chrome (de webbrowser die de meeste onder ons gebruiken om te surfen) zijn regels aanpassen. Websites waarbij uw klanten kunnen inloggen of waarbij betaalgegevens zullen worden verwerkt zullen verplicht worden om een SSL certificaat te installeren. Indien dit niet gebeurt zal de site door google worden gemarkeerd als onveilig (not trusted).

We verwachten dat de andere browsers zoals Internet Explorer, Safari of Firefox dit voorbeeld zullen volgen.

We adviseren dan ook dat voor sites met betaalmogelijkheden of een webshop een SSL certificaat wordt geïnstalleerd. Wenst u hier meer informatie over SSL certificaten, dan kan u alvast kijken op onze site. De vermelde tarieven betreffen de aankoop en installatie van een certificaat.

We hebben nog wat extra betaalmethoden toegevoegd aan ons betalingssysteem. Momenteel kan u dan ook betalen via overschrijving, paypal, kredietkaarten of sofort (inloggen op je eigen rekening). Op die manier willen we graag tegemoet komen aan een zo klantvriendelijk mogelijke samenwerking.

Voor wie SOFORT niet kent :

SOFORT is een populaire manier om te betalen in Duitsland en is momenteel in 9 landen beschikbaar, waaronder ook België. Je kan via de SOFORT omgeving inloggen op je eigen bank. Een aparte Sofort account is niet nodig. Jouw bank zal zelf rechtstreeks de betaling verrichten. De effectieve transactie voer je dus uit via de digitale card reader van je eigen bank.

Voor wie PAYPAL niet kent :

In enkele klikken kan je een betaling uitvoeren via overschrijving, kredietkaart of het PayPal-saldo. Je hebt hier wel een paypal account voor nodig die je kan aanmaken op de site van Paypal. Paypal is behoorlijk succesvol en wereldwijd beschikbaar.

KREDIETkaart :

Visa of Mastercard en binnenkort ook AMEX zijn uiteraard ook mogelijk. Hierbij dien je enkel je kaartnummer mee te delen en de betaling wordt verricht.

Alvast bedankt voor de nuttige feedback aan onze klanten.

x

Wenst u meer info? Aarzel niet om ons te contacteren.