TLS 1.3 nu beschikbaar op onze servers

TLS 1.3 is nu bij ons beschikbaar. Hiermee worden de verbinding sneller en veiliger. Het mooiste is dat je hier verder niets hoeft te doen. Alle sites maken hier standaard gebruik van. Wil je weten wat TLS 1.3 is en wat er verbeterd is?

Wat is TLS 1.3?

TLS staat voor Transport Layer Security en is de opvolger van SSL (Secure Sockets Layer). TLS zorgt voor een veilige communicatie tussen de webbrowser en de server. Veel protocollen die op IP-basis werken, zoals HTTPS, SMTP, POP3, FTP, ondersteunen TLS om de gegevens te versleutelen.

Snellere verbinding maken met TLS 1.3

Wanneer je een website bekijkt, dan stuurt je browser een verzoek naar de server om de pagina op te halen. Deze server stuurt vervolgens als antwoord op je verzoek, de pagina naar je browser, zodat je deze kunt bekijken. Deze communicatie noemen we ook wel een round trip.

In TLS 1.2 kost het twee round trips om een beveiligde verbinding op te zetten. Pas daarna worden er gegevens uitgewisseld van de daadwerkelijke HTTP informatie. Wanneer je via een trage verbinding werk kan dit honderden millisecondes extra laadtijd opleveren.

In TLS 1.3 hoef er maar één keer een round trip plaats te vinden waardoor de verbinding dus de helft van de tijd kost waardoor deze stukken sneller is dan oudere TLS versies.

Verbeterde veiligheid

Nog belangrijker dan snelheidswinst is uiteraard de veiligheid. Vanaf TLS 1.3 worden onveilige cipher suites verwijderd die in TLS 1.2 nog wel aanwezig waren namelijk:

SHA-1
RC4
DES
3DES
AES-CBC
MD5
Arbitrary Diffie-Hellman groups
EXPORT-strength ciphers

Een cipher suite is een methode die gebruikt wordt om een versleutelde verbinding op te zetten volgens het TLS protocol.

Samengevat

Waar we vorig jaar al HTTP/2 protocol ondersteunden en dit jaar ook DNSSEC aangezet hebben is ook deze update weer een stap voorwaarts om het internet weer veiliger en sneller te maken. Met de nieuwe TLS 1.3 die nu actief draait op onze server worden onze sites weer een stukje sneller en nog veiliger.

PHP7.2 de nieuwe standaard op onze servers

Doordat wij veiligheid zeer belangrijk vinden houden wij al onze software up-to-date. Al enige tijd draaien wij PHP7.1 maar hebben dan nu ook deze versie afgestoten. Inmiddels draaien al onze server op PHP7.2!

Wat zijn de veranderingen ten opzichte van andere versies?

Verbeterde prestaties

Begin dit jaar hebben wij al enkele tests gedaan met PHP7.2. Hierin zagen we een snelheidsverbetering van ongeveer 5% ten opzichte van PHP7.1. Het is misschien niet veel, maar alle beetjes helpen!

Veiligheidsverbeteringen

Nu in PHP7.2 wordt de Sodium library. geïntegreerd in de core. Libsodium is een cross-platform library voor encryptie, decryptie, handtekeningen, password hashing en meer. Dit zorgt ervoor dat PHP weer volledig bij de tijd is als het gaat om versleuteling.

Striktere en verbeterde programmeerregels

Voor onze klanten niet erg relevant, maar er zijn veel technische wijzigingen gemaakt waardoor programmeurs nog netter dienen te programmeren. We gaan verder niet in wat deze wijzigingen exact zijn, maar mocht je geïnteresseerd zijn kun je de lijst hier lezen.

Wat betekent dit voor mijn WordPress website?

Op het moment van schrijven draait, volgens de officiële WordPress statistiek pagina, 36,5% op PHP7.1 waarvan alleen 6,8% PHP7.2 en 9,9% PHP7.1.

Schrikbarend is het percentage dat we zien bij PHP5. Meer dan 50% draait nog op deze versie waarvan is aangekondigd dat deze niet meer ondersteunt wordt vanaf 31 december 2018 of al lang niet meer ondersteunt worden. Ook PHP7.0 zal per 3 december geen veiligheidsupdates meer ontvangen. (bron: php.net)

Werkt mijn site nog wel?

Tuurlijk! Wanneer je ons de website laat bouwen en hosten zorgen wij er voor dat deze altijd blijft draaien op de nieuwste PHP versie.

Domeinnamen bij ons nu standaard met DNSSEC

Wij blijven altijd ons best doen onze producten te verbeteren. Dit jaar hebben wij al onze domeinnamen standaard voorzien van DNSSEC. Wil je weten wat dit is? Lees dan verder!

Wat is DNSSEC?

DNSSEC staat voor DNS Security Extensions en, is zoals de naam doet vermoeden, een uitbreiding voor het DNS-protocol. Met DNSSEC wordt het gebruik van domeinnamen veiliger en wordt het onmogelijk om zogeheten cache poisoning of ‘man-in-the-middle’ aanvallen verkeer naar een domeinnaam te beïnvloeden.

Hoe werkt het?

Om dit soort type aanvallen te voorkomen, koppelt DNSSEC het antwoord op een DNS-query aan een digitale handtekening. Hierdoor is te controleren of de records die een DNS-server stuurt wel valide zijn.

Om dit te bewerkstelligen worden DNS-servers voorzien van een systeem voor asymmetrische cryptografie, oftewel ‘public-key cryptography’.

DNS-informatie wordt hierdoor gesigned met een private key. Hierdoor kunnen gebruikers met een public key nagaan of de verstuurde informatie klopt en er geen problemen zijn met deze informatie

In de praktijk

Helaas doen veel hostingbedrijven dit nog niet standaard. Wij stellen standaard bij al onze domeinnaam DNSSEC in.

Wat moet je doen voor de AVG als je een website hebt?

Vanaf 25 mei 2018 zal in de hele Europese Unie de Algemene Verordening Gegevensbescherming (AVG) van toepassing zijn (internationaal bekend als General Data Protection Regulation of in het kort GDPR ). Deze nieuwe wet is bedoeld om iedere ondernemer te verplichten zorgvuldig en veilig met privacy gevoelige informatie om te gaan. Wanneer je persoonsgegevens verwerkt dien je een aantal stappen te ondernemen om aan deze nieuwe wetgeving te voldoen. Omdat wij hier veel vragen over krijgen hebben we hier een overzicht met hetgeen je kunt doen.

Beveiligde verbindingen met een SSL-certificaat

Met een SSL certificaat zorg je er voor dat de verbinding tussen de bezoeker en de server versleuteld wordt. Mochten deze berichten dan onderschept worden, dan zijn ze niet leesbaar. Ook heeft Google aangegeven dat websites met een SSL certificaat voorrang krijgen in de zoekresultaten. Het belangrijkste is dat je een SSL certificaat gebruikt bij formulieren waarbij je om persoonlijke informatie vraagt, denk aan een contact- of bestelformulier. Verder zal Google in juli 2018 een update voor Google Chrome uitrollen waarbij websites die geen https adres hebben als onveilig worden bestempeld. Bron: Google Blog.

Nog een belangrijk aspect van AVG is het inzichtelijk maken van de persoonsgegevens die je opslaat. Het gaat hier niet alleen om hetgeen wat je opslaat, maar ook dat je de vragen “waarom” en “hoe lang” beantwoord. Ook dien je te melden met wie je de gegevens deelt.

Privacyverklaring opstellen, maak inzichtelijk welke persoonsgegevens je verwerkt

Je bent wettelijk verpicht een duidelijke privacyverklaring te hebben waarin klanten en bezoekers duidelijk kunnen lezen welke privacygevoelige gegevens je verzamelt, met welk doel en voor hoe lang. Je kunt hiervoor een jurist inschakelen maar de overheid heeft zelf ook een handige privacyverklaring generator voor je klaar staan. Via deze tool kun je via eenvoudige stappen de basis klaar zetten en hoef je enkele onderdelen nog maar handmatig aan te vullen om aan deze nieuwe wetgeving te voldoen.

Cookies, cookies en nog eens cookies

Cookies zijn bestandjes op je computer waarin kleine beetjes informatie wordt opgeslagen. je dient voor je bezoeker inzichtelijk te maken welke cookies je gebruikt, met welk doel en voor hoe lang. Ook dien je in een aantal gevallen toestemming te vragen alvorens je de cookies plaatst. Je hebt verschillende type cookies die we hier even zullen beschrijven.

Toestemmingsvrije Cookies

Deze cookies maken geen tot weinig inbreuk op de privacy van je bezoekers. Hiervoor hoef je geen toestemming te vragen maar wel moet je de bezoeker melden dat je ze plaatst.

Functionele cookies
Deze functionele cookies zijn nodig om de website goed te laten functioneren. Bijvoorbeeld het onthouden van je winkelwagentje bij een webshop.

Analytische cookies
Dit zijn cookies die bezoekerstatistieken bijhouden. Je dient hierin wel te zorgen dat de gegevens niet te herleiden zijn tot een persoon. Dit betekent dat je het ip-adres bijvoorbeeld moet anonimiseren. Google Analytics is een voorbeeld die gebruikt maakt van dergelijke cookies. Om deze anoniem te maken dien je een paar kleine stappen te ondernemen. Doe je dit niet, dan dien je dus toestemming te vragen.

Cookies waarbij toestemming vereist is

Er zijn ook cookies die meer privacygevoelige informatie bij houden. hiervoor dien je eerst toestemming te vragen.

Tracking cookies en Cookies van derden
Dit zijn cookies die de bezoeker volgt en het surfgedrag bij houden. Deze cookies worden vaak gebruikt om je advertenties aan te bieden die bij jou passen denk aan Facebook Pixel en/of Google Adwords. Vaak worden deze cookies ook via andere websites geplaatst dan de website die je bezoekt. Op deze wijze kunnen adverteerders over verschillende sites bij houden wat je bekijkt.

Verwerkersovereenkomst met leveranciers

In een verwerkersovereenkomst worden afspraken vastgelegd tussen jou (als verantwoordelijke) en je leverancier (als bewerker) hoe de verwerking van gegevens gedaan wordt. Denk aan welke persoonsgegevens verwerkt worden, beveiligingsmaatregelen die getroffen worden, maar ook hoe gehandeld wordt bij een eventueel datalek. Jij bent zelf verantwoordelijke en zult met je leveranciers, met wie je gegevens deelt, een verwerkersovereenkomst moeten afsluiten. Wanneer je bij ons een website host, dan zul je ook met ons een overeenkomst moeten afsluiten.

Om het jou makkelijk te maken nemen wij het initiatief en kun je via ons klantenportaal deze overeenkomst inzien en accorderen. Deze overeenkomst is ook algemeen te lezen op onze verwerkersovereenkomst pagina.

Als verantwoordelijke over jouw klantgegevens, bent je verplicht een verwerkersovereenkomst te sluiten met al je leveranciers, waar je persoonsgegevens opslaat of laat verwerken. Dit geldt bijvoorbeeld als je gebruik maakt van onze hostingdiensten. Er dient daarom volgens de nieuwe AVG wetgeving een verwerkersovereenkomst gesloten te worden tussen jou en NIJM.

WordPress en AVG

Ook je WordPress website kan gegevens opslaan. Dit kan via een webshop zijn maar ook een eenvoudig contactformulier. Vorige week hebben we een update uitgerold voor al onze klanten waarbij je een extra optie hebt gekregen om je privacyverklaring aan te koppelen.

Zorg ook dat de WordPress omgeving goed beveiligd is. Een aantal tips kun je lezen in het artikel “Hoe beveilig ik mijn WordPress website?“.

Wat voor impact heeft de AVG nog meer voor jou?

De AVG zorgt dat je als ondernemer/organisatie meer verplichtingen hebt bij het verwerken van persoonsgegevens en legt nadruk op de verantwoordelijkheid dat je je aan de wet houdt. Ga je zorgvuldig met persoonsgegevens om en heb je je beveiliging op orde? Dan voldoe je waarschijnlijk al grotendeels aan deze wet. Let wel dat dit artikel voornamelijk over je website gaat. De AVG geldt ook voor je offline manieren van opslaan van persoonsgegevens!

Wil je alsnog meer informatie hebben vraag ons of kijk eens op de website van de Autoriteit Persoonsgegevens.

Hoe beveilig ik mijn WordPress website?

Hoe heb jij je beveilig WordPress geregeld? Je hoort het helaas toch redelijk vaak dat websites gehackt worden. Vaak gaat het om beheersystemen zoals bijvoorbeeld Joomla, Drupal, WordPress et cetera. Wij kennen zelfs bedrijven die om die reden niet willen werken met WordPress, omdat dit niet veilig zou zijn. Is deze angst wel terecht? Wij vinden absoluut van niet!

Als je kijkt waarom sites gehackt zijn dan zie je vaak dezelfde oorzaken: te makkelijke inloggegevens of verouderde/illegale software (bron). De reden dat bijvoorbeeld WordPress “vaak” het doelwit is heeft te maken met het marktaandeel. WordPress schijnt momenteel gebruikt te worden voor 28% (december 2017) van alle websites, waardoor dit natuurlijk een interessant systeem is voor hackers.

Allemaal leuk en aardig, maar wat kun je nu concreet doen om je website veilig te houden?

Gebruik lange wachtwoorden voor je beheeromgeving

Een vaak voorkomende reden dat sites gehackt worden is dat men de standaard gebruikersnaam met een te makkelijk wachtwoord gebruiken. Vaak wordt er gedacht “Waarom zouden mensen mij willen hacken?”. Dit gebeurt juist automatisch, waarbij er geprobeerd wordt in te loggen om zo bestanden van de website aan te kunnen passen. Vervolgens wordt de code van je website zodanig aangepast dat er bijvoorbeeld spam e-mails vanaf jouw hostingpakket verstuurd wordt. Dit is niet alleen vervelend voor jou maar ook voor de hostingpartij.

Zorg daarom altijd dat je van de standaard gebruikersnaam afwijkt en gebruik dus nooit admin. Ook adviseren wij om een wachtwoord van minimaal 18 tekens te gebruiken. Dit hoeft niet een brei aan tekens te zijn maar mag ook een lopende zin zijn waarbij je enkel wat getallen en symbolen toevoegt. Hoe langer een wachtwoord des te moeilijker deze te kraken zal zijn.

Nog beter is om daarboven op gebruik te maken van een 2-staps-verificatie. Dit betekent dat wanneer je de gebruikersnaam en wachtwoord correct invult. Je alsnog een extra code die je bijvoorbeeld op je telefoon ontvangt, moet invoeren om verder te kunnen.

Beperk het aantal inlogpogingen

Een moeilijk wachtwoord is een mooi begin, maar heeft weinig nut wanneer hackers oneindig vaak mogen proberen in te loggen. Beperk daarom het aantal inlogpogingen op je website en blokkeer de gebruiker wanneer deze over het limiet heen komt.

Houd je website onderdelen up-to-date

Een ander zeer belangrijk punt die wij vaak mis zien gaan is dat de website/webshop niet ge-update wordt. Hierdoor blijven beveiligingslekken, die met updates gedicht worden, vaak open staan. Dit betekent dus dat je website kwetsbaar wordt. Wanneer je WordPress gebruikt is het updaten over het algemeen zeer eenvoudig. Uiteraard kan er altijd wat mis gaan, daarom is het wel handig om een WordPress specialist achter de hand te hebben.

Overigens geldt dit niet alleen voor je website. Ook is het belangrijk om je OS (Operating System bijvoorbeeld Windows of iOS) up-to-date te houden. Ook hier worden beveiligingslekken gedicht en wanneer je niet update blijf je dus kwetsbaar. Zo kan het zijn dat je per ongeluk een keylogger binnenhaalt. Deze zorgt ervoor dat alles wat jij in typt door gestuurd wordt, dus ook je wachtwoorden.

Gebruik betrouwbare bronnen

Wij hebben een aantal keren meegemaakt dat we door andere partijen ingehuurd worden om gehackte websites te repareren en tevens de oorzaak te vinden. Veel hiervan had met het vorige punt te maken. Echter zijn wij ook gevallen tegen gekomen waarbij de eindklant een template had gedownload van een vage website. Dit is vragen om problemen. Vaak zitten hier achterdeurtjes ingebouwd waarbij er misbruik wordt gemaakt van jouw WordPress installatie. Wij adviseren altijd om een WordPress expert om advies te vragen bij het aanschaffen/downloaden van thema’s of plug-ins.

Conclusie

Het is dus belangrijk up-to-date te blijven en je inloggegevens niet te eenvoudig te houden. Uit ervaring weten wij dat klanten niet zitten te wachten om ook nog zelf de websites te updaten en te beveiligen. Om die reden hebben wij besloten dat wij alle door ons gehoste WordPress websites voor de klant updaten en tevens ook beveiligen met ons WordPress hostingpakket.

WordPress op SSL binnenkort de standaard

In december 2016 kondigde WordPress al aan dat 2017 het omgangspunt zal worden om functionaliteiten in te gaan bouwen die alleen werken via HTTPS. Google gaf eerder al aan dat HTTP sites uiteindelijk een foutmelding zouden krijgen.

We zijn inmiddels gewend dat:

JavaScript nodig is voor het maken van gebruiksvriendelijke interfaces en vloeiende animaties
De nieuwste PHP versies nodig zijn voor een betere performance

Het volgende punt wat daar bij zal komen is het standaardiseren van SSL.

Wat is SSL en waarom zou je dit moeten gebruiken?

Wanneer je een website of webapplicatie benaderd, dan stuur je een aanvraag naar de server. De server verwerkt deze aanvraag en stuurt vervolgens het resultaat terug. Wanneer je dit doet over het HTTP protocol dus zonder SSL, dan wordt deze communicatie niet versleuteld. Dit betekent dat iedereen je berichten kan onderscheppen en zonder al te veel moeite kan inzien wat hierin staat en wat je dus aan het doen bent.

SSL zorgt er voor dat je via HTTPS aanvragen verstuurd. HTTPS is een uitbreiding op het HTTP protocol. De S hier staat ook voor Secure. Dit betekent simpel gezegd dat de communicatie tussen de bezoeker en de server (en vice versa) eerst versleuteld wordt dan pas verstuurd wordt.

Dus SSL is altijd veilig!

Hoewel SSL zorgt voor een versleutelde communicatie geldt toch altijd de regel dat alles uiteindelijk te kraken valt. Niet om je bang te maken, maar hoe meer geld (voor bijvoorbeeld krachtigere hardware) en tijd iemand spendeert aan het kraken van een code des te groter de kans zal worden dat het te gekraakt zal worden.

Voor de meeste sites is deze moeite te groot en het totaal niet waard en zal SSL dus voor nu een veilige oplossing zijn.

Hoe krijg ik SSL op mijn website en hoe krijg ik WordPress op SSL?

Allereerst dien je een certificaat aan te schaffen. Deze dien je op de server te (laten) installeren. Vervolgens dien je ook de website zodanig aan te passen dat alle afbeeldingen, CSS bestanden, JavaScript bestanden etc. Ook ingeladen worden via https. De hoeveelheid werk is vaak afhankelijk van het systeem dat je gebruikt maar is over het algemeen vrij snel te realiseren.

Om WordPress op SSL te krijgen hoef je vaak alleen maar bij [Instellingen] en [Algemeen] de beide urls aan te passen naar de https variant. Zorg er wel eerst voor dat de website via https te bereiken is!

Migratie naar een nieuwe server

Zoals jullie weten streven wij erna om ten alle tijden een goede service aan onze klanten te leveren. Zo zijn wij in 2017 begonnen met het standaardiseren van SSL en hebben wij alle websites die bij ons gehost worden gratis omgezet, zodat deze draaien op https.

Maart en April verhuizen van de bestaande accounts

Natuurlijk zitten wij niet stil en zijn wij ook dit jaar druk bezig met het verbeteren van onze producten.
In maart en april zullen wij alle websites overbrengen naar een nieuwe snellere server.

Geen PHP 5.6 meer maar alleen PHP 7

Ook stoppen wij met het ondersteunen van PHP 5.6 dat momenteel nog wel als 2e keus op de huidige server beschikbaar is. Op de nieuwe server wordt alleen PHP 7 gebruikt. Wij hebben inmiddels alle systemen compatible gemaakt dus hier zou je geen problemen van mogen ondervinden. Wel zal de snelheid enorm toe nemen van deze applicaties.

Wat betekent dit voor onze klanten?

Als het goed is zul je niets merken van de verhuizing. Wel zul je gaan merken dat de websites sneller zullen gaan laden. Benieuwd naar de technische details? Wij vertellen je er graag meer over.

WordPress 4.7.2 Security Release

Dat WordPress inmiddels één van de meest gebruikte CMS systemen in de wereld is inmiddels al bekent. Dit betekent dat dit platform ook zeer aantrekkelijk wordt voor mensen met minder goede bedoelingen. Op 26 januari heeft WordPress een security update klaar gezet die wij uiteraard direct voor al onze klanten geïnstalleerd hebben.

De problemen die in deze versie opgelost zijn:

Het gedeelte om taxonomy terms in Press This te gebruiken werd ook getoond aan mensen die niet de juiste rechten zouden hebben.
De functie WP_Query was kwetsbaar voor SQL injectie wanneer er geen veilige data ingevoerd werd. De core van WordPress was niet direct kwetsbaar maar dit zou wel bij eventuele plug-ins en themes een issue kunnen zijn.
Een cross-site scripting (XSS) kwetsbaarheid was ontdekt in de posts overzichts tabel.
In de REST API is kwetsbaarbaarheid ontdekt waarmee kwaadwillenden eigen code kunnen injecteren en hiermee rechten kunnen verkrijgen op de WordPress omgeving.

Meer informatie over deze kwetsbaarheid kun je lezen op de website van WordPress: https://make.wordpress.org/core/2017/02/01

Wat moet ik nu doen?

Host je de WordPress website bij ons? Dan hoef je niets te doen en hebben wij deze update al enige tijd doorgevoerd. Host je elders je website dan adviseren we je deze zo snel mogelijk nog te updaten. Dit kun je doen door in te loggen in je WordPress omgeving en vervolgens daar de update sectie te openen (bovenin 2 pijltjes).

PHP7.1 en Apache update

Vandaag hebben onze servers een update gehad die de snelheid en veiligheid ten goede moet komen.

Nieuwste versie van Apache

Allereerst zijn er in de update van Apache enkele HTTP/2 bug fixes doorgevoerd en optimalisaties van dit relatief nieuwe protocol. Hierdoor zullen websites die op https draaien stabieler en sneller moeten draaien.

PHP 7.0 naar PHP 7.1

In deze versie zijn ook enkele performance verbeteringen doorgevoerd. Hierdoor zullen applicaties en websites die draaien op PHP7 nog sneller gaan werken. Deze verbetering is niet zo waarneembaar als de eerdere update van PHP 5.6 naar PHP 7.0.