Recentelijk kreeg ik van een klant een mooie vraag. Of ik zijn oude website wilde updaten naar de nieuwe versie. Dit klinkt als een simpele vraag en vaak is dit ook op een ‘makkelijke’ manier te doen. Platformen zoals een Drupal, Joomla of het bekende Wordpress zorgen er tegenwoordig voor dat je makkelijk(er) kan updaten naar de laatste versie. Daarmee zorgen ze voor een lage drempel en betere veiligheid voor het platform. Dus waarom was dit dan zo’n mooie vraag. Nou, het was niet zomaar een update, maar het Joomla systeem wat er nu draaide was geïnstalleerd in januari 2012. En de support voor die versie was gestopt in december 2014. Op zich hoeft dat geen probleem te zijn qua veiligheid, maar omdat het een zogenaamde “major update” betrof betekent het dat de structuur van het platform veranderd was. Dus niet alle plugins konden zomaar overgezet worden. Sterker nog, een aantal plugins waren in 2015 of 2016 beëindigd. Dus dat was een mooie uitdaging wat ik in de volgende stappen heb uitgevoerd.

  1. In overleg met de klant bepalen wat er overgezet kan en moet worden
  2. De overbodige of gestopte componenten deïnstalleren
  3. Testen draaien om in 3 tussenstappen de update te draaien naar de laatste versie
  4. Nieuwe componenten installeren
  5. Testen van de testomgeving
  6. Installeren in een test omgeving op de server
  7. Samen met de klant de omgeving inrichten
  8. Live zetten

En uiteindelijk is de upgrade gelukt en is de klant bij de nieuwe versie. Het was een bijzonder avontuur en ik heb er veel van mogen leren. Zeker het belang van werken met goede backups in een afgesloten test omgeving. Want hoewel de upgrades van naar meestal heel soepel gaan (en uitgebreid getest zijn door de ontwikkelaars) is een upgrade van 2.5.28 naar 3.9.12 best een stevig onderneming die op de testserver een mooie lijst aan fouten opleverde. Maar ook die hebben we allemaal af kunnen vinken! Want ja, krakende wielen lopen het langst, maar als je er dan nieuwe bandjes onderzet moet je ook de ophanging vervangen :D

Image by Tumisu - pixabay license

Je bedrijf bestaat al wat langer en je komt erachter dat je eerste bedrijfsnaam de lading al niet meer dekt. Of je bent klaar met je bedrijf en besluit het bedrijf af te ronden. In het eerste geval komt er een nieuwe bedrijfsnaam en waarschijnlijk ook een nieuwe domeinnaam. In het tweede geval stopt je met je bedrijfsnaam en zeg je dus ook je domeinnaam op. Maar wat gebeurt er met de vrijgekomen domeinnaam nadat je hebt opgezegd? En hoe fraudeurs daar nu gebruik van maken!

Dus de domeinnaam is opgezegd. Wat er nu technisch gebeurd is dat je hostingpartij aangeeft bij de SIDN (Stichting Internet Domeinregistratie Nederland / www.sidn.nl) dat de domeinnaam vrijgegeven mag worden. Vervolgens blijft de domeinnaam nog een korte tijd beschermd staan (40 dagen waarin de domeinnaam in quarantaine staat en jij hem al enige nog weer kan claimen) en daarna kan iedereen de domeinnaam claimen en zijn eigen website daar gaan bouwen.

In veel gevallen zal dat geen problemen opleveren, maar er is een nieuwe manier van fraude aan het starten. Jeugdzorg Utrecht kwam daar op een vervelende manier achter. De organisatie was van naam gewisseld en hun oude domeinnaam ‘weggegooid’. Een fraudeur heeft die domeinnaam na 40 dagen weer geclaimd en een kopie van hun oude website erop gezet en de e-mailadressen die hij kon vinden weer ‘geactiveerd’. En bij gevolg kreeg hij toegang tot patiëntendossiers die doorgestuurd werden naar het ‘oude’ adres. En bij gevolg een enorme inbraak op de privacygegevens.

Een andere vorm zien we vaker bij webwinkels. De domeinnaam van een webwinkel wordt weer opgepakt en er wordt weer een winkel op geplaatst. Alleen de nieuwe eigenaar is niet van plan ooit te gaan leveren! Dus mensen maken geld over, maar krijgen nooit een pakje en het contactformulier werkt niet. De slimme internetgebruiker gaat googelen en komt bij jouw oude gegevens terecht en vervolgens krijg jij belletjes over je webwinkel. En ja, je kan heel goed uitleggen dat jij de domeinnaam niet meer hebt, maar voor reputatie en kopersvertrouwen is de schade al gedaan.

Moet ik dan altijd een oude domeinnaam vasthouden? Geen idee, maar denk er goed over na wat je ermee wil doen. En mogelijk wil je hem korte tijd nog achter de hand houden zodat hij doorverwijst naar de nieuwe site en anderen er geen misbruik van kunnen maken. Afhankelijk van de diensten kost een domeinnaam ergens tussen de 5 - 30 euro per jaar om geregistreerd te blijven.

Mijn baan verandert. Tenminste, dat hoop je altijd in je werk en gelukkig gebeurt het ook als ondernemer. Toen ik in 1994 begon met websites maakte ik een website in een tekstverwerker met HTML en had een website 1 plaatje, anders duurde het uren om hem binnen te halen. Het was voor de lokale omroep waar ik vrijwilliger was.

De techniek en de klanten veranderen. De websites werden complexer, maar er was ook software die hielp om die site te bouwen. Macromedia kwam met een pakket wat de mooie naam Dreamweaver had. Daarmee kon je in de eerste versies goede reproduceerbare sites maken waarbij toen het grafische pakket Fireworks erbij kwam je best heel veel vrijheid had in je ontwerp.

En toen kwam de vraag naar zelf content toevoegen en aanpassen. Het HTML/CSS gedeelte werd los getrokken van de content in de website zelf. En de eerste CMS’en (Content Management System) waren heel basic, veelal zelfgeschreven (ik heb ook het mijne zelf geschreven in PHP) en niet echt onderhoudsvriendelijk of gebruikersvriendelijk zoals we dat nu gewenst zijn. En op een gegeven moment zijn er een paar grote CMS’en overgebleven (Joomla, Wordpress en Drupal).

De volgende stap was om de uitdaging om een ‘template’ te maken voor het standaard CMS, waarbij het ouderwetse coderen weer van pas kwam in een tekstverwerker of met meer gespecialiseerde software. Iets meer passen en meten, maar het werkte wel heel goed samen.

Maar ook dat verandert weer, want er is tegenwoordig een veelvoud aan templates beschikbaar. Veel templates hebben een gratis versie zodat je het kan proberen hoe de website eruit kan zien en vaak zorgt de betaalde versie dat je net iets meer kan. Zeker bij een nieuwe site voor een laag budget is dat een goede manier om snel te ontwikkelen en aan te passen binnen de grenzen van de template. Iets minder ruimte voor creatieve vrijheid, maar snelle ontwikkeling.

Uiteindelijk kijk ik na 25 jaar terug en probeer ik te denken welke titel ik op het visitekaartje moet zetten. Ben ik een webdesigner, webdeveloper of iets anders? Ik hou het nog maar even op “meewerkend voorman” bij PJGDesign. En dan komen we er in het gesprek wel uit!

Het is donderdagavond en omdat ik morgen een drukke dag heb check ik nog even mijn mail voordat ik in slaap val even rond middernacht. Twee nieuwe berichten over een ingelogde beheerder op een website die ik beheer. Maar ik ken de beheerder niet en ze loggen in vanuit Rusland. Direct gaan bij mij alle alarmbellen rinkelen, want dit hoort niet te kunnen. In ieder systeem dat ik gebruik (meestal Wordpress of Joomla) ken ik de beheerders en die komen allemaal vanuit Nederland. En voor deze site weet ik het zeker. Wat nu?

Ik log in op de website en zie inderdaad dat er twee nieuwe beheerders zijn aangemaakt met hele rare namen. En dat ze ingelogd zijn (geweest). Actie 1: de beheerders verwijderen, actie 2, alle plugins op de site nalopen en actie 3, kijken of er misbruik is gemaakt van de toegang. De eerste 2 acties waren in een vloek en zucht gebeurd, maar de derde actie kostte al snel anderhalf tot 2 uur om alles na te lopen. Gelukkig was ik er snel bij en heb ik erger kunnen voorkomen. Maar wat is er nu gebeurd?

We, want ik beheer deze site niet alleen, gebruikte op deze site een algemene plugin om de AVG-boodschap te tonen onderaan de site. Die plugin is veel gebruikt (bijna 100.000 actieve sites maakte gebruik van die plugin) en blijkbaar was hij een dag eerder van de Wordpress site gehaald ivm een groot veiligheidslek. Een dag later was dat lek gedicht en konden gebruikers die plugin updaten. Nu is het zo dat een Wordpress site meestal zo’n 5-10 plugins heeft draaien die worden een paar keer per maand geüpdatet dus eigenlijk zou je dagelijks moeten inloggen om de plugins te updaten. En dat doet niet iedereen, maar ik probeer iedere week alles sites te updaten. In dit geval was ik er snel mee en heb ik om 18 uur de site geüpdatet. Maar het kwaad was al geschiet, want door het lek werden er in de middag rond half 3 twee nieuwe accounts geautomatiseerd aangemaakt. En daardoor konden de indringers in de weer-up-to-date-site inloggen rond middernacht.

Het heeft me aardig wat nachtrust gekost, maar was heel blij dat ik er zo snel bij kon zijn, want uiteindelijk hebben duizenden sites er wel problemen mee gehad omdat ze er te laat bij waren. En die sites zijn op allerlei verschillende manieren misbruikt, zoals ik in een eerder blog al eens vertelde. Gelukkig bleef de schade beperkt, maar het belang van regelmatig updaten is weer eens bewezen. Al moet ik eerlijk zeggen: zo’n groot veiligheidslek zie je niet vaak, zeker niet zonder grote aankondiging vooraf. Gelukkig!

Meer info over deze hack kun je hier vinden.

 

 

Meer artikelen...

  1. Is mijn domeinnaam wel veilig?
  2. Mijn domeinnaam is van mij!
  3. Wat kost een website?
  4. Privacy en de AVG
Pagina 1 van 4