Veiligheid & responsible disclosure

Deze pagina levert informatie over de verschillende beveiligingsoplossingen die ik heb geïmplementeerd. Ook bevat deze pagina mijn responsible disclosure.

Beveiliging op drie manieren

Hoe houd ik een WordPress-site gezond?

1) De basis: een gezonde WP-installatie

Als ik een site bouw, zorg ik dat deze qua beveiliging wordt dichtgetimmerd. Een goede basis is het halve werk. In de WordPress-installatie maak ik uitsluitend gebruik van plugins die hun sporen hebben verdiend. Geen sketchy tooltjes dus, maar plugins die door mij intensief zijn geëvalueerd op onder andere de supportmogelijkheden en het gebruik van serverresources. Voorbeelden van gebruikte plugins zijn: Elementor (Pro), Custom Post Types, Crocoblock, WPforms, en Site Kit.

2) Hosting

Mijn primaire hostingpartner is Antagonist, die op hun beurt de site zullen plaatsen op servers van Previder. Zowel Antagonist (https://www.antagonist.nl/online-veiligheid/) als Previder (https://previder.nl/thema/veilig-werken) hebben excelente beveiligingsprotocollen. Daarnaast staan de gebruikte datacenters in Nederland, waardoor het ook qua AVG in orde is.

Ik maak gebruik van Patchman antimalware om beveiligingsproblemen met WordPress op te sporen en direct aan te pakken. Ik gebruik SpamAssassin om e-mailspam tegen te gaan. En ik maak dagelijks meerdere backups om in geval van nood terug te kunnen springen naar een oudere versie van een site. Tot slot wordt de (gecontaineriseerde) server door mij 24/7 gemonitord.

3) WP-netwerk

Sites die zijn aangesloten bij mijn WP-netwerk, ontvangen extra aandacht. De WP-installatie wordt dagelijks geüpdatet, de database wordt opgeschoond, en ik scan de site regelmatig op beveiligingsproblemen.

Responsible disclosure

Ondanks onze zorg voor de beveiliging van mijn systemen kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek hebt gevonden, hoor ik dit graag.

Systemen die binnen het bereik van deze responsible discosure vallen

• *.stachredeker.nl/.com./.eu/.eu.org/.nl.eu.org
• webmastertje.nl
• stach.fun
• twogeneralsproblem.com
• kasteelopslot.nl
• sagittarius.utwente.nl
• prodeo.utwente.nl
• tickets.prodeo.utwente.nl
• Mijn WordPress-plugins: Automatic Cache Flusher for W3 Total Cache en Minimal Maintenance Mode

Systemen die buiten het bereik van deze responsible discosure vallen

• *.studiostach.nl
• vault.stachredeker.nl
• Alle klantenwebsites. Hiervan ben ik weliswaar de maker, maar niet de eigenaar.
• Alle overige niet-genoemde websites en systemen

Aanvals- en onderzoeksmethodes die buiten het bereik van deze responsible disclosure vallen

• Aanvallen op fysieke beveiliging.
• Social engineering.
• Distributed Denial of Service (DDoS).
• Spam.
• SSL-gerelateerde problemen.
• CAPTCHA-bypass-methodes.
• Brute-force-aanvallen.
• HTTP security headers en problemen met betrekking tot cookies.
• Meldingen over zwakke wachtwoorden.
• Alles met betrekking tot mailservers, DMARC, DKIM, etc.
• Clickjacking.
• Gemiste ‘best practises’ die niet direct een veiligheidsrisico opleveren, waaronder bijvoorbeeld het uitschakelen van xmlrpc.php.

In geval van een beveiligingsprobleem

• Mail je bevindingen naar info@stachredeker.nl.
• Misbruik het probleem niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen.
• Deel het probleem niet met anderen totdat het is opgelost.
• Verstrek voldoende informatie om het probleem te reproduceren zodat ik het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Mijn beloftes

• Ik reageer uiterlijk binnen 3 (drie) werkdagen op je melding met een verwachte datum voor een oplossing.
• Als je je aan bovenstaande voorwaarden hebt gehouden, zal ik geen juridische stappen tegen je ondernemen betreffende de melding.
• Ik behandel je melding vertrouwelijk en ik zal je persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
• Ik houd je op de hoogte van de voortgang van het oplossen van het probleem.
• In berichtgeving over het gemelde probleem zal ik, indien je dit wenst, jouw naam vermelden als de ontdekker.
• Als dank voor je hulp bied ik een beloning aan voor elke melding van een nog onbekend beveiligingsprobleem. De grootte van de beloning bepaal ik aan de hand van de ernst van het lek en de kwaliteit van de melding,

Deze responsible disclosure is gebaseerd op het voorbeeld van responsibledisclosure.nl.