Vanaf heden zijn er twee nieuwe security features geïmplementeerd op ons hosting platform: WordPress rate limiting en eigen error pagina’s. Deze updates zijn doorgevoerd om specifieke veiligheidsaspecten op ons technische platform te upgraden en om onze gebruikers meer controle te geven over hun eigen omgeving. In dit blog bericht lichten wij toe wat er precies veranderd is en wat de implicaties hiervan zijn.
WordPress Rate Limiting
Vanaf vandaag gelden er ratelimits op drie specifieke pagina’s van je WordPress installatie. Deze ratelimits zijn ingesteld om meer controle te krijgen over de load op servers en om de veiligheid te verbeteren van deze componenten. De volgende pagina’s worden door de nieuwe rate limits beïnvloed:
- xmlrpc.php
- wp-login.php
- admin-ajax.php
Deze pagina’s worden nu bij een specifiek limiet afgesneden voor het IP dat teveel aanvragen doet door middel van een foutmelding met code 429. Hiervoor is een apart error document opgesteld om eventuele legitieme (lees: menselijke) gebruikers te informeren over wat er is gebeurd.
Mogelijke problemen kunnen ontstaan voor klanten die werken met niet goed afgestelde thema’s of plugins. Deze kunnen bij hoge uitzondering namelijk zelf deze betreffende rate limits overschrijden en zo een blokkade triggeren. Het gevolg hiervan is dat de betreffende website niet, of niet meer goed functioneert. In overleg met onze security experts kan worden bekeken of er in deze uitzonderingen een limiet kan worden uitgeschakeld.
Eigen error pagina’s
Het is vanaf nu mogelijk om eigen, custom error documenten aan te maken op de server. Hiermee kan men voortaan zelf foutmeldingen verwoorden naar bezoekers, mochten zij deze tegen komen. De servers kijken nu naar een tweetal criteria, waarop specifieke error documenten worden uitgeserveerd:
1. Bestaat er een custom document voor error xyz?
Het is mogelijk om per error een eigen document te gebruiken. Als een error wordt getriggerd gaat de server eerst op zoek naar een custom document. Als dit document niet wordt gevonden zal een standaard document, dat al aanwezig is, getoond worden aan de bezoeker.
2. Bestaat er een custom document voor xyz voor site abc?
Voor klanten met meerdere aliassen (hoofd domeinen) is er een geavanceerde oplossing geïmplementeerd. Het is hierbij mogelijk om per domein aan te geven of er een custom document moet worden getoond.
3. Er zijn geen custom documenten
Als je geen custom documenten wilt gebruiken hoef je niets te doen. De server zal standaard de documenten pakken die wij hebben gemaakt.
Je kunt in dit support artikel lezen hoe je om gaat met de custom documenten, en waar je deze dient te plaatsen.
Heb je nog vragen over de informatie uit dit blog artikel? Neem dan contact met ons op!
Reactie achterlaten