encrypted_search_terms

Wie de gelukkige eigenaar is van een WordPress-blog, zal de afgelopen maand iets vreemds hebben ontdekt: je blog wordt momenteel vaak ontdekt naar aanleiding van een bizarre set keywords: ‘encrypted_search_terms’. Je weet zeker dat je dit woord nooit in de mond hebt genomen en toch staat het daar. Waarom?
Ik vroeg mij dit vorige week af en besloot het uit te zoeken. Hier volgt een korte uitleg:

Google heeft een wijziging doorgevoerd die, om het eenvoudig te zeggen, de zoektermen verbergt van gebruikers die ingelogd zijn in hun Google account. Dit geldt voor zoekopdrachten vanaf tablets en mobiele telefoons. Deze encrypted search van Google zorgt ervoor dat eigenaren van sites weliswaar weten dat er iemand vanaf een search engine op bezoek kwam, maar het gebruikte keyword blijft voor hen verborgen.

Welke zoekopdrachten zie ik nog wel in mijn statistieken?

Deze wijziging van Google geldt alleen voor ‘natuurlijke’ zoekresultaten. Gebruikers van diensten als AdWords zullen nog wel inzicht hebben in de herkomst van zoekopdrachten. Google zal immers in zijn dienstverlening naar de privacybewusten onder ons niet zo ver gaan om zijn eigen business model te ondergraven. Sterker, boze tongen beweren dat dit een methode is van Google om betalende AdWords-gebruikers voor te trekken.
Ook zoekopdrachten van niet bij Google ingelogde lezers zullen zichtbaar blijven in de statistieken.

Wat kan ik doen?

Niet zo heel veel. Als je Google’s Analytics gebruikt, dan zal je nog altijd een overicht krijgen van de meestgebruikte zoekopdrachten die naar je site leidden, maar het complete overzicht is met het versleutelen van zoekopdrachten verloren gegaan.
Google Webmaster Tools biedt ‘SEO rapportages’, die gekoppeld kunnen worden aan Google Analytics. Deze bieden meer inzicht in de zoekopdrachten waarmee je pagina is gevonden. Hierbij is echter het preciese gedrag van bezoekers die op een bepaalde zoekterm binnenkomen niet meer te achterhalen.

Meer leesvoer over dit onderwerp:
http://blog.e-difference.nl/website-statistieken/google-versleutelt-zoekopdrachten-en-maakt-analytics-minder-bruikbaar.html
http://www.seosymbol.com/encrypted-search-terms-keyword-on-wordpress/
http://kissingcrust.com/why-encrypted_search_terms-appears-in-your-top-searches-result/

 

Edwin IJsman

Brute force aanval op WordPress door botnet

Enkele dagen geleden werd er al melding gemaakt van een aanval van een botnet, een netwerk van tienduizenden geÏnfecteerde ‘zombiecomputers’, op WordPress.com. Eén cloudprovider meldde 90 miljoen inlogpogingen in een uur tijd geblokkeerd te hebben. Als we vandaag diverse websites mogen geloven, dan is deze aanval nog steeds gaande.

Ook de baas van Kaspersky Labs heeft zich inmiddels in de discussie gemengd, dus het ziet er serieus uit. Voor een goed veilig wachtwoord kan ik in ieder geval de volgende tips geven:

  • – Gebruik geen woord uit het woordenboek: hackers hebben zonder problemen toegang tot een slordige 100 miljoen verschillende woorden. Daar kan jij niet tegenop.
  • – Combinaties van hoofd- en kleine letters (e,E), cijfers (7,8,9) en alfanumerieke tekens (&#*@) werken goed
  • – Ga niet een woord verbasteren met deze tekens (‘G3he1M’ is een leuk voorbeeld): ook zo’n password is simpel te kraken voor iemand met speciale software. Kies in plaats hiervan voor een willekeurige reeks. ‘G8–>ll.@jq!!’ is al heel wat beter. 😉
  • – Gebruik een wachtwoord maar op één plek. Zo voorkom je dat als je wachtwoord gekraakt is, al je accounts ineens bedreigd zijn.

Ik hoor je al denken: hoe onthoud ik zoiets in vredesnaam?

Nou dat is simpel: stel je wachtwoord in op je PC en zet je screensaver op ‘lock screen’, met een hele korte tijd voordat ‘ie aanslaat. Nu ben je gedwongen om je password om de haverklap in te toetsen. Binnen een paar dagen ken je het uit je hoofd.
Gebruik nu dit password als basis voor andere wachtwoorden. Hiervoor kan je een systeempje verzinnen. Bijvoorbeeld door letters toe te voegen die afkomstig zijn uit de domeinnaam van de dienst die je gebruikt. Deze voeg je op vaste posities in in je eigen wachtwoord. Ook kan je bijvoorbeeld de naam van de webdienst gebruiken als een soort formule om juist letters weg te halen uit je basispassword of te vervangen. Een dergelijk systeem is vrij eenvoudig qua opzet, maar moeilijk te achterhalen voor een hacker: ook als hij 1 van jouw wachtwoorden bezit, zal het zo nauwelijks te doen zijn om je andere passwords te bemachtigen.

Zo’n systeem werkt bijvoorbeeld als volgt:

We nemen als basispassword G8–>ll.@jq!! en maken een wachtwoord voor WordPress. Het woord ‘WordPress’ heeft 10 tekens. Trek hier nu 3 van af en voeg het resulterende getal (10-3=7) in op de derde positie van je password. Neem nu de 5e letter van ‘WordPress’ en voeg deze toe aan het einde van je password. Nu ziet je password er zo uit: G87–>ll.@jq!!P Bedenk zelf even hoeveel van zulke stappen voor jou wenselijk zijn. Met een stuk of 3 bewerkingen heb je al een moeilijk te doorgronden systeem.

Met behulp van 1 basiswachtwoord en een formule die alleen jij kent, ben je dan voor de komende tijd wel redelijk veilig. In ieder geval zal je niet zo snel bij het kleine percentage horen dat wél gekraakt wordt bij een aanval als vandaag.