D9ping

In europa gaat per 25 mei 2018 de nieuwe GDPR wetgeving van kracht. De algemene verordening gegevensbescherming(afgekort: AVG) is de nederlandse implementatie hiervan. In de nieuwe wetgeving wordt het het nu o.a. duidelijk wat persoonsgegevens en bijzondere persoonsgegevens zijn. Bij bedrijven die bijzondere persoonsgegevens verwerkt is het nodig een functionaris voor de gegevensbescherming aan te stellen. Verwerkers van persoonsgegevens zijn verplicht hiervoor toestemming te vragen. Ook ip adresen, ongeacht of het dynamisch ip adres is, is nu duidelijk dat het echt een persoonsgegeven is. Dit heeft onder andere effect op de heel veel gebruikte WordPress blog software dat bij het geven van een commentaar standaard ook een ip adres opslaat van de reageerder. Dit mag per 25 mei niet zonder toestemming. Anderzijds kan wel gezegd worden dat dit een mogelijke middel is tegen commentaar spam en dat het ip adres dus verwerkt wordt voor het doel van beveiliging tegen ongewenste commentaar spam. Het vragen om akkoord te gegeven aan een privacy voorwaarde voordat een commentaar op een wordpress site geplaatst kan worden en/of een ip adressen niet meer opslaan door aanpassingen aan de wordpress software is met de nieuwe GDPR wel aanbevolen om geen risico op een boete te lopen. Een manier om het opslaan van het ip adres in te perken(verwijder laatste cijfer bij IPv4) of het ip adres van de reageerd helemaal niet meer op te slaan kan door gebruik je te maken van deze code snippet. Gelukkig zal er voor wordpress gebruikers mogelijk in een aankomende nieuwe versie mogelijk automatisch een privacy pagina toegevoegd worden bij installatie (zie dit ticket). Met de privacy pagina kun je dan mogelijk in aan de AVG wetgeving, aan het criteria voor het vragen van toestemming, voor het verwerken van ip adres als persoons gegevensverwerking gaan voldoen door dat o.a. te vermelden naast het gebruik van sessie cookies.

Als je gebruikers van je wordpress website in de gaten wilt houden is het verstandig alle wijzigingen op de gebruikers van de website die zij maken bij te houden. Dit kan al ook met behulp van SQL triggers om alle wijzigingen in het wordpress users tabel bij te houden in een special aangemaakt users_audit tabel.
Maar SQL Triggers voor beveiliging monitoring gebruiken zijn niet goed genoeg. Je wilt namelijk ook bijhouden wanneer het gebruikers tabel überhaupt alleen ingezien is. Want als je dit weet kun je namelijk ongeautoriseerd toegang ontdekken. Helaas is het met SQL Triggers niet mogelijk acties uit te voeren bij alleen een SELECT SQL operaties onder MySQL/MariaDB, het is dus daarom beter de hiervoor speciaal ontworpen audit plugin te gebruiken. Zoals deze of deze. Maar als je een basische oplossing wilt of alleen in staat wilt zijn foute gebruiker wijzigingen te herstellen dan is deze SQL snippet voor wordpress audit logging voldoen.