Een veiliger Vakblog met HTTPS (en waar je op moet letten als jij jouw blog wilt omzetten)

Google kondigde vorig jaar aan het gebruik van de HTTPS standaard op websites – waarbij gegevens beveiligd tussen de site en de bezoeker gaan – extra te gaan promoten vanaf 2017. Enerzijds door (op termijn) reguliere HTTP sites als niet-veilig te markeren in Chrome en anderzijds door voorrang in de Google ranking te geven aan websites die wel gebruik maken van HTTPS.

Helaas is het omzetten van een bestaande WordPress site van HTTP naar HTTPS geen kwestie van een paar klikken en klaar. Om er achter te komen wat de consequenties zijn nam ik de proef op de som. Ik zette Vakblog om naar HTTPS en keek wat er gebeurde.

Waarom HTTPS?

Iedereen weet wel dat als je een internetadres invoert in je browser dat het officieel met http:// begint. Dit is de naam van het internetprotocol waardoor, voor in dit geval een browser, duidelijk is dat het om een website gaat. Het is zo standaard geworden de laatste twintig jaar dat je internetadressen helemaal niet meer hoeft te voorzien van http:// in moderne browsers. Typ gewoon de URL zonder dat voorvoegsel en alle browsers weten wat je bedoelt. In Chrome en Firefox wordt het http:// deel ook niet eens meer getoond in de adresbalk.

Dit werkt(e) allemaal prima maar toen dit protocol ooit bedacht werd had niemand rekening gehouden met de mogelijkheden om de gegevens te onderscheppen tussen een website en een bezoeker ervan. Het is helaas eenvoudig gebleken voor hackers om informatie te onderscheppen en zelfs te vervalsen. Er ontstond dus de noodzaak om een veiligere variant van het HTTP-protocol te bedenken en dat werd het HTTPS-protocol. Het doet precies hetzelfde – serveren van webpagina’s – maar doet dat middels een veilige verbinding tussen degene die een site bezoekt en de site zelf. Ook als de internetverbinding zelf niet veilig is omdat je bijv. gehacked bent of iemand op hetzelfde wifi-netwerk probeert mee te kijken.

Sites waarbij gebruik gemaakt wordt van gevoelige informatie (zoals betalingsgegevens) maken al bijna twintig jaar gebruik van HTTPS maar voor ‘gewone’ sites zoals die van jou en mij bestond die noodzaak simpelweg niet. Zo gevoelig en vertrouwelijk is de informatie niet die je als bezoeker op een blog kunt achterlaten.

Maar het gaat bij websites tegenwoordig niet meer alleen om vertrouwelijke en gevoelige informatie. Aanbieders van gratis wifi kunnen reclames toevoegen aan sites die door gebruikers van die wifinetwerken via het HTTP protocol bezocht worden. Anderen kunnen zich met een nepsite voordoen alsof ze jouw site zijn en het is hoe dan ook kinderspel om allerlei gegevens over een site en de bezoekers te verzamelen omdat die gegevens onbeveiligd over de lijn gaan.

En dus kondigden zowel Mozilla (al in 2015) als Google (vorig jaar) aan dat ze op termijn het gebruik van HTTP op webpagina’s willen terugdringen en ontmoedigen. Google gebruikt daarbij het wortel en stok principe door enerzijds het gebruik van HTTPS te belonen in de ranking van de zoekmachine en anderzijds geleidelijk het gebruik van HTTP ‘af te straffen’.

En als Google het wil ….

Nu moet je natuurlijk niet iets gaan doen omdat Google het wil. Iedereen vindt het een goed idee dat het internet veiliger wordt maar er komt voor een eigenaar van een site wel wat bij kijken om de overstap te maken naar HTTPS.

Voor HTTPS heb je namelijk een HTTPS-certificaat (ook nog wel SSL-certificaat genoemd) nodig op de webserver. Met zo’n certificaat toon je aan dat je ook daadwerkelijk de eigenaar bent van het domein waar de site aan gekoppeld is (domeinvalidatie). Dit moet je aanvragen bij een partij die certificaten mag uitgeven en die verifiëren ook daadwerkelijk of het klopt. En dat kost geld.

Er zijn ook nog twee andere soorten certificaten waarbij behalve het domein ook de organisatie die de eigenaar is wordt geverifieerd. Die herken je omdat de naam van de organisatie dan – in wit of in groen – in de adresbalk erbij komt te staan. Deze zijn daarmee duurder omdat dan ook de Kamer van Koophandel en andere bronnen worden geraadpleegd om vast te stellen dat het betrouwbaar en authentiek is. Voor een blog heb je echter voldoende aan een domeinvalidatie.

Het probleem hierbij is dat de meeste webhosts nog niet heel erg behulpzaam zijn om er voor te zorgen dat hun klanten makkelijk en goedkoop gebruik kunnen maken van HTTPS. Dankzij het Let’s Encrypt project is het weliswaar mogelijk om gratis domeinvalidatie-certificaten te krijgen (als site-eigenaar) en aan te bieden (als je webhost bent) maar zijn er maar een handjevol webhosts die dit ook actief aanbieden en ondersteunen.

Je zult dus bij je eigen webhost moeten informeren of ze je kunnen helpen bij het installeren en activeren van een HTTPS-certificaat. Mijn webhost (Siteground) is toevallig één van de webhosts die Let’s Encrypt aanbiedt maar dat kan en zal anders zijn bij jouw webhost. Vaak is er wel de mogelijkheid om een certificaat te laten installeren maar zul je daar enkele tientjes per jaar voor moeten betalen. Wil je een gratis Let’s Encrypt certificaat gebruiken dan zul je samen met je webhost nog diverse technische handelingen moeten verrichten vrees ik.

Of je dit allemaal moet gaan doen hangt daarom ook vooral af van hoeveel je webhost voor je kan doen, hoeveel je zelf kunt en wilt doen en of je bereid bent er tijd (en eventueel geld) in te steken.

En of de wortel en de stok van Google belangrijk genoeg voor jou zijn. Zelf denk ik dat een betere ranking met HTTPS niet opweegt tegen de moeite die je er voor moet doen (helemaal omdat Google niet aangeeft in welke mate het daadwerkelijk een rol speelt) maar ik ben wel gevoelig voor het stok-argument. Versie 56 van Chrome introduceert eerst een waarschuwing in de adresbalk voor niet-veilige sites als je over een invoerformulier beschikt waar om een wachtwoord of betalingsgegevens wordt gevraagd. Het idee is echter dat op termijn alle HTTP-sites een dergelijke waarschuwing gaan krijgen met een rood icoontje erbij dat op gevaar duidt.

Ik wil toch echt voorkomen dat bezoekers van dit blog dat icoontje ooit te zien krijgen.

Wat als je het HTTPS-certificaat hebt?

Helaas ben je er ook nog niet als je besloten hebt om de overstap te maken naar HTTPS en het certificaat netjes geïnstalleerd is op je webserver. Je site maakt immers standaard gebruik van HTTP en je moet dat wijzigen naar HTTPS om er voor te zorgen dat je bezoekers ook die pagina’s via dat protocol te zien krijgen.

In het geval van WordPress is dat niet heel lastig. Bij Instellingen -> Algemeen kun je de basis URL van je blog aanpassen en simpelweg https:// voor de URL zetten. Vanaf dat moment is dat de URL van je blog en krijgen nieuwe blogposts ook het https:// voorvoegsel mee bij de individuele URL’s. Het is vervolgens een kwestie van even opletten dat je de URL van embedded plaatjes in je theme, zoals je logo of bij mij het Creative Commons logootje in de widgets, ook aanpast naar https://. Alle content die van je blog wordt verstuurd moet via het HTTPS protocol gaan, ook de content die embedded is!

En dat zou voldoende zijn als dit je nieuwe blanco WordPress blog was waar je nog niet eerder een blogpost op gepubliceerd hebt.

Helaas heb je waarschijnlijk al tientallen of honderden bestaande blogposts gepubliceerd die toen allemaal een http:// link hebben gekregen. Zo heb jij ze ook verspreid via social media en, nog belangrijker, dat zijn de links die je in Google hebt staan. Je zult er voor moeten zorgen dat als iemand op een bestaande http link van een blogpost tikt, die automatisch uitkomt bij de https versie.

Daarvoor zul je het .htaccess bestand moeten aanpassen op je webserver en een stukje code moeten toevoegen die er ongeveer zo uit ziet maar kan verschillen per webhost. Controleer ook hiervoor eerst wat je webhost geregeld heeft.

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://sitenaam.nl/$1 [R=301,L]

Zelfs dan ben je er nog niet want om dat begeerde ‘Secure’ slotje te behalen moet je er voor zorgen dat ALLES wat van je blog afkomstig is via HTTPS verstuurd wordt.

Doe je dat niet dan geeft de browser aan dat je site niet helemaal veilig is omdat de content ‘gemixed’ is: er wordt ook nog steeds data verstuurd via het http-protocol. Je zult dus in beginsel alle blogposts moeten nalopen en in de links van bijv. afbeeldingen in je blogposts HTTP moeten vervangen door HTTPS.

Gelukkig zijn er WordPress plugins die je daarbij kunnen helpen. Really Simple SSL is een plugin die zelfs je .htaccess voor je probeert aan te passen en er voor zorgt dat alle content via HTTPS naar je bezoekers gaat zonder dat je de links handmatig hoeft aan te passen. Bij mij kon die echter het .htaccess bestand niet aanpassen en moest ik het alsnog handmatig doen maar Really Simple SSL werkte wel heel goed om om die meldingen over ‘mixed’ content weg te krijgen in één keer. Je kunt bij de instellingen van de plugin aangeven dat je wel de ‘mixed content’ wilt fixen maar dat die niet het .htaccess bestand hoeft te wijzigen (als het bij jou ook niet werkt).

En als dat allemaal gelukt is heb je hopelijk het felbegeerde slotje te pakken.

secure https vakblog

Vergeet je bezoekers (en Google) niet!

Heb je het uiteindelijk voor elkaar? Dan heb je feitelijk een nieuwe URL voor je blog gecreëerd en moet je niet vergeten om alle verwijzingen naar je blog aan te passen, bijvoorbeeld in de handtekening van je mail of in je socialmediaprofielen. Ook al worden bezoekers automatisch doorgestuurd naar de HTTPS versie, je site werkt het snelste als bezoekers meteen al de goede URL gebruiken.

Een nieuwe URL betekent ook dat je een nieuwe ‘property’ moet aanmaken in de Google Search Console als je die gebruikt (en dat zou je wel moeten). Hiermee heb je invloed op hoe Google je site ziet en je wilt vanaf nu ook de HTTPS linkjes terugzien in de zoekmachine. Voeg daarom onder Crawlen->Sitemaps in de nieuwe ‘property’ ook de aangepaste sitemap URL toe zodat Google die kan gaan indexeren.

Ook in Google Analytics zul je een tweetal wijzigingen moeten doorvoeren maar hoef je geen nieuwe ‘property’ aan te maken gelukkig. Klik op je bestaande site, ga naar het tabblad Admin en klik vervolgens op Property Settings.

https google analytics

Bij de Default URL moet je aangeven dat je nu gebruik maakt van https:// en ook zul je deze ‘property’ nu moeten koppelen aan de nieuwe die je net in de Search Console hebt aangemaakt. Klik op Adjust Search Console om je Google Analytics te koppelen aan de correcte tegenhanger in Search Console.

Dat was een hoop werk voor alleen een slotje, vind je niet?

Meer lezen? Lees dan ook “Maak je website veilig en toekomstbestendig met HTTPS” op Eenmanierom.nl

#

Over sterke wachtwoorden bedenken en onthouden (zonder dat je ze iedere keer moet veranderen)

Iedereen worstelt met de belachelijke hoeveelheid wachtwoorden die je tegenwoordig moet onthouden. Tientallen of zelfs honderden (betaalde) webdiensten, klantenpagina’s van bedrijven, DigiD, de inlogcodes voor je werk, noem het allemaal maar op.

Vroeger kwam je er nog mee weg om tussen twee of drie eenvoudige wachtwoorden te rouleren die je simpelweg overal voor gebruikte. Na een jarenlange berichtenstroom van hacks en gestolen inloggegevens bij allerlei diensten (o.a.Time Warner, Netflix, Amazon, Spotify) zit de schrik bij veel bedrijven er goed in en wordt iedereen gedwongen om zogenaamde sterke wachtwoorden aan te maken. Niet dat het je enigszins helpt als de servers van dat bedrijf alsnog gehacked worden en anderen er met de wachtwoorden vandoor gaan maar tja, dan moet je natuurlijk vooral niet dat wachtwoord op andere sites gebruiken, nietwaar? “Gewoon” voor elke site, elke toepassing en elk bedrijf een uniek wachtwoord bedenken alsjeblieft.

sterke wachtwoordenIT-afdelingen weten namelijk heel goed dat je niet moet gaan uitleggen aan gebruikers hoe firewalls en netwerkbeveiliging werken. Laat staan dat je toegeeft dat er niet iets bestaat als 100% garantie dat je niet gehacked gaat worden. Net zo min als dat je met een memo aan de hoogste baas duidelijk maakt dat betere beveiliging ook gelijk een stuk kostbaarder is.

Nee, de logische aanpak is om te voorkomen dat gebruikers zich onveilig voelen. En aangezien iedereen weet dat – als je gebruikers hun eigen gang laat gaan – mensen graag de meest eenvoudige wachtwoorden kiezen, zit daar meteen de oplossing. Niet meer toestaan dat mensen ‘123456‘ of ‘wachtwoord’ als wachtwoord kunnen kiezen omdat ze die makkelijk kunnen onthouden. Maar verplicht stellen dat er minimaal een paar leestekens, hoofdletters, kleine letters en cijfers in zitten omdat hackers gemakkelijke wachtwoorden ook gemakkelijk kunnen raden.

Sterke wachtwoorden vereisen sterke geheugens

Helaas blijft het vaak niet bij een wat exotische combinatie van letters, leestekens en cijfers maar moet het nog een stukje ingewikkelder worden. Omdat het dan een stuk “veiliger” is natuurlijk. En om het allemaal perfect veilig te krijgen moet je dan ook nog eens 2 tot 4 keer per jaar dat wachtwoord wijzigen naar een nieuw sterk wachtwoord.

Onlangs kwam ik de onderstaande instructie tegen bij het aanmaken van een account:

• minimaal 8 tekens lang
• minimaal 3 van de 4 soorten karakters: hoofdletters, kleine letters, cijfers, speciale tekens
• maximaal 2 opeenvolgende gelijke tekens (bv niet ‘aaa’)
• mag niet bevatten: voornaam, achternaam, inlognaam
• mag niet gelijk zijn aan de vorige 10 wachtwoorden
• moet minimaal 1 dag gebruikt worden

Alsof het al niet erg genoeg is dat je aan de hand van een set aanwijzingen een wachtwoord moet componeren dat aan de eisen voldoet, mag je dat ook nog eens op regelmatige basis herhalen omdat bijvoorbeeld je bedrijf besloten heeft dat je elke 90 dagen je wachtwoord moet veranderen. Net als je het wachtwoord met pijn en moeite kunt onthouden, kun je weer opnieuw beginnen. Niet vreemd dat de meest gestelde vraag bij een helpdesk na de zomervakantie is om het wachtwoord te resetten (na vier weken vakantie vergeet iedereen het) en de meeste aangeklikte link de ‘wachtwoord vergeten’ link is. Tenzij je natuurlijk je wachtwoord veilig opgeschreven hebt in je agenda of op een post-it bij je computer.

Niet verrassend wellicht dat onderzoekers nu andere theorieën hebben over het verplicht periodiek wijzigen van (een sterk) wachtwoord. In The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis kun je dat nalezen maar chief technologist Lorrie Cranor vat het wat mij betreft mooi samen:

So, should you ever change your password? Well, sometimes. If you have reason to believe your password has been stolen, you should change it, and make sure you change it on all of your accounts where you use the same or a similar password. If you shared your password with a friend, change it. If you saw someone looking over your shoulder as you were typing your password, change it. If you think you might have just given your password to a phishing website, change it. If your current password is weak, change it. If it will make you feel better or if you just feel like it’s time for a change, then by all means go ahead and change your password.

En hoe veilig is dat wachtwoord nou echt?

De eisen die sites en bedrijven aan wachtwoorden stellen, wekken de suggestie dat veel symbolen en – niet te onthouden – leestekens betere en sterkere wachtwoorden opleveren. Zelf denk ik dat de veiligheid van een wachtwoord drastisch verbeterd wordt door er eentje te kiezen die je zelf makkelijk kunt onthouden maar dat lastig door anderen te raden is.

En daarbij is de sterkte van een wachtwoord niet alleen afhankelijk van de variatie in de tekens van je wachtwoord. Op diverse sites kun je laten toetsen hoe veilig je gekozen wachtwoord is en zonder uitzondering kijken die eerst naar de lengte van je wachtwoord (hoe meer tekens, hoe veiliger) en of het wachtwoord een woord is uit een woordenboek, danwel een term is die vaker/veel gebruikt wordt. Pas daarna speelt de variatie in de tekens een rol.

Een wachtwoordzin (passphrase) gebruiken is dan zonder twijfel het meest veilige. Helemaal als daar leestekens en cijfers in zitten. Als fan van goede muziek zou ik dan bijvoorbeeld kiezen voor een zin uit een muzieknummer. Makkelijk te onthouden en onmogelijk voor een computer om te raden. Tenzij die weet dat ik uit nummers van Prince put natuurlijk: Tonighti'mgonnapartylikeit's1999

sterke wachtwoorden
Volgens How secure is my password is een computer “9 tredecillion years” bezig om dat wachtwoord te kraken. Ja, ik moest het ook opzoeken maar 1 trecedillion is een 1 met 42 nullen. Oh, en het is een voorbeeld mensen, ik gebruik deze zin nergens dus ga nou niet proberen om overal in te loggen met die zin.

Eén van de redenen waarom ik niet overal wachtwoordzinnen gebruik is omdat je maar op weinig plekken meer dan 20 of 30 tekens mag gebruiken voor wachtwoorden. Minimaal 8 betekent meestal niet dat je hele zinnen kunt gebruiken helaas. Als ik de instructies volg die een paar alinea’s hierboven staan, dan kies ik een willekeurig wachtwoord van 8 tekens, met hoofdletters, kleine letters, getallen en vooruit, ook een speciaal teken waar niet mijn voornaam, achternaam en inlognaam in verwerkt zijn. Kortom, wat de site een perfect sterk wachtwoord vindt. Wat dacht je van VAKB9#rs? De eerste vier letters van Vakblog, dat 9 jaar bestaat met hashtag mijn initialen.

niet sterke wachtwoorden
Negen uren! Hoezo veilig?

Het lijkt me hoog tijd dat bedrijven (en sites) *eerst* rekening houden met gebruikers die hun wachtwoorden moeten kunnen onthouden aangezien het grootste risico gelopen wordt door gebruikers die al hun wachtwoorden opschrijven.

Bedenk dan pas eisen voor de wachtwoorden die het *gemakkelijker* maken om ze te onthouden terwijl het voor kwaadwillenden juist lastiger wordt om te raden. En hou op met gebruikers een paar keer per jaar lastig te vallen door ze een nieuw wachtwoord te laten bedenken (waarbij iedereen simpelweg één letter of getal verandert) tenzij er daadwerkelijk redenen zijn om alle wachtwoorden te laten veranderen.

Zoek je overigens nog songteksten om een makkelijk te onthouden wachtwoordzin uit te halen? Die kun je uitstekend via Google vinden als je ze (nog) niet uit je hoofd kent. Moet je natuurlijk niet hardop mee gaan zingen als je je wachtwoordzin intikt …

@header via Pixabay met CC0 verklaring

#

netflix account op laptop

Hoe controleer je de toegang tot je Netflix-account?

Eerder deze maand maakte het beveiligingsbedrijf Symantec bekend dat er een levendige zwarte handel is ontstaan in inloggegevens voor Netflix. Deze gegevens worden de onwetende abonnees ontfutseld via malware of andere phishingtechnieken waarna wellicht ook jouw Netflix-account voor 25 cent verkocht wordt. Voorkomen is natuurlijk beter dan genezen maar je kunt gelukkig ook eenvoudig controleren wie (en welke apparaten) er allemaal via jouw Netflix-account zitten te kijken.

Afhankelijk van je abonnement kun je op 1 (basic), 2 (standaard) of 4 (premium) schermen tegelijk kijken. De meerderheid van de abonnees beschikt over een standaard abonnement maar kijkt meestal maar op 1 scherm tegelijk naar Netflix. Dat betekent dat het heel goed mogelijk is om je Netflix-account te delen met een ander, bijvoorbeeld om op die manier kosten te besparen. Een onderzoek vorig jaar toonde aan dat 42 procent van de Nederlanders dat ook doet en ook al is het expliciet niet toegestaan in de voorwaarden, zelfs de grote baas van Netflix heeft er geen problemen mee.

Dat je wellicht je Netflix-account deelt met wildvreemden valt daardoor echter ook minder op. De kans dat er daadwerkelijk drie mensen tegelijkertijd kijken op 1 account is niet zo groot en kan ook verklaard worden omdat er meerdere mensen van je eigen familie proberen te kijken. Dat er ineens onbekende films en tv series opduiken in je kijklijst en overzichten is ook te verklaren als je je account deelt met bekenden. Via de Netflix-website kun je echter controleren vanaf welk apparaat (en IP-adres) er ingelogd wordt op je Netflix-account. Het is een goed idee om periodiek te controleren of je daar geen rare dingen ziet en je wachtwoord te veranderen zodra je twijfelt.

Naar de Netflix-website

De meeste mensen zullen nauwelijks of nooit Netflix via de browser bekijken. Toch is dat de (enige) plek waar je alle account- en betaalgegevens kunt bekijken en kunt zien wat er allemaal bekeken is op jouw account via welke apparaten.

  1. Ga naar Netflix.nl, log in en ga dan – vanaf je hoofdprofiel als je er meerdere hebt – naar de optie Mijn account. Die vind je als je op de naam van je profiel klikt rechtsbovenaan.
    
    netflix-account toegangcheck1
  2. Je vindt daar je lidmaatschap- en factureringsgegevens terug, het soort abonnement wat je hebt en diverse instellingen, zoals het handige Afmelden op alle apparaten mocht je straks iets verdachts zien en je wachtwoord willen veranderen. Die optie dwingt alle gebruikers opnieuw in te loggen met het nieuwe wachtwoord.Het gaat nu echter om de optie Kijkactiviteit die je onder Mijn profiel ziet staan.
    
    netflix-account toegangcheck2
  3. Bij Kijkactiviteit zie je welke programma’s je op dat profiel allemaal bekeken hebt. Dat kan ook al inzicht geven in wie er eventueel nog meer gebruik maakt van jouw account maar bovenaan vind je hier ook de optie Recente toegang tot account bekijken. Dit laat zien vanaf waar je accountgegevens zijn gebruikt om in te loggen op Netflix, ongeacht het profiel en of er iets gekeken is.
    
    netflix-account toegangcheck3
  4. Bij de recente toegang tot account worden de laatste vijf succesvolle accountlogins getoond. Je ziet op welke datum en tijdstip dit heeft plaatsgevonden, het IP-adres (in onderstaand voorbeeld weggehaald) inclusief het land waar dat IP-adres behoort te zijn en het gebruikte apparaat.Zie je daar ineens een ander land in opduiken of een apparaat dat je niet/nooit gebruikt hebt, dan is het een prima idee om uit voorzorg je wachtwoord te veranderen. Deel je je account? Dan is het verstandig om even te controleren of die persoon wellicht in dat land zit en/of dat apparaat gebruikt heeft voordat je je wachtwoord verandert.
    
    netflix-account toegangcheck4
    Overigens, de inlog vanuit de VS is er wel degelijk eentje van mezelf omdat ik testte of Netflix VPN-diensten blokkeerde :)

Wachtwoord wijzigen

Het is hoe dan ook verstandig om eens in de zoveel tijd je Netflix-wachtwoord te veranderen, al zul je dit waarschijnlijk minder snel doen als je je Netflix-account deelt met anderen. Denk er echter aan dat als jij jouw inloggegevens deelt met een ander, de kans aanwezig is dat die ander die gegevens ook deelt met bijv. familieleden. Voordat je het weet zijn er vier of vijf mensen die allemaal dat wachtwoord weten en die dankzij een malware of phishing aanval het verder verspreiden op de zwarte markt.

Controleer daarom af en toe wie (en wat) er toegang heeft tot jouw account en verander je wachtwoord als je iets vreemds ziet.

@header is een bewerkte foto van Unsplash via Pixabay met een CC0-verklaring

#

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top