Featured image for WordPress beveiligen: van A-tot-Z in category BEVEILIGEN

WordPress beveiligen: van A-tot-Z

/3 Comments/in , , , ,

Admin was jarenlang de standaard gebruikersnaam bij nieuwe WordPress installaties. Velen veranderden dit niet waardoor duizenden WordPress websites gehackt zijn.
En nog steeds wordt die username te vaak gebruikt!

Backdoors zorgen ervoor dat een hacker via 1 lijn code weer in je WordPress website kan komen.

Code is vaak geschreven in php en daarna gecodeerd naar base64 zodat de server het niet herkent.

Dagen achter elkaar spam versturen zorgt ervoor dat je website op de spamlist komt

Errors op je site zonder dat je aanpassingen hebt gedaan? Dat kan een hacker geweest zijn maar het gaat ook wel eens verkeerd tussen WordPress, plugins en thema’s tijdens automatische updates

Filezilla is het meest gebruikte programma om je serverbestanden mee te beheren. Zo kun je op wijzigingsdatum kijken om te zien welke bestanden door een hacker zijn aangepast.

Gegevens zoals je wachtwoord gaan gecodeerd de database in, die gegevens kun je niet meer uitlezen. (Wel aanpassen.)

Hackers schrijven scripts en laten die op internet rondgaan, zo worden duizenden websites aangevallen. Ze houden zich nauwelijks bezig met het aanvallen van specifieke websites.

Illegale plugins worden vaak voorzien van backdoors en spamscripts.

Javascript wordt veel gebruikt voor overschrijven van informatie in je website. Bijvoorbeeld zodat alle links ineens vervangen worden door links naar websites waar de hacker geld aan verdiend. Die code is soms maar heel kort en hoeft niet eens in je thema of templates zelf te zitten. Daardoor is de code soms lastig te vinden.

Klanten die reclame zien of een website waar een error te zien is, zullen die website meestal niet opnieuw bezoeken op een later tijdstip. Ze Googlen direct naar een andere site die ook soortgelijke diensten of producten aanbied.

Leren om hacks te verwijderen en WordPress te beveiligen kost maanden. Dit aangezien hackers wekelijks pogingen doen om met slimme scripts in je WordPress website te komen en er duizenden scripts actief zijn en er iedere dag bij komen.

Matt Mullenweg is de oprichter van WordPress. Hij ontwikkelde WordPress op zijn 19e.

Notepad++ en zelfs de standaard versie van Notepad in Windows zijn tools waarmee een hacker een hackscript kan schrijven. Door die eenvoud zijn er zoveel scripts in omloop.

Open source is de reden dat er zoveel WordPress websites online staan. Het CMS is gratis te gebruiken en iedereen mag er plugins en thema’s voor ontwikkelen.

Plugins zijn gratis te downloaden van WordPress.org maar ook te koop bij bedrijven. De plugins die te koop zijn noemen ze Premium plugins.

Queries zijn aanvragen op de server. Met honderden queries op diverse IP adressen wordt een ddos aanval opgezet. Ithemes security blokkeert diverse queries en limiteert ook het aantal queries die een IP adres mag doen.

Reacties op je website kunnen links bevatten met een injectie. Als je daarop klikt terwijl je ingelogd bent als administrator, voer je zomaar een commando uit tegen je eigen website.

Spam die jij in je mail inbox krijgt komt voor 80% van websites af die gehackt zijn.

Templates zoals de page template en de header template worden vaak geïnjecteerd met een reclame-link. Zo is die reclame-link direct op elke pagina van je website zichtbaar.

Uploads mappen zitten vaak vol met spam bestanden.
Dit komt omdat iedere website standaard een upload map heeft die door de server en WordPress beschreven mag worden. Dit is zelfs essentieel als je de website en plugins wilt updaten en afbeeldingen toe wilt voegen. Hackers maken graag gebruik van die mappen. De jaartallen en maanden staan er ook standaard in. Kijk daar eens als je van een gehackte website af wilt komen!

Verwijder plugins die je niet gebruikt. Ook ge-deactiveert zijn ze nog beschikbaar op de server wat voor beveiligingsproblemen zorgt.

WordPress is een zeer veilig en up-to-date systeem. Het gebruik van slechte plugins en thema’s zorgen voor de problemen.

Xss is de afkorting voor Cross Site Scripting, 1 van de grote benamingen voor lekken in websites. Waarom je Cross Site Scripting met X schrijft? Dat is omdat CSS (Cascading Style Sheets) al de afkorting CSS in bezit heeft.

Yoast Seo is een WordPress plugin gemaakt door Joost van der Valk. Een Nederlandse man. Zijn plugin is wereldwijd bekend en wordt door duizenden businessites gebruikt.
Plugins zoals Yoast Seo worden regelmatig geupdate en blijven daardoor veilig.

Zelf kun je de WordPress website beveiligen als je verstand heb van de server, de plugins, updates. Al die informatie is gratis te lezen op WPbeveiligen!

 

Hopelijk heb je meer geleerd over het beveiligen van WordPress, of heb je leuke nieuwtjes geleerd.

WordPress beveiligen gaat nog een stuk verder, dat zullen we je besparen in dit artikel. Wil je meer lezen? Breng dan geregeld een bezoekje op onze WordPress beveiligen artikelpagina.

Vond je dit artikel leuk of leerzaam? Deel het met andere zodat ze ook meer te weten komen over WordPress beveiliging!

Featured image for Kan je WordPress site naar de schroothoop? in category BEVEILIGEN

Kan je WordPress site naar de schroothoop?

/9 Comments/in ,

Soms wordt ons gevraagd of  het wel de moeite is om de website te laten beveiligen. En dan komt er een heel technisch verhaal met veel woorden zoals de theme, de plugins, de database, de content en WordPress zelf.

Dat is voor velen niet gemakkelijk te begrijpen, dus een nieuwe aanpak:

Wat als je website een auto zou zijn?

wordpress auto

Het frame – WordPress

WordPress gaat jaren mee maar als je het nooit update kan het wel eens gebreken gaan vertonen.

De oplossing

  1. Update je WordPress vanuit je administratie panel
  2. Verwijder en upload WordPress opnieuw naar de server

wordpress updaten

De lak (Theme)

De lak, het lijkt soms alsof je website volledig verouderd is maar met een nieuw thema of een restyle is je website weer als nieuw en kun je weer met de tijd mee.

Hoe?

  1. Laat je website geschikt maken voor mobiel & tablet
  2. Plaats enkele nieuwe afbeeldingen in de tekst
  3. Een CSS codeur kan wonderen doen met wat kleuraanpassingen
  4. Zet een slider in met mooie afbeeldingen

nieuw thema

De onderdelen – Plugins

De plugins kunnen verouderen en kunnen ook wel problemen geven.

Wat kun je daaraan doen?

  1. Je kunt de plugins updaten vanuit je administratie panel
  2. Verwijder de plugin en upload deze opnieuw naar de server

plugin bijwerken

De bedrading – Database

De database zit goed weggestopt en heeft weinig onderhoud nodig. Maar je kunt het wel even doorlopen.

Hoe de database te optimaliseren?

  1. Ga naar phpmyadmin en vink de tables aan waarna je op repair/optimaliseren klikt.
  2. Verwijder oude plugins en thema’s als ook pagina’s en berichten die niet gebruikt worden.

 

Gelukkig is WordPress geen auto!

Hoewel je wat kennis en ervaring nodig hebt (of een WordPress expert) is het een kwestie van de juiste info vervangen en je WordPress website is weer zo goed als nieuw!

Wat kan WPbeveiligen hierin betekenen?

Wanneer wij je WordPress website herstellen en beveiligen lopen we direct alle bestanden na (zie het als de roest) en zorgen ervoor dat alles weer opgepoetst op z’n plek staat.

Tevens updaten of vervangen we plugins, halen oude informatie die niet gebruikt wordt weg (in overleg) en zorgen we ervoor dat je de nieuwste update van WordPress hebt.

Kortom, een herstel & beveiliging is niet alleen een optie wanneer je gehackt bent maar ook een hele goede APK en reparatie zodat je WordPress website weer een goede tijd mee kan!

Featured image for Onder de loep: All In One WordPress Security in category BEVEILIGEN

Onder de loep: All In One WordPress Security

/4 Comments/in ,

De titel van de plugin doet ons denken aan de All In One Seo plugin.

Maar laten we kijken of het een ALL in one oplossing is.

Download de plugin op de WordPress.org plugin’s area.

Wat All In One WordPress Security belooft

Een helder overzicht, configuratie mogelijkheden variërend van basic, gemiddeld, ingewikkeld. En meer functies die we bij iedere beveiligingsplugin lezen. We gaan door,

Wat ons opvalt na het installeren

Heel veel mogelijkheden! Ziet er veelbelovend uit.
Zeker als je het vergelijkt met de Acunetix en de falende 6scan die we hiervoor bekeken hebben.

Wel een beetje over-de-top voor als je niet zo ervaren bent met security (80% van de gebruikers).

De Ithemes Security plugin waar wij graag gebruik van maken lijkt op het oog zelfs minder functies te hebben.

De bijzondere features van All In One WordPress Security

Het dashboard toont de sterkte meter die je niet veel bij anderen ziet. Een opvallend kenmerk van deze plugin.

Wat ons betreft een hele goede manier om iets ingewikkelds toch helder te tonen.

all in one security wordpress

De tijdelijke onderhoudspagina die je kunt tonen aan je bezoekers zien we ook niet zo vaak in beveiligingsplugins. Vaak zien wij dan weer een 2e plugin om dit te realiseren. (Al was deze na activatie wel half door het thema heen gelopen. Kan aan het thema liggen.)

Gaaf, een password generator die live toont hoe effectief het wachtwoord is!

password security

Disable the Right-click ability zorgt ervoor dat je tekst minder gemakkelijk kunt overnemen. Dit wordt zo af en toe aan ons als WordPress ontwikkelaars/beveiligers gevraagd, dus handig dat de optie er al inzit.

Wat wij graag anders zien bij All In One WordPress Security

De functies moeten op moment van schrijven stuk voor stuk aangezet worden, om als het ware de meter omhoog te krijgen maar hierdoor is je website na het installeren en de-activeren nog niet goed beveiligd totdat je alle pagina’s van de plugin hebt bezocht. Geen 1 click solution dus.

En er is een WHOIS functie waarbij je normaal gesproken gegevens kunt opvragen over een domein. Deze werkte op dit moment niet in de zin dat de resultaten niets toonde. Maar dit is een luxe die je niet snel nodig zal hebben.

Conclusie All In One WordPress Security

Deze beveiligingsplugin is ook wel echt ALL IN ONE. Ik hoef niet eens te beginnen om op te noemen wat er allemaal mogelijk is.

Tevens is dit ook zijn zwakke punt, er moet enorm veel gelezen en aangevinkt worden voordat je een effectieve beveiliging hebt.

Voor de control freaks onder ons, is dit een bijzondere plugin.

Featured image for Onder de loep: Acunetix WordPress beveiliging in category BEVEILIGEN

Onder de loep: Acunetix WordPress beveiliging

/2 Comments/in , ,

Wat is Acunetix?

Acunetix is een beveiligings plugin voor WordPress waarmee hackers en schadelijke injecties tegen gehouden kunnen worden.

Acunetix kun je downloaden in de WordPress plugin’s area.

Waar komt de naam Acunetix vandaan?

Op moment van schrijven is er geen heldere uitleg op internet te vinden wat de naam betekent. Acunetix is geen bestaand woord en de Google translator kent het ook niet.

Wat Acunetix belooft

In grote lijnen spreken ze over het verbergen van de WordPress core informatie die hackers gebruiken/nodig hebben voor het hacken.
Denk hierbij aan het verbergen van de WordPress versie, de errors en de admin informatie, wat handig kan zijn als je veel personen hebt die een editor of schrijvers rol hebben.
En over het checken en weergeven van instellingen die veranderd moeten worden.

Ook spreken ze over het beheren van wachtwoorden, schrijfrechten en de database. (Na installatie en onderzoek blijken deze functies erg beperkt te zijn.)

Tot nu toe niet veel anders dan wat Ithemes Security en Wordfence en anderen doen.

De “bijzondere” features van Acunetix

Het idee is niet geheel onbekend maar het is een nette manier om weer te geven hoe het ervoor staat met de website.
Een helder “stoplicht” systeem
stoplicht systeem acunetix

Voor de rest zijn er op moment van schrijven weinig bijzondere functies.

De installatie van Acunetix

Als je WordPress gebruikt en de reguliere plugin installer valt iets op, Acunetix heeft z’n plugin ogenschijnlijk 2x beschikbaar. Met dezelfde functies en dezelfde data.

Tevens hebben ze erg weinig recensies terwijl ik weet dat ze al een lange tijd meedraaien in WordPress wereld.

Acunetix

Hoe Acunetix in de praktijk werkt

Na installatie krijg je het dashboard te zien met de eerder genoemde stoplichten weergave, en opvallend genoeg in de 2e tab mogelijkheden voor het maken van een database backup en het aanpassen van de prefix. Het aanpassen van de prefix is niet aan te raden voor sites die al een tijdje bestaan, aangezien de plugins erg gehecht zijn aan de huidige prefix en er grote kans bestaat dat ze dan niet meer werken.

De volgende tabs tonen een bestandsscan, die weergeeft of er bestanden aangepast zijn.
Er is een “Live traffic” tab waar momenteel geen data in verschijnt. Laten we uitgaan van het positiefste en zeggen dat de users bijgehouden worden en de aanvalspogingen. Al is het nu nog erg leeg en schijnt er volgens de plugin “niets” te gebeuren.

Je hebt een settings tab waar je een stuk of 15 opties kunt aanvinken. En een blog tab.
Het blog tab waar ze de artikelen tonen die ze op hun website hebben geschreven, bevestigen behoorlijk het gevoel dat deze plugin meer reclame is dan een waardevolle beveiligingsplugin.

Wat we graag zouden zien bij Acunetix

Meer mogelijkheden, of meer informatie over de activiteiten die de plugin onderneemt om je WordPress te beschermen.

De settings page is erg minimalistisch momenteel.

Acunetix Settings

Conclusie, Acunetix of een andere plugin?

Acunetix is erg beperkt, wat er in de achtergrond nog gebeurt is niet te zeggen maar zoals het eruit ziet is dit geen aanrader.

Een dikke NEE wat ons betreft.

Featured image for FTP via de admin, het kan! in category BEVEILIGEN

FTP via de admin, het kan!

/3 Comments/in , ,

Af en toe kom je van die bijzondere plugins tegen. Plugins die je leven net even een stukje makkelijker maken.

Zo ook CYSTEME Finder Download  de plugin (zip bestand).

De plugin heet “CYSTEME Finder, a file explorer” en het is een hele nette plugin die je een kijkje op de server laat nemen zonder dat je een FTP programma zoals Filezilla nodig hebt.

Zien welke bestanden er op de server staan
file editor

Bestanden kopieren, verplaatsen, verwijderen

Je kunt de bestanden niet alleen zien maar net zoals bij een regulier FTP programma kun je ze aanpassen, copieren, verwijderen

file-server-wordpress

Bestanden aanpassen

In WordPress kun je normaal gesproken alleen bij de theme en plugins om die aan te passen, maar met deze plugin kun je zelfs je WordPress core files aanpassen.

Dat is handig als je backdoors wilt verwijderen!

bestanden aanpassen via het admin

 

Veiligheid

Let op! De plugin kan veel, maar het is NIET aan te raden om deze standaard op de server te laten staan.

Installeer en gebruik de plugin wanneer je het nodig hebt, maar geef hackers en hackscripts geen mogelijkheden om deze of een verouderde versie te gebruiken om je server vol te zetten met bestanden!

Zo geld dat voor iedere plugin die je weinig of eenmalig gebruikt, verwijder die na gebruik. Ook al is de plugin niet geactiveerd, dan is de plugin nog wel toegankelijk op de server en dus voor hackers!

Featured image for Iedere maand 10-20 plugins lek in category BEVEILIGEN

Iedere maand 10-20 plugins lek

/4 Comments/in , , ,

Iedere maand komen er 10-20 plugins bij die lek zijn. Lek in de zin dat hackers en hackscripts de plugin kunnen gebruiken om toegang te krijgen tot je server of tot WordPress.

Nog deze maand zijn Akismet, Jetpack, Ninja forms toegevoegd aan de officiele lijst van WPscan.

Interessant als je bedenkt dat Akismet ontwikkeld is om comment spam tegen te houden!

Dit betekent overigens niet dat deze plugins direct verwijderd moeten worden, ze worden ongetwijfeld ge-update door de ontwikkelaars.
Zorg er dus voor dat je een nieuwere versie hebt van de plugin.

Wat doe je ertegen?

Je kunt moeilijk elke dag in de plugin lijst kijken om te zien of de door jou gebruikte plugins misschien een lek hebben.

Enkele stappen die je kunt ondernemen

  1. Minimaliseer het aantal plugins dat je gebruikt
  2. Update de plugins
  3. Installeer een beveiligings plugin

Deze stappen moet je ondernemen voordat je website gehackt is.

Een plugin updaten via de WordPress updater zorgt er niet voor dat plugins die lek geweest zijn direct virus-vrij zijn.

Als je website al spam verstuurt door een lekke plugin

Dan kun je de gehele WordPress website op de server nakijken op spam bestanden. Dit wordt vaak op diverse plekken gezet.. als een virus.

Laat je WordPress website herstellen en beveiligen op als je vermoed dat je WordPress website gehackt is of spam verstuurt!

Featured image for De broncode verraad je WordPress website in category BEVEILIGEN

De broncode verraad je WordPress website

/5 Comments/in ,

De broncode van een website is voor iedereen zichtbaar, in veel browsers kun je op F12 drukken of met de rechter-muis-klik de broncode tonen van een website.

broncode wordpress

Wat is de broncode?

De broncode is de ruwe variant van de website zonder opmaak. De broncode toont geen php maar wel de output daarvan.

De broncode toont per keer slechts die ene pagina waarvan je de broncode opvraagt. Maar er zijn programma’s die de broncode van de gehele website kunnen downloaden.

Wat verraad de broncode over WordPress?

De broncode van een standaard WordPress installatie verraad de versie van WordPress.

meta generator wordpress

Bij het hacken van een WordPress is het weten met welke versie je te maken hebt 1 van de belangrijkste punten.

Maar er zijn meer bronnen in de broncode zichtbaar die je laten weten welke zwakheden je WordPress website heeft..

Diverse plugins laten graag wat reclame achter..

meta generator plugin

En helaas is de theme ook gemakkelijk te vinden in de broncode, waardoor hackers kunnen kijken of die theme exploits bevat.

versie wordpress

Wat kan je doen tegen de open broncode?

De broncode zal er altijd zijn, zichtbaar voor iedere bezoeker en het belangrijkste: zichtbaar voor Google. Google leest de broncode van je website en aan de hand van die informatie bepaalt Google of je website interessant is voor bezoekers.

Het is van belang dat je een heldere broncode hebt waarbij de informatie van je website de grootste speler is.

Er zijn plugins die de broncode voorzien van belangrijke informatie zoals de titel van de pagina, de beschrijving die Google kan tonen en links naar relevante artikelen en pagina’s die bezoekers en Google ook kunnen bezoeken.

Kan WPbeveiligen iets doen tegen de broncode?

De informatie die de broncode weggeeft kan worden aangepast. Door middel van filters kan gevoelige informatie zoals de WordPress release en de plugins die gebruikt worden verborgen zodat je het hackers en hackbots moeilijker maakt om je WordPress te hacken.

Featured image for Wat is een hack-bot? Zo bescherm je WordPress tegen hackbots in category BEVEILIGEN

Wat is een hack-bot? Zo bescherm je WordPress tegen hackbots

/4 Comments/in ,

De kans is groot dat je WordPress website door een bot gehackt wordt.
Of dat je WordPress website gehackt is door een bot.

Wat is een Bot?

Dat is simpelweg de afkorting van roBot.

Bots zijn 1000x sneller dan mensen.

Als je een simpele berekening maakt, waarbij je uitgaat van de mogelijkheid dat een mens handmatig 1 website per uur kan aanvallen door diverse tests uit te voeren op de beveiliging van WordPress… en je ziet dat een bot elke 30 seconden een nieuwe website kan aanvallen met honderden requests.. dan weet je hoe snel het kan gaan.

Een computer kan enkele miljoenen requests (aanvragen-tests) per minuut uitvoeren.

Kortom, je website wordt gehackt door een Bot?!

Wat die bot doet in slow motion:
vanuit computertaal in het Nederlands

Aanvragen van de versie van WordPress

  1. Html generator?
  2. Readme.html?
  3. Version.php?
  4. Plugin output?

Aanvragen van actieve plugins

  1. Directory listing wp-content : plugins
  2. Output in html
  3. Function request

En ga zo maar door.. Miljoenen aanvragen per minuut!

En deze database van requests wordt up-to-date gehouden via jawel… een andere Bot.

Wat doet de bot nadat hij de aanvragen heeft gedaan?

De Bot weet dan welke WordPress versie er op je server draait en welke plugins en welk thema.
Deze informatie gaat de bot vergelijken met de database waarin de lekken staan per plugin en thema.

Hier doen mensen een half uur over maar dit is een aanvraag van enkele milliseconden. (Dank u wel technologie!)

Kennis = macht

Wanneer de Bot weet welke plugins en thema’s er draaien op de WordPress versie, zal het de informatie gebruiken om met de bekende lekken injecties in de database en de server te verrichten.

He bah! Injecties in de database en de server? Dat klinkt vies!

Inderdaad, en dat is het ook. De injecties voegen data toe waaronder bestanden die actief worden en spam versturen, of meer informatie over de gebruikers, of toegang verschaffen tot de server.

Wat doe je tegen bots?

De bots kennen de standaard plugins, de standaard WordPress versie en vergelijken die.
Kortom als ze niet meer weten welke plugins je gebruikt, welk thema en welke WordPress versie kunnen de bots helemaal niets!

Combineer dit eens met de juiste maatregelen tegen de bots:

  1. De correcte schrijfrechten
  2. Mappen op onbekende plaatsen
  3. Onzichtbare mappen
  4. Correcties op injecties via de browser
  5. Correcties op bestanden op de server
  6. Blokkades op gebruikers en IP adressen (bots)

Dan kun je de Bots tegenhouden. Het zijn simpelweg scripts die protocollen volgen! Doorbreek de gewoonte en een Bot weet niet meer wat hij moet doen.

Deze aanpassingen aan je website moet je niet handmatig te verrichten, daar heb je een bot voor 😉
Een script of concreter gezegd: iThemes Security!

 

Featured image for Hoe lees ik base 64 code? in category BEVEILIGEN

Hoe lees ik base 64 code?

/4 Comments/in ,

Een hacker codeert zijn php scripts zodat de server het niet snel zal herkennen als virus.
De server zal elk bestand namelijk niet 10x decoderen om het te lezen.

voorbeeld

Maar zo’n bestand kan wel uitgevoerd worden op aanvraag, en dat is wat een hackscript doet.

Een stuk base64 code decoderen

Als je die hele soep van code ziet, weet je misschien niet waar je moet beginnen.
Maar er zit wel logica in. De code begint vaak met een eval(“”) waarbij het de code binnen de “” wil uitvoeren. Die code kun je in een decoder zetten.

Vaak zetten ze de code nog in een variabele die uitgevoerd moet worden via een gedecodeerde variabele zodat het eigenlijk niet te doen is om dat zelf te gaan ontrafelen. En dat is nu net de bedoeling van de scriptschrijvers.

Wat staat er nu meestal achter “die verstopte code”?

In veel gevallen is het een link naar een productpagina van de hacker of zijn klant. Of een script dat e-mails (spam) verstuurt naar e-mailadressen.

Maar soms heb je te maken met een geavanceerder hackscript, dan worden niet alleen die simpele handelingen uitgevoerd maar worden ook je database gegevens doorgesluisd of ontstaat er een nieuwe gebruiker in de database zodat het hackscript er later weer in kan komen als je het gerepareerd hebt.

Of een script kopieert zichzelf even naar elke map die je server bevat.

Dit zijn dingen die je meestal niet wilt weten, en het beste is om niet in de huid te kruipen van een scriptschrijver maar het te verwijderen en je WordPress deels te vernieuwen zodat je zeker bent dat al zijn codes en bestanden van je server zijn.

De base64 code is 3-10x gecodeerd.. wat nu?

De bestanden zijn vaan 1-5x gecodeerd. Dit betekend dat je een tijd bezig bent om ze te decoderen.

Gelukkig is er een website die dit proces voor je doet, UnPHP maakt een virtuele ruime en pakt daar de gecodeerde php uit.

Tot wel 81x in een loop wanneer dit nodig is!!

decode

 

Featured image for WordPress beveiligings plugins - De introductie in category BEVEILIGEN

WordPress beveiligings plugins – De introductie

/3 Comments/in , ,

Er zijn diverse beveiligingsplugins die je kunt gebruiken om WordPress te beveiligen.

Ik raad aan om 1 goede uit te kiezen en zie niet allemaal tegelijk te gebruiken. En ja, dat heb ik vaak gezien! Vooral als laatste poging om dan echt van die lastige hack af te komen.

Gebruik 1 goede plugin, niet meerdere tegelijk

De beveiligingsplugins voor WordPress werken in de basis op dezelfde manier, ze oefenen controle uit op belangrijke serverbestanden. En er kan er maar één de baas zijn!

Wat er gebeurt als je meerdere plugins tegelijk activeert

Een website die meerdere backups gaat draaien, meerdere keren alle bestanden evalueert en met 4 logsystemen van alle gebruikers bijhoudt en/of bant is niet bevorderlijk voor de werking van je website.

Ze gaan elkaar uiteindelijk tegenwerken aangezien de schrijvers van de code niet met elkaar om de tafel hebben gezeten om de plugins aanvullend te maken.
Ze proberen allemaal de oplossing te zijn voor alle beveiligingsproblemen.

Welke beveiligingsplugins er zijn

De meest uitgebreide en beste plugins zijn:

  1. Ithemes Securiy
  2. Wordfence
  3. Securi Security
  4. Bulletproof Security

we zullen deze plugins een korte introductie geven

Ze hebben allemaal hun eigen plus & minpunten.

Ithemes security

ithemes wpbeveiligen

Ithemes security staat hier op nummer 1, en dat is geen toeval. Ithemes security is naar onze mening de beste beveiligingsplugin en wel om enkele sterke punten:

  • Een goede file monitor die overzichtelijk laat zien welke bestanden er bewerkt zijn, welke toegevoegd zijn op de server, en welke verwijderd zijn.
    zo spoor je gemakkelijk nieuwe bestanden op als er nog een backdoor is die spamscripts plaatst.
  • De plugin geeft je een overzichtelijke lijst die je af kunt werken met beveiligings issues die gerangschikt zijn naar belangrijkheid.
    Deze kun je stuk-voor-stuk afwerken maar wanneer je weet wat je doet kun je deze ook direct in 1x configureren via de algemene settings page.
  • Ithemes security is 1 van de weinigen op dit moment die de mogelijkheid om php bestanden uit te voeren vanaf de uploads mappen blokkeert. iets wat zeer belangrijk is omdat die mappen het meest gebruikt worden om hacks naar te uploaden.
  • En sinds kort (half 2015) werkt Ithemes samen met de Securi experts om ook een scan uit te voeren!

Maar let op: Ithemes security geeft je ook krachtige mogelijkheden die bij een bestaande WordPress website niet meer aangepast kunnen worden. Het is dus belangrijk dat je weet welke opties je kunt gebruiken en welke niet, voor je het weet heb je de website overbeveiligd en werkt deze niet meer!

De WordFence security plugin
wordfence wordpress security

WordFence heeft een grote bekendheid. Vooral omdat deze ook een scanner heeft waarbij WordFence de bestanden vergelijkt met de Core bestanden van WordPress.
Helaas is deze versie zonder premium versie niet goed genoeg om alle bestanden te scannen. Premium plugins heeft WordFence tot op heden niet in de database staan en zullen dus overgeslagen worden.

WordFence heeft ook een Falcon engine op moment van schrijven. Dit zorgt ervoor dat je WordPress tot wel 50x sneller zou moeten worden (aldus WordFence).
De falcon engine zorgt er in de basis voor dat niet elke map op rechten wordt gecontroleerd of op Htaccess en dus sneller moet zijn.

Ik heb de plugin en de functie wel gebruikt maar merkte geen bijzonder verschil. Wanneer dit bij metingen anders is hoor ik het graag.

De Securi plugin

Securi is een groot bedrijf. Securi heeft een mooie plugin uitgebracht die veel functies heeft, en de mooiste vind ik wel dat hij ook plugins verwijdert en opnieuw installeert.
Plugins moeten namelijk na een geruime tijd opnieuw worden geïnstalleerd als ze tijden niet zijn bijgehouden, aangezien ze dan hack-files kunnen bezitten die de website om zeep helpen.

En NEE, sorry maar een update vervangt enkel sommige nieuwe bestanden maar zal nooit alles vervangen wat wel nodig is!

Bulletproof Security

bulletproof wpbeveiligen

Ik heb de Bulletproof vooral ervaren als over-technisch en niet gebruikersvriendelijk. Maar zijn de echte NERD plugins die goed zijn niet zoals Bulletproof?
Wellicht wel maar ik zie het toch graag iets gebruiksvriendelijker.

Bulletproof heeft de functie die ze wijselijk Bullerproof noemen die de Htaccess beveiligt en vele bestanden. Maar dit doen de gebruikers-vriendelijke beveiligingsplugins ook.

Wat is dan het verschil?

Caching – Maar dat doet WordFence ook.
Login security – Maar dat doen de overigen hier genoemd ook.
Htaccess manager – Dat hebben enkele anderen ook.

En zo zijn veel functies te vergelijken. Bulletproof heeft wel een PRO functie die alle functies nog eens verdubbelt. Hier heb ik weinig ervaring mee aangezien ik toch een Nederlander ben, en ja gratis he.. waarom betalen 😉

Overige kleinere plugins

Er zijn nog veel meer plugins die krachtige functies hebben. Deze zullen we in een ander artikel in de toekomst evalueren, maar we raden je aan om een goede uit te kiezen binnen de meest bekende. Die zijn meestal het beste! Heb je een parel voor ons die we niet kennen? Neem dan zeker contact op met ons,  wij horen het graag!

Conclusie

Zoals je hebt kunnen lezen gaat onze voorkeur uit naar Ithemes security.
Echter hebben de andere besproken plugins goede pluspunten en is het aan jou om te kiezen welke plugin het beste is voor je website.

Het belangrijkste is vooral dat je de plugin goed configureerd!

Geen enkele plugin maakt de website 100% waterdicht. Het hangt van je gebruik af hoe lang de website bestand blijft tegen hacks.
Zo is het belangrijk om nooit zomaar op links te klikken die in je comments geschreven zijn. Die kunnen codes bevatten die je dan als aangemelde beheerder uit kunt voeren, voor je het weet heb je een mysql injectie geaccepteerd.

Als hoofdgebruiker kun je namelijk meer doen dan een beveiligingsplugin zal beperken. Een beheerdersrol heeft altijd het beslissingsrecht boven plugins.