Interview: De verbeterde iThemes Security PRO NL

Interview: De verbeterde iThemes Security PRO NL
datum-geschreven 20 mei 2016

De verbeterde versie van de iThemes Security PRO NL wordt onderhouden door Daniël van der Winden.

Met passie voor WordPress beveiliging zet hij zich in om de beveiliging van WordPress up-to-date te houden en te verbeteren.

Wij stelden enkele vragen aan Daniël,

Je bent programmeur achter de verbeterde iThemes Security Pro voor Nederland. Hoe ben je zo betrokken geraakt?

Laat ik eerst voordat ik deze vraag beantwoord nadrukkelijk vermelden dat iThemes de oorspronkelijk ontwikkelaar is van de iThemes Security (Pro) plugin. Zij verdienen dus het grootste deel van de credits voor het ontwikkelen van deze plugin.

Eind 2014 kwam ik toevallig in aanraking met WordPress. Wat me meteen opviel was dat dit CMS standaard enkele
kwetsbaarheden kent waarop het kan worden aangevallen. Vervolgens ben ik mij gaan oriënteren op beveiligingsplugins op wordpress.org en iThemes Security staat daar in de top 3.
Wat ook heeft meegespeeld is dat de gratis iThemes Security plugin zoveel tekortkomingen heeft en dat iThemes deze tekortkomingen niet actief oppikte (met name op het WordPress.org plugin forum). En dat vond ik echt zonde want de functionaliteit die de iThemes Security plugin biedt en de laagdrempelige vorm waarin deze is gegoten is echt geweldig.

Gezien de mogelijkheden die de GPL licentie biedt (fork), zag ik ruimte voor een sterk verbeterde versie van de betaalde iThemes Security Pro plugin. Aangezien de iThemes Security Pro plugin niets anders is dan de gratis iThemes Security plugin + 10 Pro features zitten alle tekortkomingen van de gratis plugin ook in de Pro versie. Verder bleken er in de Pro versie ook zat Pro specifieke bugs te zitten.

Ik ben eerst begonnen met een Nederlandse vertaling te maken. Toen die af was, bleek dat er een hele rits vertaal bugs in het product zaten. iThemes biedt namelijk zelf 0 (nul) vertalingen voor hun security (Pro) plugin en vertalingen krijgen bij iThemes duidelijk geen prioriteit. Die vertaal bugs blijven dus allemaal in de code van het product zitten omdat niemand (iThemes voorop) de plugin in een niet en_US taal gebruikt. Zo bestaat er ook nu nog een vertaal bug in de plugin waarvoor overigens wel een workaround bestaat. Zonder die workaround zijn bij gebruik van een vertaling alle Ithemes Security plugin tabs in het WordPress Dashboard behalve de Dashboard tab blank/leeg. Maak je je eigen vertaling dan zal deze dus zonder de workaround niet eens goed kunnen werken ! Afijn, voor ik het wist zat ik al op 50+ vertaal bugfixes!
Maar dat was niet het enige. Ook in de functionaliteit van de plugin bleken flink wat bugs te zitten.
Er zit zelfs een ernstige (stored XSS) kwetsbaarheid in de plugin zelf waardoor de veiligheid van de WordPress website in het geding komt !
Ik kon nog maar aan 1 ding denken. Dat kan beter, veel beter ! En zo is de iThemes Security PRO NL plugin ontstaan.

Mag je zomaar een fork van een bestaande premium plugin ontwikkelen en tegen betaling aanbieden en is dit ethisch/juridisch verantwoord?

Het simpele antwoord is ja. De GPL licentie staat dit allemaal toe. Sterker nog: het is handelen volledig in de geest van de GPL ! Met als uiteindelijk doel meer keus voor de consument en belangrijker nog een kwalitatief beter product.
iThemes is zich volledig bewust van de eerder genoemde tekortkomingen. Toch besloten zij een aantal maanden geleden om de UI (zeg maar het uiterlijk) te gaan vernieuwen. Kortom een nieuwe look ipv de inhoudelijke tekortkomingen aan te pakken.
Daarnaast zijn de activiteiten van iThemes op het WordPress.org plugin forum minimaal. iThemes activiteiten worden hoofdzakelijk aangestuurd vanuit marketing beweegredenen en dat mag. Echter WordPress website security staat daardoor NIET bovenaan hun prioriteitenlijst.
Dus wat betreft het ethische aspect denk ik dat hetgeen ik heb gedaan gemakkelijk te verantwoorden is.
Rest mij nog te vermelden dat ik de afgelopen 18 maanden honderden topics heb afgehandeld op het WordPress.org plugin forum.
Tot slot, ook de iThemes Security PRO NL plugin wordt uitgebracht onder de GPL licentie.

Hoeveel tijd is er in het verbeteren van de iThemes Security PRO NL gaan zitten?

Heel erg veel tijd. Ik ben er sinds eind 2014 non stop mee bezig geweest …
Het was inderdaad niet makkelijk maar het resultaat is er inmiddels wel naar.
Als je de hoeveelheid tijd die ik er aan besteed heb afzet tegen de prijs van de plugin dan is er maar 1 conclusie mogelijk: koopje !

Je hebt iThemes Security verbeterd, op welke punten is de plugin anders dan de Amerikaanse versie?

De iThemes Security PRO NL plugin pakt een aantal tekortkomingen aan in de oorspronkelijke plugin.
Op de eerste plaats vertaling (localization)! De plugin is volledig in het Nederlands vertaald. Sterker nog hij bevat zowel een informele als formele Nederlandse vertaling.
Daarnaast zijn er ook flink wat aanpassingen gemaakt op het gebied van internationalisatie. Denk aan koppeling van het datum/tijdformaat zoals ingesteld in de WordPress instellingen aan datums/tijden getoond in o.a. emails en de Logs pagina.
Ook zijn er een groot aantal bugs gefixed. Zowel mbt vertaling als functionele bugfixes.
Veel van deze bugfixes waren het gevolg van meldingen op het WordPress.org plugin forum. Meldingen waar iThemes niets mee heeft gedaan. Ik zie wekelijks problemen gemeld worden die 18 maanden geleden ook al werden gemeld …
Ondertussen heb ik die bugs allang gefixed …
Verder is er betere support voor de Nginx web server en het Windows platform.
Een en ander heeft geresulteerd in een beveiligingsplugin die een WordPress site een stuk beter beveiligd.

Niet geheel onbelangrijk is dat de oorspronkelijke plugin tot en met de laatste release (Free 5.4.0/Pro 2.3.0) een ernstig stored XSS lek bevat.

Je hebt de iThemes Security PRO NL toegankelijk gemaakt voor Nederland, in welk opzicht is de plugin beter dan WordFence, Sucuri en Bulletproof?

Ik ken WordFence, Sucuri en Bulletproof niet voldoende om daar een goed onderbouwde mening over te kunnen geven.
Het enige dat ik zeker weet is dat mits correct geconfigureerd de iThemes Security PRO NL plugin een prima keuze is om je WordPress website mee te beveiligen.

De plugin is exclusief verkrijgbaar op WPbeveiligen, kan ik de plugin ook bij jou kopen? Heb je een website?

Nee, ik heb geen website en ik verkoop de iThemes Security PRO NL plugin op dit moment niet zelf. De plugin is exclusief verkrijgbaar via wpbeveiligen.nl

Welke achtergrond heb je? Ben je programmeur, beveiliger?

Mijn achtergrond is divers. Hoofdzakelijk support bij o.a. Oracle Nederland. Ik ben iemand die door veel zelf te doen en uit te zoeken allerlei IT/website vaardigheden heeft ontwikkeld. Beetje autodidact dus.
Ik heb een sterk analytisch vermogen en ben vooral gedreven in het zoeken naar de root cause van problemen. Pas als de oorsprong van een probleem is gevonden kan er een juiste oplossing voor worden ontwikkeld.
Dit sluit naadloos aan op website security. Ik beheers alle onderliggende technieken.

Kan mijn website ook beveiligd worden met de plugin of kan dat alleen met bepaalde servers of WordPress versies?

Ja, in principe kan elke WordPress website beveiligd worden met de iThemes Security PRO NL plugin. Er zijn slechts enkele beperkingen. Wat betreft web server worden alleen Apache, Nginx en Litespeed ondersteund.
Microsoft IIS wordt dus niet door de plugin ondersteund. Verder is het zo dat de plugin vele features bevat die ten goede komen aan de beveiliging van de website maar die soms ook een ongewenst effect kunnen hebben. In dat geval kun je een dergelijk feature nader tweaken of uitschakelen.
Het idee achter de plugin is om zoveel mogelijk features te gebruiken die het juist functioneren van de site niet in de weg staat.

Verder kan de plugin vanaf WordPress 4.1 tot de meest recente 4.5.2 versie worden gebruikt.

Hoe houden jullie de plugin up to date?

We maken op dit moment nog geen gebruik van een eigen update server. Uitrol van updates zal dus per email geschieden (en/of anderszins). Zodra de installed base voldoende draagvlak heeft, investeren we in een update server.

Hebben jullie updates en hoe installeer ik die?

Ja, de iThemes Security PRO NL plugin wordt regelmatig geüpdatet.
Als je de plugin aanschaft heb je standaard recht op 1 jaar support en updates.
Kwestie van de oude plugin folder renamen/deleten en dan het nieuwe per email ontvangen zip bestand uploaden naar de server en uitpakken.

Ik heb veel klanten met een WordPress website die beveiligd moeten worden, kan ik de plugin vaker gebruiken?

Voor iedere website (per domein dus) moet je een licentie aanschaffen. Wpbeveiligen.nl hanteert daarbij volumekorting welke je kunt raadplegen op de website.

Kan ik de plugin simpelweg activeren of moet ik daarna nog iets doen?

Na activatie van de plugin doorloop je eerst 4 stappen in het “Belangrijke Eerste Stappen” scherm.
Vervolgens kun je op basis van de “Beveiligings Status” 1 voor 1 extra onderdelen van je site beveiligen.

Botst de beveiligingsplugin met andere plugins?

Ja, soms wel. Dat is onvermijdelijk, ondanks dat ik mij zoveel mogelijk conformeer om volgens de WordPress codex richtlijnen te coderen. Vaak ligt het aan de code van de andere plugin. En soms ligt het aan de code van de iThemes Security PRO NL plugin. Meestal is het snel op te lossen.

Ik heb ook WordFence, het lijkt me goed om deze plugin ook te activeren. Of moet ik die verwijderen?

Ik weet dat het kan, maar vaak zit er een overlap in de functionaliteit. Mijn advies is om 1 goede beveiligingsplugin te gebruiken. Dit om onnodige overhead te voorkomen.

Ik heb een blog over mijn kids en familie. De website is niet zo groot, heeft het dan zin om iThemes Security PRO NL te gebruiken?

Websites worden vaak volledig geautomatiseerd (botnets) aangevallen en gehackt. Helaas hebben botnets geen geweten.
ALLE WordPress websites op het internet lopen het risico te worden aangevallen en gehackt!

Wij hebben een bedrijfswebsite op maat laten maken. Wij gebruiken een thema op maat en diverse plugins die ook op maat geprogrammeerd zijn. Gaat dat samen met de iThemes Security PRO NL?

Ja in principe wel, maar het is onmogelijk om de plugin met alle beschikbare plugins en thema’s te testen.
Dus het kan gebeuren dat de plugin botst met een andere plugin of thema. Dit is simpelweg niet uit te sluiten.
Vaak wordt het probleem dan veroorzaakt door de bewuste plugin of het thema. Je moet dan contact opnemen met de auteur van de plugin of dat thema. Soms veroorzaakt de iThemes Security PRO NL plugin het probleem. Het posten van een uitgebreide probleemomschrijving met de te volgen stappen om het probleem te reproduceren op het WordPress.org plugin forum helpt om tot een spoedige oplossing te komen. Soms kan zelfs toegang tot de probleemomgeving nodig zijn om het probleem te debuggen.
Los hiervan is het in zijn algemeenheid gebruikelijk/verstandig om een security plugin eerst grondig te testen in een test omgeving alvorens deze uit te rollen naar de live website.

Ik wil de plugin graag direct kopen en downloaden. Waar kan ik hem downloaden?

Zoals eerder aangegeven is de verbeterde iThemes Security PRO NL te downloaden bij WPbeveiligen.
Klik hier om de plugin te downloaden!

Meer WordPress:

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
2 Reacties
Inline Feedbacks
Bekijk alle reacties
Bram

iThemes Security PRO NL is nergens meer te vinden op internet. Was Daniel de enige die zich er mee bezig hield?