Handleiding – Beveilig je WordPress website goed met de gratis iThemes Security plugin

Handleiding – Beveilig je WordPress website goed met de gratis iThemes Security plugin
datum-geschreven 2 jul 2019

Je wilt je WordPress website beveiligen tegen hackers en malware. Toch? Dat kan op veel manieren maar we gaan ervan uit dat je geen kosten wilt maken.

We laten je nu stap voor stap zien hoe je de gratis versie kunt installeren en belangrijker nog:

hoe je iThemes Security voor WordPress optimaal kunt instellen

Laten we beginnen met de installatie. We gaan ervan uit dat je nog geen antivirus plugin op je website hebt geactiveerd. Heb je dat wel gedaan? Dan is het aan te raden de oude te verwijderen aangezien twee beveiligingsplugins niet bevorderlijk zijn voor de snelheid en werking van je website.

Heb je WordFence? Cerber? Ninja Security? Dan moet je toch kiezen 😉
Wordt het iThemes Security, lees dan verder!

Backup

Voordat je aan de slag gaat, maak je eerst een backup van je website.
Een backup kun je bijvoorbeeld met de gratis plugin Updraftplus maken.

De installatie van iThemes Security

Ga in je admin naar plugins > nieuwe plugin.
Typ dan ithemes in het zoekveld, waarna iThemes Security verschijnt.
Klik op “Nu installeren”.
En hierna op “activeren”.

Dat was niet zo moeilijk toch?
Maar nu begint het instellen.

Beveiligingscontrole

Als je iThemes Security voor het eerst installeert zul je eenmalig een scherm zien met enkele standaardopties.

beveiligingscontrole

Je kunt op de blauwe knop klikken waardoor ithemes direct enkele standaardfuncties aanzet. Die zul je later in deze handleiding nog tegenkomen.

Velen denken dat alles nu direct goed staat

Maar als je het meeste uit je websitebeveiliging wilt halen zijn er nog diverse opties die je aan kunt zetten. In de volgende stap helpen we je bij het instellen van diverse belangrijke functie die nu nog niet aan staan.

iThemes Security instellen

Ga in je admin naar de tab “Beveiliging > instellingen” als je die opties nog niet voor je hebt.

Je ziet daar diverse blokken, de lichtblauwe zijn actief en de wit/grijze blokken nog niet.

blokken ithemes security

Let op: we zullen niet alle functies aanzetten. Denk bijvoorbeeld aan de afwezigheidsmodus waar je je admin in de nacht onbereikbaar mee kunt maken.. leuke functie, maar gewoon niet doen 😉

Laten we beginnen met instellen!

Als eerste ga je naar het blok: Globale instellingen

Daar scroll je naar beneden totdat je de dik gedrukte zin ziet staan met “Dagen om de database van logboeken te bewaren“.
Die zet je van 60 dagen naar 25 dagen.
globale instellingen dagen

Waarom: binnen 60 dagen worden er soms zoveel meldingen aangemaakt dat je database te veel belast wordt. Waar je database met enkele berichten 10 MB groot kan zijn kunnen de logboeken zomaar 125+ MB aan data vast gaan houden. Dat is niet bevorderlijk voor de snelheid van je database, en dus je website.

Nu ben je klaar en ga je naar het volgende blok: Notificatie Center

Daar staat standaard aangevinkt dat de notificaties naar iedere beheerder gaat. Dat is niet de bedoeling, we gaan ervan uit dat jij de website beheert en in dat geval is het zelfs riskant om alle notificaties naar iedere beheerder te sturen. Vink “alle beheerders uit” en vink je eigen naam aan.

notificatie beheerder veranderen

Het is aan te raden om de dagelijkse beveiligingsupdate en site lockouts uit te vinken. We gaan ervan uit dat je website regelmatig controleert en/of de logboeken bekijkt. Hier zullen we later nog op in gaan.

notificaties uitvinken

Waarom de notificaties uitzetten? Nou, anders krijg je elke dag een e-mail wanneer er ook maar iets gebeurd met de website. Denk aan het blokkeren van de inbraakpogingen door bots. Het kan zijn dat je zelfs meerdere keren per dag e-mails ontvangt omdat inbraakpogingen door bots veel voorkomen. De beveiligingsplugin houdt ze tegen maar je wilt niet de zenuwen krijgen van elke keer wanneer de plugin zijn werk doet.

Vergeet de instellingen niet op te slaan met de blauwe knop onderaan voordat we naar het volgende blok gaan.

De 404 detectie

Zet deze functie aan. De 404 detectie houdt bij hoeveel pagina’s er door een specifieke computer opgezocht worden. Bij bots, virussen en malware zijn dit er heel veel in korte tijd omdat die aan het vissen zijn naar lekken in plugins, thema’s en je WordPress release.

Heb je nu veel bestanden/afbeeldingen in je website staan die niet goed doorgelinkt zijn? Dan kan dit ook 404’s opleveren waardoor je gewone bezoekers mogelijk geregistreerd worden.
Zet de “drempelwaarde” daarom van 20 fouten naar 50 fouten. Dan moet iemand wel heel erg zijn best doen om geregistreerd te worden door de 404 monitor.

drempelwaarde 404 monitoring

Ps: de registratie van de 404’s is niet alleen passief maar ook actief. Wanneer er te veel 404’s van een IP adres komen, wordt deze tijdelijk geblokkeerd. Als die pc/persoon/bot doorgaat met het bezoeken van foutieve pagina’s zal die uiteindelijk een langere of zelfs permanente ban krijgen. Wat betekend dat die de website niet meer kan bezoeken ofwel lastig kan vallen.

En dat is waar je het voor doet, je wilt niet dat hackbots de capaciteit van de server misbruiken.

Database backups

Kijk of je een backup in je mailbox wilt hebben of dat je de “backup methode” in wilt stellen op alleen lokaal opslaan. Zoals we eerder aangaven is iThemes Security ervoor om zijn werk te doen maar niet om je de zenuwen te geven met e-mail notificaties en data.

backup methode

Lokaal opslaan zorgt ervoor dat de backup van de database op de server opgeslagen wordt. Verander dan wel het aantal “te bewaren backups” naar 3 tot 10 of bijvoorbeeld.

Ps: vink onderaan de functie “Plan database backups” aan zodat de backups automatisch aangemaakt worden. Het backup-interval kun je dan op 2-3 dagen zetten of zelfs elke dag.

automatische backups

Stel dit af zodat je minimaal 2-3 weken aan database backups hebt. Als er iets aan de hand is en je hebt een backup van 14 dagen geleden nodig moet die er natuurlijk wel zijn!

De backup bevat o.a. alle instellingen van je website, van plugins en de tekst van alle pagina’s + berichten.

Ga nu naar het blok: Bestandswijzigingen detectie

Activeer het blok/functie bestandswijzigingen-detectie. Deze functie houdt de bestanden in de gaten (te zien bij de logs, komen we later nog op terug) en houdt bij welke bestanden er aangepast, verwijderd of toegevoegd zijn. Een kenmerk van virussen en malware is het bijschrijven van bestanden waaronder backdoors, mailscripts e.d.

SSL

Als je een certificaat hebt (bezoek je website met https om dat te checken) kun je de ssl aanzetten. Alle verzoeken worden dan over https verzonden, zowel front-end als in de back-end.

Ga nu naar het blok: Systeem Tweaks

Activeer de Systeem Tweaks en ga naar de instellingen van dit blok.
Hier vindt je enkele belangrijke opties die je kunt activeren:

  • Systeembestanden: vink aan, dit zorgt ervoor dat de readme.html, de license.txt en diverse andere belangrijke informatiebronnen voor hackers geblokkeerd worden.
  • Bladeren in mappen: vink aan zodat mappen niet te doorzoeken zijn voor bots en hackers.
  • Verzoekmethodes: kun je aanvinken maar dit zorgt er bij complexe plugins voor dat sommige functies niet werken, dus even testen en weer uitzetten als functies in je website niet meer werken.
  • Verdachte Query Strings: vink aan om verdachte aanvragen te blokkeren. Kijk ook nu (nadat je de instelling opgeslagen hebt met de blauwe knop) of de functies van je website nog werken. In de regel blokkeert deze optie alleen verdachte aanvragen maar sommige plugins zijn gecodeerd op een onhandige manier of middels code die ook door hackers gebruikt wordt waardoor deze optie dus de functies blokkeert.
  • Bestanden schrijven rechten: vink aan om de schrijfrechten van bijvoorbeeld de htaccess en wp-config in te stelllen op “alleen lezen”.
    Dit zorgt ervoor dat deze essentiële bestanden niet aan te passen zijn door plugins en diverse hackscripts.
  • Php in uploads: vink aan. Er horen nooit scripts uit de uploads mappen uitgevoerd te worden. Dat is iets wat hackscripts of hackers doen. Die uploaden bestanden naar die beschrijfbare mappen omdat ze altijd te vinden zijn in de volgorde: wp-content/uploads/jaar/maand.

Dat was het voor dit blok, er zijn meerdere opties maar die kun je het beste uit laten.

Je hebt nu alle instellingen doorlopen en hebt je website goed beveiligd.

Er is meer bij de tab “geavanceerd”

Je zou denken dat je nu alles uit je gratis beveiligingsplugin hebt gehaald.
Maar er is meer!

Rechtsboven bij de blokken zie je staan: alle | aanbevolen | geavanceerde

geavanceerd

Je kunt daar 3 interessante dingen doen:

  1. Je standaard admin adres wijzigen bij “verberg backend”
    Activeer deze functie en voer je eigen login adres in bij “login slug”.
    Wel even goed onthouden of opschrijven, maar nu kunnen hackers en bots geen brute force aanvallen meer doen op het welbekende wp-admin adres en heb jij je eigen loginadres!
    verberg backend
  2. Wijzig de database tabel-voorvoegsel
    Om het hackers nog een stukje moeilijker te maken kun je het welbekende wp_ aanpassen naar een zogenoemde eigen prefix.
  3. Wijzig het ID 1 voor de admin gebruikersnaam
    De allereerste gebruiker die aangemaakt wordt heeft beheerdersrechten. De zogenoemde administrator. Dat weten hackers en hackscripts maar al te goed. Je kunt het ID aanpassen zodat ze er langer over doen om een ID met beheerrechten te vinden.

Alles is ingesteld, nu kun je de site monitoren! (De logboeken)

Voor hackers en hackscripts is het nu veel moeilijker om je website binnen te komen.
Maar mocht er toch iets gebeuren kun je dat zien in de logboeken.

logboeken

Tot slot

We hopen dat we je goed hebben kunnen helpen met deze handleiding. Zoals je gezien hebt, blijft het nog wel even een klusje om het in te stellen maar dat weegt niet op tegen de moeite die je moet doen om een gehackte website te herstellen. En dan ook nog de schade die de reputatie van je website/bedrijf bij Google en je bezoekers heeft opgelopen als je site gehackt is.

Je website laten beveiligen door ons?

Heb je een bedrijf en wat budget om je website door een professional te laten beveiligen en beheren?
Kijk dan eens bij de complete service die we kunnen aanbieden!

  • iThemes Security PRO
  • Beveiliging op maat
  • Dagelijkse backups
  • Helpdesk bij beveiligingsvragen
  • Updates door ons geregeld
  • Monitoring middels 10+ gerenommeerde scanners
  • En meer!

Bekijk onze pakketten

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
6 Reacties
Inline Feedbacks
Bekijk alle reacties
Matthijs

In een optie kun je de rechten van htaccess en wp-config op alleen lezen zetten. Waarom wordt dit niet standaard gedaan bij de installatie van WordPress?

Frans

Handig deze tips. Heb zojuist iThemes Security volgens advies ingesteld. Nu maar wachten of er dingen in het logboek verschijnen.

Arkadi Parker

Is het echt nodig om eerst een backup te maken van je website? Als ik een plugin installeer, doe ik dat nooit.

Jennea

ik heb zoveel berichten gekregen van mijn beveiligingsprogramma..
pas tijdens het volgen van deze instellingen kwam ik langs de meldingsinstellingen die eigenlijk op een vreemde plaats staan!
dank voor jullie artikel ik ben nu van die berichten af in mijn mailbox
groetjes Jennea