8 aug 2015
De 3 grootste beveiligingsplugins voor WordPress zijn WordFence, Ithemes Security en Sucuri
- De overzichtelijke tabel met functies
- Uitleg van de functies
- Welke plugin onze voorkeur heeft
- Je website laten beveiligen
Tip: Wist je dat er naast de gebruikelijke beveiligingsplugins ook online diensten zijn? Malcare is een online dienst die je WordPress website beveiligt, controleert op malware en het gemakkelijker maakt om je website up-to-date te houden.
Het vergelijkende overzicht van Ithemes, WordFence en Sucuri
Ze hebben allemaal hun voor-en-nadelen. Om die reden hebben wij van WPbeveiligen alle functies op een rijtje gezet zodat je kunt zien welke het beste voor jou werkt.
Dit artikel is geschreven in 2015, sommige functies kunnen verwijderd of toegevoegd zijn aangezien de security plugin programmeurs wekelijks aan verbeteringen werken.
 |
 |
 |
|
|---|---|---|---|
| Ithemes | Wordfence | Sucuri | |
| Malware scanner |  |
|
|
| Database backup | |
||
| Custom IP blocks | |
||
| Auto IP blocks | |
|
|
| Admin verbergen | |
||
| Bestanden backup | |||
| Meldingen | |
|
|
| Caching | |
||
| Automatisering | |
|
|
| Upload map | |
|
|
| Readme | |
||
| Theme editor | |
|
|
| Salts aanpassen | |
|
|
| Logins view | |
|
|
| Site info | |
|
|
| Bestands rechten | |
||
| Data logging | |
|
Uitleg van de functies
- Malware scanner
Dit betekent dat je plugin de bestanden kan scannen op de server voor hacks.
- Database backup
De database bevat de meeste informatie. Informatie over de pagina’s, de themestyling, berichten en gebruikers.
- Custom IP blocks
Het handmatig blokkeren van IP adressen zorgt ervoor dat je gebruikers en bots kunt tegenhouden per land of per regio.
- Auto IP blocks
Het automatisch blokkeren van IP adressen na een x aantal pogingen of vanaf bekende black-lists.
- Admin verbergen
Je WordPress website is te beheren via het “admin” wat standaard te vinden is op de url www.je website.nl/wp-admin, Ervoor zorgen dat deze url niet meer gebruikt kan worden om het admin te benaderen voorkomt brute force attacks en gebruikers die met achtergrondkennis proberen in te loggen op je website.
- Bestanden backup
De bestanden zoals je thema, de afbeeldingen en WordPress zelf moet je minimaal 1-3x per jaar downloaden of backuppen.
- Meldingen
De plugins hebben momenteel allemaal de optie om je per e-mail te informeren over bestandswijzigingen of gebruikers/bots die uitgesloten worden.
- Caching
Momenteel is WordFence uniek met deze optie. Ze noemen het de Falcon engine waarbij ze zorgen met caching en info dat de server en de browsers sneller door de mappen kunnen browsen.
- Automatisering
Hiermee doelen we op het automatisch maken van backups op geregelde tijden.
- Upload map
De upload map is altijd al een zwakke plek geweest aangezien die schrijfbaar moet zijn en vaak gebruikt wordt door plugins om info naar te schrijven. Het blokkeren van php uitvoer-rechten is dan ook essentieel.
- Readme
De readme.html heeft mij altijd al geïrriteerd. Vooral omdat die de versie van WordPress vermeldt en bij iedere update en zelfs bij ge-automatiseerde updates weer in de root geplaatst wordt.
- Theme-editor
De theme-editor kan handig zijn bij het ontwikkelen van je website of thema, maar daarna kun je die functie het beste uitschakelen en desnoods met de ftp editor wijzigingen maken.
- Salts aanpassen
De salts staan in de wp-config en zorgen ervoor dat je gemakkelijker in kan loggen. Vooral voor bots is het goed als deze salts verwisseld worden.
- Logins view
Kunnen zien wie ingelogd is op je admin is handig, je kunt zien of bepaalde gebruikers of zelfs beheerders in je website zijn geweest. Maar ook als een hacker een gebruiker aangemaakt heeft en ingelogd is.
- Site info
De informatie van je server en de technische informatie vertelt je welke PHP versie er draait, en hoeveel geheugen je WordPress website heeft om te werken.
- Bestands rechten
Het aanpassen van de bestandsrechten voor bepaalde mappen en bestanden is nodig. Denk aan de Htaccess en de wp-config, aan de themes map en de uploads map. Het is ook belangrijk dat de weergave of de schrijfrechten voor de mappen goed staan.
- Datalogging
De datalogging laat je zien welke bestanden aangepast of aangemaakt zijn. Enorm belangrijk aangezien een nieuw bestand mogelijk een spam bestand kan zijn. Weten waar de nieuwe bestanden staan en welke bestanden gemodificeerd zijn, is essentieel.
Welke plugin onze voorkeur heeft
Dit betekent dat je plugin de bestanden kan scannen op de server voor hacks.
De database bevat de meeste informatie. Informatie over de pagina’s, de themestyling, berichten en gebruikers.
Het handmatig blokkeren van IP adressen zorgt ervoor dat je gebruikers en bots kunt tegenhouden per land of per regio.
Het automatisch blokkeren van IP adressen na een x aantal pogingen of vanaf bekende black-lists.
Je WordPress website is te beheren via het “admin” wat standaard te vinden is op de url www.je website.nl/wp-admin, Ervoor zorgen dat deze url niet meer gebruikt kan worden om het admin te benaderen voorkomt brute force attacks en gebruikers die met achtergrondkennis proberen in te loggen op je website.
De bestanden zoals je thema, de afbeeldingen en WordPress zelf moet je minimaal 1-3x per jaar downloaden of backuppen.
De plugins hebben momenteel allemaal de optie om je per e-mail te informeren over bestandswijzigingen of gebruikers/bots die uitgesloten worden.
Momenteel is WordFence uniek met deze optie. Ze noemen het de Falcon engine waarbij ze zorgen met caching en info dat de server en de browsers sneller door de mappen kunnen browsen.
Hiermee doelen we op het automatisch maken van backups op geregelde tijden.
De upload map is altijd al een zwakke plek geweest aangezien die schrijfbaar moet zijn en vaak gebruikt wordt door plugins om info naar te schrijven. Het blokkeren van php uitvoer-rechten is dan ook essentieel.
De readme.html heeft mij altijd al geïrriteerd. Vooral omdat die de versie van WordPress vermeldt en bij iedere update en zelfs bij ge-automatiseerde updates weer in de root geplaatst wordt.
De theme-editor kan handig zijn bij het ontwikkelen van je website of thema, maar daarna kun je die functie het beste uitschakelen en desnoods met de ftp editor wijzigingen maken.
De salts staan in de wp-config en zorgen ervoor dat je gemakkelijker in kan loggen. Vooral voor bots is het goed als deze salts verwisseld worden.
Kunnen zien wie ingelogd is op je admin is handig, je kunt zien of bepaalde gebruikers of zelfs beheerders in je website zijn geweest. Maar ook als een hacker een gebruiker aangemaakt heeft en ingelogd is.
De informatie van je server en de technische informatie vertelt je welke PHP versie er draait, en hoeveel geheugen je WordPress website heeft om te werken.
Het aanpassen van de bestandsrechten voor bepaalde mappen en bestanden is nodig. Denk aan de Htaccess en de wp-config, aan de themes map en de uploads map. Het is ook belangrijk dat de weergave of de schrijfrechten voor de mappen goed staan.
De datalogging laat je zien welke bestanden aangepast of aangemaakt zijn. Enorm belangrijk aangezien een nieuw bestand mogelijk een spam bestand kan zijn. Weten waar de nieuwe bestanden staan en welke bestanden gemodificeerd zijn, is essentieel.
WPbeveiligen heeft een groot aantal beveiligingsplugins getest. Waar Wpbeveiligen de beste ervaring mee heeft, is Ithemes Security. Deze plugin geeft een helder overzicht van de punten die beveiligd moeten worden en rangschikt deze op prioriteit. Tevens heeft Ithemes security 1 grote settings page waar alles in 1x ingesteld kan worden. Dit is wel zo fijn als je dagelijks websites beveiligd en dus de securityplugin moet instellen.
Overzicht is het belangrijkste als het gaat om beveiliging. Je website gemakkelijk monitoren en beheren met krachtige tools zorgt ervoor dat je: “door de bomen het bos weer ziet”.
De beveiligingsplugins instellen
Het is belangrijk de plugins voor de beveiliging correct in te stellen.
Als alle mogelijkheden van de beveiligings plugin aanvinkt, krijg je conflicten, errors met de server of meerdere meldingen per uur.
Ik zie bij 2 op de 10 websites die ik voor klanten beveilig, dat ze meerdere plugins hebben geactiveerd in de hoop dat de hackers er dan niet in komen. Dit is niet effectief en helaas geen oplossing tegen hackers. Daarnaast gaan de plugins elkaar deels tegenwerken, zo benadelen ze daardoor de server en dus de snelheid van je website.
Stel je voor wat er gebeurt als 3 plugins elke bezoeker opslaan in een log bestand, als ze alle IP adressen opslaan van elke bezoeker en onafhankelijk van elkaar gebruikers en IP adressen en bestandsrechten gaan blokkeren.
Je website goed laten beveiligen
Als je geen zorgen wilt hebben over het beveiligen van je WordPress website kun je dit door ons laten uitvoeren. Je krijgt standaard een maand garantie die verlengbaar is en WPbeveiligen gebruikt de kennis van tientallen jaren om je WordPress goed af te stellen en de huidige functionaliteiten in tact te houden.
Klik hier om je WordPress website voordelig en professsioneel te laten beveveiligen.
Bij Wordfence zie ik Caching staan. Waarom zit dat in een beveiligingsplugin? Het wordt wel onoverzichtelijk als er allerlei dingen worden toegevoegd die weinig met beveiligen te maken hebben, zoals de Theme editor. Dingen die niet essentieel zijn, maar er in zitten om beter te verkopen.
Ah de falcon engine, die is er gelukkig uitgehaald. In een blog schrijven ze nog over de reden dat ze die Falcon caching engine erin zette, het was toen een revolutionaire manier van caching die website stukken sneller maakte. (even uit mijn hoofd door o.a de htaccess niet in te lezen of op te zoeken per map, iets wat Nginx nu ook doet) De tijden zijn veranderd, toen waren ze nog met 2 mensen aan het werk bij WordFence maar later is dat een groot team geworden en als team hebben ze toen besloten de caching mogelijkheid uit WordFence te halen.
Uitleg punt 1. Scannen op malware. Als er malware ontdekt wordt, wordt die dan ook verwijderd of kan/moet je dat dan op een of andere manier zelf doen? Of heb je daar weer een ander programma voor nodig?
ik keek pas in de database en verbaasde mij hoeveel records zo’n antivirus aanmaakt. elke keer als er een login poging gedaan wordt of er bestanden worden aangepast of er ip adressen worden opgeslagen gebeurt dat in de database. dat loopt snel op!