WordPress beveiligen: welke plugin? WordFence, Ithemes Security, Sucuri Security en BulletProof Security

21 oktober 2016 WordPress Support Geen reacties

WordPress beveiligen: welke plugin?

beveiliging_alleswp_blog

Over WordPress beveiligen heb je vast al al meer gelezen of gehoord. De meest gestelde vraag is: Welke plugin moet ik hebben voor goede WordPress beveiliging  van mijn WordPress Website? Als je vooral geïnteresseerd bent in een kort antwoord: Neem de WordFence Plugin, je behoedt je dan vrij simpel tegen een hoop gedoe en helpt je op weg.

Een langer antwoord liever? Over het algemeen zijn de meeste 'bekende' beveiliginsplugins niet slecht. Ze zijn gemaakt door betrouwbare developers en worden regelmatig geupdate. Ze verschillen soms echter wel behoorlijk in de manier waarop ze je WordPress installatie beschermen. Die verschillen zullen je misschien niet direct zo veel interesseren, zolang het z'n werk maar doet. Toch zijn de verschillen zo groot dat het interessant is om hier meer van te begrijpen, opdat je de juiste keuze kan maken voor jouw WordPress installatie die past bij je wensen en technische kennis.

De volgende oplossingen worden vergeleken: Wordfence, Ithemes Security,  Sucuri Security en BulletProof Security. Er wordt niet ingegaan op de mogelijheden van elke plugin, want vergelijkingslijstjes zijn er al genoeg te vinden op internet. En soms is het een beetje appels en peren vergelijken. Wel wordt een beeld geven van de algemene aanpak van zo'n plugin om beveiliging te bewerkstelligen.

WordPress beveiligen met WordFence

WordFence is een goede instap-oplossing in termen van settings. De settingspagina mag dan nog steeds veel opties bieden en overweldigend lijken, maar in grote lijnen legt de plugin vooral de nadruk op het scannen van je files op eventuele hacks, injections of mogelijk gevaarlijke code. De meeste extra tabs die je ziet bij de instellingen zijn gericht op premium addon mogelijkheden die je niet direct nodig hebt voor standaard beveiliging. Na installatie checkt de plugin direct of je site mogelijk problemen bevat in termen van hacks, injections, malware. Het is een echte scanner plugin.

Verder blokt het IP adressen van site requests die WordFence als gevaarlijk of discutabel kwalificeert. Ook bescherming tegen nieuwe  inbraakpogingen horen daar bij, bv de bekende  Brute Force Attacks. Dat is kortweg het herhaaldelijk proberen in te loggen met verschillen paswoorden om zo toegang te krijgen. Dit is iets wat elke plugin tegenwoordig trouwens haast standaard biedt.

De plugin baseert zich verder onder meer op blacklists van serveradressen die bekend staan WordPress Sites aan te vallen en beschermt je hiertegen bij voorbaat. Daarnaast kan je  allerlei alerts instellen die je per mail vertellen dat er mogelijk iets mis is met WordPress installatie en biedt de plugin een handvol belangrijke functies om je WordPress site in het algemeen wat veiliger te maken.

Sinds een tijdje heeft Wordfence iets moois toegevoegd aan de beveiliging. Het heet een WAF en is kortgezegd een Firewall die je om je installatie heen zet, een extra beveilingsoptie dus. Die firewall is slim en in staat patronen van recent ontdekte hacktpatronen te herkennen, zodat hacks 'in the wild' eerder herkend worden. Het is een beetje vergelijkbaar met een virusprogramma op je computer dat je regelmatig moet updaten met de nieuwste virusdefinities. Betalende klanten krijgen die hackpatronen wel een maand eerder tot hun beschikking dan de niet-betalers. Meestal is dit nog steeds vroeg genoeg, maar als je echt topbeveiliging wil voor de allerlaatste hackgrillen is een abonnement op WordFence misschien een goed idee.

Wordfence link

WordPress beveiligen met Ithemes Security

Ithemes Security heeft van oorsprong een wat andere opzet als het gaat om beveiliging. De plugin werd een paar jaar geleden ontwikkeld als een set van 20-30 verschillende speerpunten om beveiliging te verbeteren. In die zin is Ithemes Security veelzijdig en je kan veel zelf finetunen en zelf bepalen wat je 'aan,- of uitzet' aan beveiligingsmogelijkheden, zie het als een set van mini plugins die je kan activeren en elk hun eigen specialiteit hebben.

Bovendien is Ithemes zeer compleet met extra opties als goede Brute force protectie en het aanpassen van het adres de login pagina van WordPress naar een ander adres dat lastiger te vinden is voor hackers. WordFence gelooft dan bijvoorbeeld weer niet zo in een aanpassing en biedt deze laatste functie niet en past een wat andere strategie toe. Ithemes biedt allerlei geavanceerde aanvullende mogelijkheden om je website veiliger te maken. Keerzijde daarvan kan zijn dat je het ook té veilig kan maken met als gevolg dat er nieuwe problemen kunnen ontstaan. Denk aan links vanaf facebook naar je site die niet goed kunnen werken als je dit niet goed instelt of scripts die niet goed draaien omdat ze te goed beveiligd worden.

Ithemes Security link

WordPress beveiligen met Sucuri Security

Sucuri Security is ontwikkeld door een bekend bedrijf dat gespecialiseerd is en aanzien heeft in website beveiliging (ook niet WordPress sites) door het toepassen van een firewall, zoals ook WordFence dat dat doet, maar dan ietsje anders en op hoger niveau. Sucuri beveiligt niet aan de directe voordeur van je website zoals Wordfence dat doet, maar staat al aan het begin van je oprijlaan om gespuis niet eens in je buurt laten komen, zodat je je bij je voordeur niet meer hoeft af te vragen of het goed of slecht volk is. Je betaalt hier wel maandelijks voor. De gratis versie biedt die Firewall mogelijkheid namelijk niet, maar desondanks is het wel  een prima plugin voor standaard beveiliging en interessant genoeg om te overwegen.

Sucuri bevat een erg goede scanner om je website te checken op hacks en injections. Worfence biedt deze ook, maar de scanner van Sucuri is misschien wat preciezer in zijn bevindingen bij problemen (al timmert Wordfence hard aan de weg om net zo goed te zijn).  Sucuri kan je daarnaast precies laten zien welke files zijn gewijzigd door mogelijke injections en je hier een email over sturen met een duidelijk overzicht. De andere twee plugins doen weliswaar ook zoiets, maar ook hier is met name Sucuri erg goed in.

Sucuri biedt daarnaast een aantal settings om veiligheid verder op te voeren, maar de functies kunnen net als bij Ithemes soms ook zorgen dat je zaken te goed beveiligt en ze zitten net wat meer verstopt. Kortom, een topplugin, maar niet de meest simpele misschien voor de beginner en de gratis versie is toch net iets minder compleet.

Sucuri Security - Auditing, Malware Scanner and Security Hardening link

WordPress beveiligen met Bullet Proof Security

Tenslotte is er Bullet Proof Security, een plugin die al jaren een rots in de branding is als het om beveiliging gaat en een zeer grote schare fans heeft. Bullet Proof Security is anders, maar wel erg goed in wat ie moet doen. Niet iedereen vindt het prettig werken.

In tegenstelling tot de bovenstaande plugins richt Bullet Proof zijn pijlen zo ongeveer volledig op het dichttimmeren van beveiliging van één bestand, de .htaccess. Dat is min of meer het eerste bestand dat altijd gelezen wordt in elke map van je WordPress installatie die van buitenaf (dus in je public_html staat) gelezen kan worden. In deze file wordt precies verteld aan de buitenwereld wie er wel en niet welkom is. Bullet Proof zorgt ervoor dat die file in elke map aanwezig is, zodat alle verkeer naar elk mogelijk bestand in elke mogelijke map eerst langs een .htaccess bestand moet dat is dichtgetimmerd door Bullet Proof. WordPress beveiligen via deze aanpak is zeer goed en volledig, echter kan ook hier de beveiliging soms zo goed zijn dat bepaalde zaken geblokt worden die nodig zijn voor goede werking van plugins of theme. De plugin bevat erg veel beveiligingsmogelijkheden voor een gratis plugin en kan daarom al snel wat ingewikkeld overkomen.

Laat je niet afschrikken door alle teksten en configuratie buttons, want zolang je de wizards volgt  die je simpel kan aanklikken en niet te onzeker bent om wat technische stappen te ondernemen, kan dit een mooie oplossing zijn en valt het mee.

BulletProof Security link

Te goed beveiligen kan ook

Er is dus  geen goede of foute keuze. Wel kan het zo zijn dat met name bij meer geavanceerde installaties met webwinkels, member area's of meertaligheid je goed moet opletten welke beveiliging en met name welke functies daarbinnen je wel en niet kan gebruiken. Daarnaast moet je de plugin enigszins begrijpen, anders kan je je WordPress installatie mogelijk breken.

Er komen regelmatig vragen binnen dat met name bij dit soort sites beveiliging soms roet in het eten gooit. Een veel gezien probleem is het blokkeren van het uitvoeren van PHP  scripts die geïnstalleerd worden in de upload folder van WordPress. De meeste beveiligings plugins bieden die optie aan. En alhoewel een PHP script daar ook niet altijd direct hoort, kan het blokkeren ervan toch leiden tot problemen. Bedenk dus nogmaals dat je beveiliging te hard opschroeven soms nieuwe problemen geeft met betrekking tot bereikbaarheid of juiste werking van bepaalde plugins. In die zin kan juist Ithemes handig zijn, omdat je makkelijk onderdelen aan of uit kan zetten. Daarentegen kan zo'n plugin ook juist verwarrend werken, omdat Ithemes zoveel mogelijkheden beidt en je al snel lang aan het zoeken bent waar het probleem zit.

Er zijn trouwens meerdere goede beveilingsplugins die dan vaak wat gerichter één probleem extra goed aanpakken. Afhankelijk van je installatie of probleem zal AllesWP die soms adviseren of installeren.  AllesWP houdt zich dagelijks bezig met onderhoud en bouw van WordPress Websites in Nederland en België en gebruikt vaak een van bovenstaande oplossingen voor haar klanten. .

Zorg er ook voor dat je je WordPress installatie up to date houdt. Dus Theme, Framework, WordPress, Plugins, àlles! Want een up to date beveiliginsplugin op een veroudere installatie betekent niet dat je toch veilig bent. AllesWP kan je ook hier bij helpen. Lees ook dit artikel getiteld ''De overig WordPress updates die je vergeet" dat AllesWP hier over schreef.

Nog een tip: mocht je desondanks ècht niet kunnen updaten kan een oplossing met een Sucuri Firewall abonnement (tijdelijk) uitkomst bieden.
Nog een vraag: Veel klanten vragen of het een goed idee is om meerdere plugins naast elkaar te gebruiken. Soms kan dat, soms niet. Wat nu kan, kan misschien na een update weer niet. Michael Bely van Research as a hobby heeft hier vorig jaar een zeer uitgebreid artikel over geschreven, met name interessant voor de die-hards.

Samenvattend: WordPress beveiligen kan met verschillende plugins. Kies eentje die bij je past.  AllesWP kan je hier bij helpen en soms kan je het prima zelf doen. Er zijn meerdere goede oplossingen. WordPress beveiligen met WordFence kan een goede instapskeuze zijn. Wat je ook kiest; vergeet niet de plugin goed te configureren. Een niet goed geconfigureerde beveiligingsplugin kan je een vals gevoel van veiligheid geven en bovendien voor allerlei nieuwe problemen zorgen. En dat was nou juist niet de bedoeling.

Tags:

Related Posts

Leave a Reply

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

AllesWP draait op WordPress en gebuikt cookies voor juiste werking van de site. Ga je hiermee akkoord? Klik dan op Accepteren. Indien je niet akKoord gaat zullen sommige onderdelen mogelijk niet goed werken. Meer informatie

Cookies



Zie ook de link naar ons privacybeleid, te vinden rechtsonder op elke pagina van deze website.
Deze website draait op WordPress, een CMS (content management systeem) dat is ontwikkeld door Automattic. Tijdens je bezoek maakt WordPress gebruik van een cookie om te controleren of cookies door je browser worden ondersteunt. Deze cookies worden niet gebruikt voor analyses en zijn puur functioneel. WordPress voldoet aan de richtlijnen uit de AVG (GDPR). We wijzen je derhalve ook op de algemene voorwaarden van Automattic.

Deze website maakt gebruik van Google Analytics, een webanalyse-service die wordt aangeboden door Google Inc. Google Analytics maakt gebruik van cookies te analyseren hoe gebruikers de site gebruiken. Deze gegevens worden geanonimiseerd opgeslagen. Google Inc. voldoet aan de richtlijnen uit de AVG (GDPR). We wijzen je derhalve ook op de algemene voorwaarden van Google Inc.

Waneer je een van onze contactformulieren invult, wordt deze informatie opgeslagen in ons helpdesksysteem genaamd ZenDesk, een veilig online systeem voor supporthandeling dat voldoet aan de AVG (GDPR_.. Vanuit ZenDesk kunnen onze supportmedewerkers snel antwoord geven op de door jouw gestelde vragen.

Deze website maakt gebruik van Google Tag Manager, een webanalyse-service die wordt aangeboden door Google Inc. Google maakt gebruik van cookies te analyseren hoe gebruikers de site gebruiken. Deze gegevens worden geanonimiseerd opgeslagen. Google Inc. voldoet aan de richtlijnen uit de AVG (GDPR). We wijzen je derhalve ook op de algemene voorwaarden van Google Inc.

Deze website maakt gebruik van Zopim Webchat, een chat applicatie die wordt aangeboden door Zopim.com en maakt gebruik van cookies te analyseren hoe gebruikers de site gebruiken. Deze gegevens worden geanonimiseerd opgeslagen. Zopim voldoet aan de richtlijnen uit de AVG (GDPR). We wijzen je derhalve ook op de algemene voorwaarden van Zopim.

Deze website maakt gebruik van HotJar, een webanalyse-service die wordt aangeboden door Hotjar.com Hotjar maakt gebruik van cookies te analyseren hoe gebruikers de site gebruiken. Deze gegevens worden geanonimiseerd opgeslagen. Hotjar voldoet aan de richtlijnen uit de AVG (GDPR). We wijzen je derhalve ook op de algemene voorwaarden van Hotjar.

Sluiten