Inmiddels draait meer dan 43 procent van alle websites op WordPress. Dit maakt ons favoriete CMS een populair doelwit voor aanvallen en malware. Maar er is geen reden tot paniek! Want WordPress beveiliging is geen hekserij. Naast praktische beveiligingstips presenteren we vandaag de drie beste WordPress beveiligingsplugins en laten we je zien wanneer je ze echt nodig hebt.
Heb ik überhaupt nog een WordPress beveiligingsplugin nodig? Deze vraag wordt regelmatig aan onze Support gesteld. In het volgende artikel wil ik je laten zien welke toegevoegde waarde een beveiligingsplugin heeft voor de beveiliging van je WordPress website en wanneer het echt zinvol is om er een te gebruiken.
In het tweede deel vergelijken we de drie populairste WordPress beveiligingsplugins om je een snel overzicht te geven. Zo kun je snel en gericht een beslissing nemen en je daarna weer bezighouden met de hoofdzaken: je bedrijf.
Waarom WordPress Security zo cruciaal is
In principe zijn er drie belangrijke aspecten waarom je actief met de beveiliging van je WordPress website moet omgaan en niet je kop in het zand moet steken.
#1 Je website kan onbruikbaar worden
Een paar jaar geleden zaten we nog in het web agentschap. Het gebeurde dat we een compleet herontwerp van een site mochten aanpakken omdat de oorspronkelijke site onbruikbaar was geworden door beveiligingsproblemen die voorkomen hadden kunnen worden.
Nu is iemand die malware installeert op sites meestal niet geïnteresseerd in het vernietigen ervan. De aanvaller wil het immers gebruiken om bijvoorbeeld spam te versturen, bezoekers naar spamwebsites te leiden, advertenties in te sluiten of cryptocurrency te genereren. Naast de algemene beperking van de functionaliteit van je website kan malware ook leiden tot aanzienlijke prestatieproblemen.
"*" geeft verplichte velden aan
#2 Blacklisting en crash in Google rankings
Een nog ernstiger punt is tegenwoordig de blacklisting van het domein, vooral door Google of Norton. Als Google je website op de blacklist zet, betekent dat in het ergste geval dat je website uit de zoekresultaten van Google wordt verwijderd.
Het is mogelijk om na een malware-aanval een scan van de site opnieuw in te dienen. Dit garandeert echter niet dat je je eerdere rankings terugkrijgt. Vooral bij belangrijke Money Keywords of veel organisch verkeer kan dit ernstige economische gevolgen hebben.
#3: Verlies van gegevens
Vooral in tijden van AVG, waar het onderwerp gegevensbescherming een nieuwe dimensie heeft bereikt, moeten overeenkomstige gegevens worden beschermd. Terwijl dit voor een normale bedrijfswebsite minder belangrijk is, is het voor een winkelwebsite nog dramatischer als de betalingsgegevens niet voldoende beschermd zijn.
Typische bedreigingen voor de beveiliging van WordPress
Brute force aanvallen op het inloggedeelte
Bij een brute force aanval wordt automatisch een groot aantal wachtwoordcombinaties geprobeerd om toegang te krijgen tot de website via de /wp-admin login van WordPress. Als dit eenmaal gelukt is en het account op je website admin-rechten heeft, is de website bijna volledig in handen van iemand anders.
Onze ervaring bij Raidboxes laat dat zien: Door een sterk wachtwoord te gebruiken en inlogpogingen te beperken, kunnen bijna alle gevallen van malware worden voorkomen. Maar daarover dadelijk meer.
Geautomatiseerde exploitatie van beveiligingslekken
In de regel zijn aanvallen op websites geautomatiseerd. WordPress websites worden automatisch gescand door zogenaamde crawlers, bijvoorbeeld op zoek naar een bepaalde plugin die een beveiligingslek heeft. Bij de aanvallen kunnen verschillende beveiligingskwetsbaarheden worden uitgebuit, zoals SQL-injecties of cross-site scripting.
Handmatige aanvallen
Natuurlijk is het ook mogelijk om een beveiligingslek handmatig uit te buiten. Dit is echter vrij zeldzaam, omdat de moeite alleen loont voor grote WooCommerce shops waar daadwerkelijk betaalgegevens gestolen moeten worden.
8 veiligheidsmaatregelen die wij als hoster bieden
In principe kan gespecialiseerde WordPress hosting de veiligheid van je website aanzienlijk verhogen. In de loop der jaren hebben we het beveiligingsconcept Raidboxes voortdurend uitgebreid, zodat gevallen van malware een absolute zeldzaamheid zijn geworden. In het bijzonder helpt de gedetailleerde analyse van malwaregevallen om veelgebruikte beveiligingskwetsbaarheden op te sporen en met passende maatregelen te voorkomen.
# 1 Sterke wachtwoorden – de belangrijkste veiligheidsmaatregel van allemaal
Een van de allerbelangrijkste veiligheidsmaatregelen is een sterk wachtwoord voor alle accounts. Helaas hebben we als hoster maar beperkte invloed op de toekenning van wachtwoorden. Vooral bij verhuizingen kunnen we maar weinig invloed uitoefenen op de wachtwoorden. Het afdwingen van een sterk wachtwoord bij het aanmaken van een Box (d.w.z. een nieuwe WordPress website) heeft geleid tot een aanzienlijke vermindering van malware-aanvallen.
Ter herinnering
Een wachtwoord moet bestaan uit cijfers, speciale tekens en kleine letters met een minimale lengte van zeven tekens. Als dit bij je WordPress accounts niet het geval is, moet je zeker eerst stap 1 zetten en je wachtwoorden onmiddellijk veranderen.
#2 Bescherming tegen brute force aanvallen
Websites worden bijna een miljard keer per maand aangevallen met de hierboven beschreven brute force aanvallen. Goed als je WordPress hoster hier al voor heeft gezorgd. Onze Login Protection komt voor je WordPress inloggedeelte en "blacklist" IP-adressen die herhaaldelijk proberen in te loggen met valse inloggegevens.
In de instellingen van je Box kun je precies instellen na hoeveel inlogpogingen deze blokkade in werking moet treden en hoe lang de betreffende IP's geblokkeerd zijn. In combinatie met een sterk wachtwoord is het praktisch onmogelijk om op deze manier toegang tot de website te krijgen.
#3 WP Session Eraser
Volgens de AVG moet je zo weinig mogelijk gegevens opslaan. Wij helpen je hierbij! Onze tool voor meer gegevensbesparing – de WordPress Session Eraser – verwijdert de WordPress sessies van al je gebruikers uit de database na een vooraf bepaald interval. Je kunt dit interval voor elke Box afzonderlijk instellen in je Box-instellingen in het Dashboard.
#4 Standaard blokkering van XML-RPC
XML-RPC is een interface die sinds WordPress 3.5 op elke WordPress website beschikbaar is. Omdat de overgrote meerderheid van de webmasters XML-RPC toch niet gebruikt, is het zinvol om deze interface te deactiveren. Want: Hackers kunnen je site rechtstreeks aanvallen via XML-RPC.
Om deze reden is de interface nu standaard geblokkeerd en kan desgewenst worden ingeschakeld via de instellingen in het Raidboxes Dashboard.
#5 Beveiligingsupdates van WordPress
Natuurlijk is het bijwerken van WordPress essentieel. Ongeveer elke 2-3 maanden komen er nieuwe WordPress versies uit. Vooral Maintenance updates dichten belangrijke beveiligingslekken. Deze updates moeten onmiddellijk worden geïnstalleerd.
Major updates houden meestal grote codewijzigingen in, waardoor incompatibiliteiten kunnen optreden. Om voldoende tijd te hebben voor de updates van themes en plugins, rollen we grote updates altijd na 14 dagen uit op ons systeem. Natuurlijk maken we de nieuwste WordPress versie onmiddellijk beschikbaar voor handmatige updates. Natuurlijk is het belangrijk dat je altijd een back-up van je site maakt voordat je gaat updaten!
#6 Selectieve schrijfbeveiliging - WordPress Hardening maatregelen
Een focus van de beveiligingsplugin iThemes Security is om WordPress veiliger te maken door bestanden te beschermen. Dit is bij ons ook selectief geïntegreerd. Dit maakt het moeilijker om elementen van de site te infecteren en onbruikbaar te maken. Er moet altijd een verstandig evenwicht worden gevonden tussen flexibiliteit en veiligheid. We handhaven dit evenwicht door configuratieopties direct via de Raidboxes gebruikersinterface aan te bieden.
Daarnaast gebruiken we natuurlijk ook WordPress best case practices waar die zinvol zijn. Een voorbeeld is het hernoemen van de prefix van de WordPress database. In ons geval is deze niet toegankelijk via de standaard wp_. Het hernoemen van de wp-content map daarentegen, zoals aangeboden door iThemes Security, leidt tot fouten, omdat plugins en thema's er niet mee overweg kunnen.
#7 Beheerde plugin-updates van WordPress
Nu is het tijd om de laatste belangrijke poort naar aanvallen te sluiten: plugins die niet up-to-date zijn. Net als bij WordPress zelf, kunnen beveiligingsproblemen ook voorkomen bij plugins en themes. Niet elke update bevat beveiligingsfuncties. Niettemin, als alle plugins up to date zijn, is de kans op beveiligingslekken aanzienlijk kleiner.
#8 Server-side maatregelen
Alle bovenstaande maatregelen beschermen WordPress zelf. Afgezien daarvan is er natuurlijk een bijna eindeloze lijst van beveiligingsmaatregelen die de server zelf beïnvloeden. Dat begint met Linux updates en eindigt met het regelmatig bijwerken van PHP als basis van WordPress. Wij zorgen voor de automatische update van verouderde PHP-versies (uiteraard met de juiste aanlooptijd en tijd voor testen), zonder dat je daar zelf voor hoeft te zorgen.
Nadelen van WordPress security plugins
Met dit in gedachten wil ik nu kort de nadelen van security plugins bespreken. Sommige daarvan zijn niet onbelangrijk, vooral vanuit het oogpunt van tijd.
Opzet inspanning
Wie denkt dat het simpelweg installeren van een plugin voldoende is, vergist zich. Helaas vereist het instellen van een security plugins ook bepaalde kennis.
Aan de hand van het voorbeeld van de plugin All-in-One Security is hier een goed voorbeeld van. Het is een van de meest populaire gratis plugins, die het .htaccess bestand in hoge mate gebruikt. De plugin herkent echter niet eens of het om een NGINX server gaat. Deze ondersteunt het concept van het .htaccess bestand niet. NGINX wordt echter in de WordPress omgeving gebruikt vanwege zijn flexibiliteit.
Bovendien zijn de beveiligingsmaatregelen weliswaar ingedeeld in moeilijkheidsgraden, wat heel logisch is, maar veel van de door de plugin aangeboden maatregelen zijn minder nuttig. Om de noodzaak van de verschillende maatregelen goed te kunnen beoordelen, moet men zich onvermijdelijk verdiepen in de beveiligingsmaterie.
Onderhoud en ervaren (on)veiligheid
Voor onze test installeerden we verschillende beveiligingsplugins. Een van de plug-ins gebruikte automatisch een in WordPress opgeslagen team e-mailadres en begon e-mails te versturen. Tot grote vreugde van alle teamleden...
Helaas is dit helemaal niet ongewoon. Natuurlijk wil men in bepaalde opzichten op de hoogte blijven. In de meest voorkomende gevallen wordt men echter gewezen op zaken die helemaal geen veiligheidsrisico inhouden. Uiteindelijk voelt u zich onzekerder dan voorheen, omdat u bijvoorbeeld van elke bestandswijziging op de hoogte wordt gebracht en in geval van twijfel moet controleren.
Prestatieproblemen
Standaard biedt elk van de plugins een malware- of beveiligingsscan. De plugin Wordfence stelt deze graag automatisch in op één uur. Dit betekent dat bij twijfel elk uur (!) een scan van je pagina wordt uitgevoerd via een automatisch script (via cronjob). Iedereen die ooit antivirussoftware op zijn computer heeft geïnstalleerd kent het leiden van soms enorme prestatieproblemen.
Dit kan ook een reden zijn waarom "slechts" 2 miljoen van de ruim 90 miljoen downloads uiteindelijk actief bleven.
Kosten
Voor het onderzoek van dit artikel hebben we alleen plugins geëvalueerd die ook in een gratis versie beschikbaar zijn. Toch is het helaas zo dat bij veel WordPress beveiligingsplugins de echt nuttige functies minstens 80 dollar per jaar kosten. Als je ze niet gebruikt, blijf je vaak achter met een gevoel van onveiligheid.
Wanneer is een WordPress beveiligingsplugin echt nuttig?
Voor iedereen die een stap verder wil gaan, volgen hier enkele voorbeelden van gevallen waarin een WordPress beveiligingsplugin nuttig kan zijn. Deze aanbevelingen hebben alleen betrekking op gespecialiseerde WordPress hosting. Omdat andere hosters misschien niet zulke specifieke en uitgebreide beveiligingsmaatregelen hebben, kan een WordPress beveiligingsplugin daar raadzaam zijn. Zoals je ziet is het nauwelijks mogelijk om een algemene uitspraak te doen over het nut van beveiligingsplugins, omdat de eisen en omstandigheden verschillen.
Handmatig hacken bij WooCommerce Shop
Dit is een van de weinige voorbeelden waarbij we daadwerkelijk actief een beveiligingsplugin hebben aanbevolen om de veiligheid van de webwinkel te verhogen. De WooCommerce klant had de indruk dat hij handmatig werd aangevallen, wat, zoals hierboven beschreven, zeer zeldzaam is.
In dit geval kon hij met behulp van Wordfence en zijn logfunctie om snel het bijbehorende IP-adres te identificeren en het vervolgens te blokkeren. De aanval kon zo effectief worden gestopt.
Hoe groter het aantal plugins, hoe groter de kans op beveiligingsrisico's. Vooral als er geen tool gebruikt wordt voor het updaten, blijven bestaande beveiligingslekken lang onopgemerkt in het systeem en bieden ze een aanvalsoppervlak. Vooral in WooCommerce winkels is het aantal plugins meestal hoog door de aard van WooCommerce en zijn de gegevens tegelijkertijd gevoeliger. Daarom moet hier een beveiligingsplugin overwogen worden.
De drie beste security plugins voor WordPress
In het volgende wil ik kort uitleggen waarom we ons beperken tot slechts drie plugins en niet tien – of zelfs de beste 101 WordPress security plugins presenteren.
Als het gaat om beveiligingsplugins, beperken we ons tot de top 3 WordPress plugins wereldwijd. We keken ook naar andere security plugins, zoals All In One WP Security & Firewall, de populairste puur gratis plugin (zonder premium versie) met 800.000+ gebruikers. De bruikbaarheid en deels de aanbevolen maatregelen overtuigden ons echter niet. Tegelijkertijd kan het alleen gebruikt worden op Apache webservers.
Het gaat over de laatste meters
Omdat we de plugins meer zien als een aanvulling op een al veilige WordPress hosting, is het doel om de laatste 0,1 procent beveiligingsrisico's af te dekken. We beperken ons dus tot de professionele plugins, die veel gebruikers hebben.
Maar deze selectie van plugins is ook zeer relevant voor andere, niet gespecialiseerde hosters. Hier moet je sowieso intensiever omgaan met het onderwerp WordPress beveiliging.
Snelle beslissingsondersteuning
Tegelijkertijd is het voor ons belangrijk om een snelle beslissingshulp te bieden. Naar onze mening is dit niet meer mogelijk met een presentatie van tien Plugins , aangezien dan alle tien Plugins aan het eind opnieuw moeten worden geëvalueerd. Met drie Plugins met verschillende focus, is de beslissing hier gemakkelijker.
Beperking tot All-In-One Plugins
Natuurlijk zijn er talloze plugins die afzonderlijke functies overnemen, bijvoorbeeld het beperken van de inlogpogingen (Limit Login Attempts). Maar zelfs functies die de plugins alleen in de PRO-versies bieden, kunnen via afzonderlijke plugins worden opgelost. Het beste voorbeeld is deze plugin voor 2-factor authenticatie.
Distributie en gegevens zijn belangrijk voor firewalls
Firewalls passen bepaalde regels toe om te detecteren of iemand kwaadwillig handelt of gewoon de site bezoekt. Als iemand probeert de site binnen te komen, wordt hij geblokkeerd. Vooral de regels zijn gebaseerd op kennis van bestaande beveiligingslekken. Tegelijkertijd is het gemakkelijker om netwerken van aanvallers op te sporen als er 2 miljoen pagina's in het beheer zijn en ze voor alle andere pagina's te blokkeren dan wanneer er 10.000 pagina's zijn. Daarom speelt distributie een rol voor security plugins.
Je persoonlijke favorieten zijn welkom
Dit betekent niet dat er geen andere geweldige plugins zijn voor meer WordPress beveiliging. Noem gerust je persoonlijke favorieten in de reacties. Zo zorgen we voor nog meer gelijke kansen voor nieuwe innovatieve benaderingen.
De drie beste security plugins op een rij
| Website van de Plugins | Wordfence | iThemes Security | Sucuri Security |
| Download link | Download | Download | Download |
| Features | Hier | Hier | Hier |
| Actieve installaties | 3+ miljoen | 900.000+ | 700.000+ |
| Talen | Engels | 16 talen (ook DE) | Engels, Spaans |
| Getest met de laatste WordPress versie | Ja | Ja | tot 5.3.4 |
| Aantal beoordelingen | 3,572 | 3,830 | 338 |
| Waardering (vijf sterren) | 4,8 | 4,7 | 4,4 |
| Gratis versie | Ja | Ja | Ja |
| Premium (jaarlijkse licentie) | vanaf $99 | vanaf $80 | $199,99 |
| Malware verwijderen vanaf | $286.40 | niet aangeboden | inbegrepen in licentie |
In het overzicht wordt duidelijk dat elk van de plugins een zeer hoge verspreiding heeft en goed beoordeeld wordt. Niettemin is Wordfence de onbetwiste marktleider en ook qua prijs-prestatieverhouding goed uitgebalanceerd. Bij Sucuri betaal je direct voor het verwijderen van malware, maar hier kunnen de prijzen oplopen tot 500 dollar per jaar , vooral door een snellere service en frequentere scans. Bij Wordfence wordt professionele malwareverwijdering aangeboden als een optionele dienst. Het hangt dus af van je behoeften.
Het is belangrijk om te weten dat het vrij onwaarschijnlijk is om malware te vangen met sterke WP gebruikerswachtwoorden. Naar onze mening heeft het daarom weinig zin om het verwijderen van malware direct als dienst aan te schaffen.
Bij Wordfence krijg je in de gratis versie direct toegang tot het hele firewall spectrum, in tegenstelling tot bijvoorbeeld iThemes Security, waar informatie van het netwerk alleen toegankelijk is in de PRO versie.
Een belangrijk punt dat ook niet onderschat mag worden: Wordfence is in ons voorbeeld de enige onafhankelijke provider die alleen gespecialiseerd is in de beveiliging van WordPress. Sucuri maakt nu deel uit van de GoDaddy groep en ook iThemes is gekocht door een ander hostingbedrijf. Ze zijn ook actief op diverse andere gebieden, zoals thema-ontwikkeling. Achter Wordfence zit het beveiligingsbedrijf Defiant.
Tussentijdse samenvatting
Onze aanbeveling voor de beveiligingsplugin is daarom heel duidelijk Wordfence. De gratis versie van de plugin biedt al een uitgebreide firewall en richt zich op de twee kernonderwerpen die een WordPress beveiligingsplugin moet bieden: een firewall en security scans.
Verder is het snel in te stellen, overzichtelijk en niet verwarrend, zoals bij andere plugins gebeurt met al te technische informatie.
Om prestatieproblemen te voorkomen moet onder de scanopties "Low Resource Scanning" gebruikt worden. Omdat IP-adressen worden verwerkt, moet jeeen AV afsluiten met Wordfence.
In het volgende ga ik nogmaals in detail in op de afzonderlijke kerngebieden van een WordPress beveiligingsplugin om de verschillen tussen de plugins duidelijk te maken.
De belangrijkste plugin functies in vergelijking
Controle en scans
| Wordfence | iThemes Security | Sucuri | |
| veiligheidsscans | Ja | Ja | Ja |
| Geplande beveiligingsscans | Alleen Pro versie | Alleen Pro-versie | Alleen Pro-versie |
| Identificatie van malware | Ja | Ja | Ja |
| Identificatie van anomalieën in de beveiliging | Ja | Ja | Ja |
| Blacklist monitoring | Alleen Google Safe Browsing | Blacklist status check | Ja |
| Bestandswijzigingen | Ja | Ja | Ja |
| DNS monitoring | Ja | Onduidelijk | Ja |
| SSL monitoring | Nee | Ja | Ja |
| Meldingen | Ja | Ja | Ja |
| Spamcontrole | Alleen Pro versie | Ja | Ja |
| beveiligingslogboeken | Ja | Ja | Basis |
Een essentieel onderdeel van een WordPress beveiligingsplugin is het controleren of de website gecompromitteerd is. Omdat er geen uniform gebruik van termen is en er vaak verschillende begrippen en verklaringen worden gebruikt voor dezelfde inhoud, is het erg moeilijk om een redelijke vergelijking te maken. De tabel hierboven zou hier een overzicht moeten geven.
Elke plugin biedt een scanfunctie
Hoewel beveiligingsscans, identificatie van malware, identificatie van beveiligingsafwijkingen of bestandswijzigingen vaak apart worden genoemd, betekenen ze hetzelfde. De vergelijking van bestanden wordt gebruikt om te controleren of er malware op de pagina aanwezig is. In onze ervaring kan het voorkomen dat een onopvallende test bij Sucuri toch betekent dat er malware op de site te vinden is als er meer gedetailleerde scans worden uitgevoerd of de afzonderlijke bestanden worden bekeken.
iThemes Security gebruikt gewoon de API van Sucuri. Het resultaat van zowel Sucuri als iThemes is niets anders dan de gratis sitecheck, die ook op de website van Sucuri te vinden is.
Verschillen bij Blacklist Monitoring
Naast de scans is Blacklist Monitoring een belangrijke factor, vooral voor de hierboven beschreven rankingverliezen. Hier controleert Wordfence naar eigen zeggen alleen de Google Safe Browsing status. Als een website hier verschijnt, is het in principe al te laat. De website wordt hoogstwaarschijnlijk als eerste uit de zoekresultaten gegooid. iThemes Security en Sucuri controleren hier direct verschillende blacklists. Het resultaat is niettemin identiek. Als de website op de Blacklist verschijnt, is het al te laat. Deze scans zijn juist gemaakt om dit te voorkomen.
Een uitgebreide zwarte lijst controle is alleen beschikbaar bij Wordfence in de Premium versie. Hier wordt ook gecontroleerd op het punt van spamreclame, die gemakkelijk extern te herkennen is en belangrijk is voor Google.
Geringe relevantie van DNS-bewaking
Wij achten de kenmerken van DNS- en SSL-bewaking van weinig belang. Ons is geen enkel geval bekend waarin DNS- of SSL-wijzigingen werden aangebracht om criminele activiteiten te onderzoeken.
Wordfence scores met de beveiligingslogs
De basis van een WordPress beveiligingsplugin moet zijn om logins verstandig weer te geven. Dit geldt voor alle plugins. Wordfence gaat hier een paar stappen vooruit met zijn live traffic monitoring. Niet alleen worden logins herkend, maar het traffic wordt dienovereenkomstig gecategoriseerd. Op deze manier kunnen crawleractiviteiten of menselijk gedrag met betrekking tot beveiligingsaspecten worden getraceerd. De tool is daarom ideaal om bijvoorbeeld handmatige hacks te voorkomen.
Conclusie in deze categorie
De scankwaliteit is moeilijk te beoordelen en zou via testcases geëvalueerd moeten worden. iThemes Security en Sucuri hebben een betere blacklistbewaking. De scan zou echter moeten voorkomen dat de pagina toch op de zwarte lijst terechtkomt. Als het gaat om monitoring is de live traffic functie van Wordfence een groot pluspunt.
Bescherming in combinatie met firewalls
| Wordfence | iThemes Security | Sucuri | |
| Web Application Firewall (WAF) | Beperkt | 404 Detection | Ja |
| Intrusion Detection System (IDS) | Ja | Nee | Ja |
| DDoS-bescherming | Nee | Nee | Ja |
| Brute Force Bescherming | Ja | Ja | Ja |
| Blokkeren van hackpogingen | Ja | Gedeeltelijk | Ja |
| Bescherming tegen zero-day exploits | Onduidelijk | Nee | Ja |
| Enkele paginabescherming | Nee | Nee | Ja |
| Heuristic Correlation Algorythmus | Onduidelijk | Nee | |
| Load Balancing / Failover | Nee | Ja | Ja |
| landenblokkering | Ja | Nee | Nee |
| Geavanceerde handmatige blocking | Ja | Nee | Nee |
iThemes zonder goede firewall
Als het gaat om firewalls worden de verschillen tussen de plugins bijzonder duidelijk. De benaderingen van het onderwerp zijn fundamenteel verschillend. Strikt genomen gebruikt iThemes-Security geen echte firewall. Je zou de 404-detectie een eerste benadering kunnen noemen. Deze kijkt of een crawler veel 404-fouten genereert en blokkeert die.
Sucuri inclusief volledig CDN
Terwijl je voor Wordfence alleen een plugin hoeft te installeren om de firewall te gebruiken, vereist Sucuri dat je de naamserver of een A-record in de DNS-instellingen wijzigt. In plaats daarvan is het een volledig cloud-gebaseerde oplossing, inclusief een CDN (Content Delivery Network), die ook DDoS-aanvallen kan voorkomen. Bij een DDoS-aanval wordt vaak een botnet gebruikt om een site te bestoken met verzoeken totdat de site niet meer bereikbaar is omdat de server het opgeeft.
De aanpak van Sucuri leidt er ook toe dat, in tegenstelling tot Wordfence werkt met loadbalancers. Al met al zijn bij Sucuri bepaalde termen als "Heuristic Correlation Algorithmus" eerder een marketingformulering en is het onduidelijk of dit een werkelijke meerwaarde is, want Wordfence vermoedelijk ook werkt met heuristische methoden. Wie echter alleen een CDN nodig heeft, zou dit ook gratis kunnen realiseren via Cloudflare.
Wordfence met meer configuratiemogelijkheden
Met Sucuri lopen veel zaken automatisch en zonder tussenkomst van de gebruiker. Aan de andere kant kan hier blijkbaar minder geconfigureerd worden. Met Wordfence kun je expliciet IP's van individuele landen blokkeren en je kunt ze ook handmatig blokkeren. Dit is vooral handig voor handmatige hacks.
WordPress Veiligheidsmaatregelen
| Wordfence | iThemes Security | Sucuri | |
| Database back-ups | Nee | Ja | Nee |
| WordPress veiliger maken | Nee | Ja | Nee |
| informatie verbergen | Nee | Ja | Nee |
| Schrijfbescherming | Nee | Ja | Nee |
| Wachtwoordmanagement | Nee | Ja | Nee |
| Two Factor Authentication | Premium | Premium | Nee |
iThemes Security richt zich op de beveiligingsmaatregelen binnen WordPress, zoals de tabel laat zien. In totaal worden hier 30 verschillende punten doorgewerkt, waarvan de meeste zeer zinvol zijn. Veel van de punten zijn dan ook al opgenomen in onze hosting.
iThemes Security is daarom een prima manier om meer beveiliging op WordPress-niveau toe te voegen aan een "onveilige" generieke hosting. De gratis versie biedt al uitgebreide bescherming. In de premium versie is de 2-factor authenticatie het benadrukken waard.
Aangezien Wordfence en Sucuri zich richten op het "afschermen" van de pagina. Zijn ze op deze punten nogal zwak.
Malware en prestatieverwijdering
| Wordfence | iThemes Security | Sucuri | |
| Hack Schoonmaak & Malware Verwijdering | Optioneel | Onvindbaar | Optioneel |
| Blacklist waarschuwing verwijdering | Optioneel | Onvindbaar | Optioneel |
| Malware Removal Request Limit | Optioneel | Onvindbaar | Optioneel |
| Automatische clean-up | Gedeeltelijk | Onvindbaar | Gedeeltelijk |
| Security Analyst Escalation | Optioneel | Onvindbaar | Optioneel |
| Volledige opschoning van de website | Optioneel | Onvindbaar | Optioneel |
| De beveiligingslekken dichten | Optioneel | Onvindbaar | Optioneel |
| back-ups | Nee | Onvindbaar | Ja |
| Post-Cleanup Report | Optioneel | Onvindbaar | Optioneel |
| Full Log and Incident Report | Optioneel | Onvindbaar | Optioneel |
| Root Cause Follow Up | Optioneel | Onvindbaar | Optioneel |
Laten we tot slot eens kijken naar het verwijderen van malware. Hier zijn de prijzen voor Sucuri en Wordfence vergelijkbaar. Beide rekenen extra voor een snellere verwerking. De diensten die hier worden aangeboden zijn identiek. Bij iThemes kon ik geen malware verwijdering service ontdekken. Een malware verwijdering kan 2-3 uur duren, met echter grote schommelingen. Omdat wij ook malware verwijdering uitvoeren, worden de prijzen als eerlijk beschouwd.
En hoe zit het met de performance?
Tot slot een opmerking over de prestaties. Je zou dit niet verwachten in een vergelijking van beveiligingsplugin's. Maar omdat Sucuri een CDN en een firewall in één biedt, kan het ook de prestaties verbeteren, vooral voor internationale bezoekers. Met een CDN wordt de website altijd geleverd vanaf de volgende server, wat vooral voor overzeese bezoekers voordelen heeft. Voor een WooCommerce shop met weinig cacheerbare inhoud is het echter minder doorslaggevend.
"*" geeft verplichte velden aan
Onze conclusie
Dus wat is de algemene conclusie over het onderwerp WordPress beveiliging? Onze persoonlijke conclusie kan goed worden samengevat door het volgende feit: Wij gebruiken geen beveiligingsplugin voor onze eigen Raidboxes website. We hebben nog nooit een beveiligingsplugin gebruikt en nog nooit problemen gehad. Dit alles ondanks het feit dat onze website voor ons van absoluut centraal belang is. Uitgebreide klantgegevens worden echter niet opgeslagen op onze WordPress website. Voor ons was het risico van prestatieverlies door uitgebreide scanmaatregelen te groot en wogen de nadelen niet op tegen de voordelen.
Niettemin verhoogt een firewall de veiligheid van de website. Daarom zou iedereen die maximale beveiliging nastreeft en bereid is de nadelen in termen van prestaties en tijdsbesteding te accepteren, een beveiligingsplugin moeten gebruiken.
Vooral voor WooCommerce webwinkels of kwetsbare websites die misschien al problemen met malware hebben gehad, kan een WordPress beveiligingsplugin nuttig zijn. Onze aanbeveling luidt daarom als volgt:
Wordfence als de beste gratis oplossing
Als je een echt stevige firewall met uitgebreide monitoring wilt, dan is Wordfence een uitstekende keuze. Het is niet voor niets de populairste WordPress beveiligingsplugin ter wereld. De premium versie vult de functionaliteit precies en verstandig aan. Bij het implementeren van de plugin is het belangrijk dat de scans goed worden ingesteld om prestatieproblemen te voorkomen.
iThemes beveiliging voor generieke hosters
iThemes Security voert echt nuttige beveiligingsmaatregelen uit op de website, vooral wat betreft WordPress zelf. Voor websites met generieke hosters is het een geweldige manier om het beveiligingsniveau te verhogen zonder uitgebreide scans en firewall, zelfs in de gratis versie.
Sucuri voor CDN
Als je toch overweegt een CDN te gebruiken en als het onderwerp DDoS-aanvallen relevant is, dan is Sucuri aan te bevelen. Het enige wat overblijft is de wat flauwe nasmaak van het GoDaddy-concern.
Hoeveel (vermeende) veiligheid heb je nodig?
Hoe ga je om met de kwestie van de beveiliging van WordPress? Vertrouw je op de beveiligingsmaatregelen van je hoster of laat alleen een WordPress beveiligingsplugin je rustig slapen? Zoals altijd kijken we uit naar je commentaar!
