WordPress-veiligheid: hoe nuttig zijn beveiligingsplugins echt?

Johannes Benz Laatst bijgewerkt op 11.03.2021
16 Min.
WordPress  Beveiliging Beveiliging Plugins

In de tussentijd, meer dan 38 procent van alle websites draaien op WordPress . Dit maakt van ons favoriete CMS een populair doelwit voor hackers en malware. Maar er is geen reden tot paniek! Omdat WordPress beveiliging geen hekserij is. Naast praktische beveiligingstips hebben we vandaag de drie beste WordPress securityPlugins in de tas en laten we zien wanneer je die echt nodig hebt.

Heb ik nog steeds een beveiliging nodigPlugin? We krijgen deze vraag regelmatig in de support. In het volgende artikel wil ik u laten zien welke toegevoegde waarde een beveiligingPlugin heeft voor de beveiliging van uw WordPress site en wanneer het echt zinvol is om er een te gebruiken.

In het tweede deel vergelijken we de drie populairste WordPress -security-Plugins om u een snel overzicht te geven. Zo kunt u gericht en snel een beslissing nemen en u vervolgens wijden aan het wezenlijke: uw bedrijf.

Waarom WordPress beveiliging zo cruciaal is

In feite zijn er drie belangrijke redenen waarom u de beveiliging van uw WordPress site actief moet aanpakken en niet uw kop in het zand moet steken.

#1 Uw website kan onbruikbaar worden

Een paar jaar geleden zaten we nog in de uitzendbranche. Het gebeurde dat we een volledig herontwerp van een site mochten aanpakken omdat de oorspronkelijke site onbruikbaar was geworden door veiligheidsproblemen die vermeden hadden kunnen worden.

Nu, iemand die malware installeert op pagina's is meestal niet geïnteresseerd in het vernietigen ervan. De aanvaller wil immers spam versturen, bezoekers naar spampagina's leiden, advertenties insluiten of cryptocurrency genereren. Naast de algemene beperking van de functionaliteit van uw site, kan malware ook leiden tot aanzienlijke prestatieproblemen.

#2 Blacklisting en crash in Google rankings

Een nog ernstiger probleem in deze tijd is het op een zwarte lijst plaatsen van het domein, vooral door Google of Norton. Als Google uw website op een zwarte lijst plaatst, betekent dit in het ergste geval dat uw website uit de zoekresultaten van Google wordt verwijderd.

Het is mogelijk om na een malware-aanval opnieuw een scan van de site uit te voeren. Dit garandeert echter niet dat u uw vorige rangschikking terugkrijgt. Vooral voor belangrijke geldzoekwoorden of veel organisch verkeer kan dit ernstige economische gevolgen hebben.

#3: Verlies van gegevens

Vooral in tijden van AVG, waar het thema gegevensbescherming een nieuwe dimensie heeft bereikt, is het belangrijk de gegevens van uw gebruikers te beschermen. Hoewel dit voor een gewone bedrijfssite minder belangrijk is, is het voor een winkelsite nog dramatischer als de betalingsinformatie niet voldoende beschermd is.

Typische bedreigingen voor de veiligheid van uw WP site

Brute Force Aanvallen op het login-gebied
In het geval van een Brute Force aanval een groot aantal wachtwoordcombinaties wordt automatisch geprobeerd om toegang te krijgen tot de site via de /wp-admin login van WordPress . Zodra dit is bereikt en de WordPress gebruiker admin-rechten heeft, is de website bijna volledig onder controle van de aanvaller.

Onze ervaring op RAIDBOXES toont dat aan: Door een sterk wachtwoord te gebruiken en het aantal inlogpogingen te beperken, kunnen bijna alle gevallen van malware worden vermeden. Maar daarover dadelijk meer.

Geautomatiseerde exploitatie van veiligheidslekken
In de regel zijn aanvallen op websites geautomatiseerd. WordPress pagina's worden automatisch gescand door zogenaamde crawlers, bijvoorbeeld naar een specifieke Plugin, die een beveiligingslek bevat. Bij de aanvallen kunnen verschillende veiligheidslekken worden uitgebuit, zoals in het geval van SQL-injecties of Cross-Site-Scripting.

Handmatige aanvallen
Natuurlijk is het ook mogelijk om een beveiligingslek handmatig uit te buiten. Dit is echter vrij zeldzaam, aangezien de inspanning alleen de moeite waard zou zijn voor grote WooCommerce winkels waar bijvoorbeeld daadwerkelijk betalingsgegevens moeten worden gestolen.

8 veiligheidsmaatregelen die wij als hoster bieden

In principe kan de veiligheid van uw website WordPress Hosting kan de veiligheid van uw website aanzienlijk verhogen. In de loop der jaren hebben wij het beveiligingsconcept RAIDBOXES voortdurend uitgebreid, zodat gevallen van malware een absolute zeldzaamheid zijn geworden. Vooral de gedetailleerde analyse van malwaregevallen helpt om veelgebruikte veiligheidslekken op te sporen en deze met passende maatregelen te voorkomen.

# 1 Sterke wachtwoorden - de belangrijkste veiligheidsmaatregel van allemaal

Een van de belangrijkste veiligheidsmaatregelen is een sterk wachtwoord voor alle WordPress gebruikers. Helaas hebben wij als hoster slechts beperkte invloed op de toewijzing van wachtwoorden. Vooral in het geval van verhuizingen kunnen wij slechts weinig invloed uitoefenen op de wachtwoorden. Het afdwingen van een sterk wachtwoord bij het aanmaken van een BOX (WordPress -website) heeft geleid tot een aanzienlijke vermindering van het aantal malwarebesmettingen.

Een sterk wachtwoord afdwingen bij het maken van een WordPress  website
Het afdwingen van een sterk wachtwoord bij het maken van een WordPress website heeft geleid tot een aanzienlijke vermindering van het aantal malwarebesmettingen.
Ter herinnering

Een wachtwoord moet bestaan uit cijfers, speciale tekens en kleine letters met een minimumlengte van zeven tekens. Als dit niet het geval is voor uw WordPress gebruikers, moet u zeker eerst stap 1 nemen en onmiddellijk uw wachtwoorden wijzigen.

#2 Bescherming tegen brute kracht aanvallen

Bijna een miljard keer per maand worden websites aangevallen met de hierboven beschreven Brute Force Aanvallen hierboven beschreven. Goed als uw WordPress hoster hier al voor heeft gezorgd. Onze RB Login Protector zal uw WP login gebied voor zijn en'blacklist' IP adressen die herhaaldelijk proberen in te loggen met valse login gegevens.

In de instellingen van uw BOX kunt u precies bepalen na hoeveel aanmeldingspogingen deze blokkering in werking moet treden en hoe lang de desbetreffende IP's worden geblokkeerd. In combinatie met een sterk wachtwoord is het praktisch onmogelijk om op deze manier toegang tot de website te krijgen.

#3 WP Session Eraser

Volgens AVG moet u zo weinig mogelijk gegevens opslaan. Wij helpen u daarbij! Ons hulpmiddel voor meer gegevensbesparing - de WordPress Session Eraser - verwijdert de WordPress sessies van al uw gebruikers uit de database na een bepaalde interval. U kunt dit interval individueel instellen voor elke BOX in uw BOX instellingen in ons dashboard.

#4 Standaard blokkering van XML-RPC

XML-RPC is een interface die beschikbaar is op elke WP pagina sinds WordPress 3.5. Aangezien de overgrote meerderheid van webmasters toch geen XML-RPC gebruikt, is het zinvol deze interface uit te schakelen. Want: Hackers kunnen uw site direct aanvallen via XML-RPC.

Om deze reden is XML-RPC nu standaard geblokkeerd en kan het worden ingeschakeld via de instellingen in het RAIDBOXES dashboard.

XML-RPC Blokker
Om deze reden is XML-RPC nu standaard geblokkeerd en kan het worden ingeschakeld via de instellingen in het RAIDBOXES dashboard.

#5 Beveiligingsupdates van WordPress

Natuurlijk is de update van WordPress zeer belangrijk. Elke 2-3 maanden nieuwe WordPress -versies worden gepubliceerd. Vooral onderhoudsupdates dichten belangrijke beveiligingsgaten. Deze updates moeten onmiddellijk worden geïnstalleerd.

Grote updates brengen meestal grote veranderingen in de code met zich mee, waardoor onverenigbaarheden kunnen ontstaan. Om de fabrikanten van Theme en Plugin voldoende tijd te geven, brengen wij grote updates op ons systeem altijd pas na 14 dagen uit. Natuurlijk geven we de laatste WordPress versie onmiddellijk voor handmatige update. Natuurlijk is het belangrijk dat u altijd een back-up maakt van uw site voordat u gaat updaten!

#6 Selectieve schrijfbeveiliging - WordPress Hardening maatregelen

Een aandachtspunt van de VeiligheidPlugins iThemes Veiligheid is om WordPress veiliger te maken door bestanden te beschermen. Dit is ook selectief bij ons geïntegreerd. Dit maakt het moeilijker om elementen van de site te infecteren en ze onbruikbaar te maken. Er moet altijd een redelijk evenwicht zijn tussen flexibiliteit en veiligheid. Wij handhaven dit door middel van configuratieopties rechtstreeks via de RAIDBOXES gebruikersinterface.

Voorkomen van bestandswijzigingen in WordPress
Daarnaast gebruiken wij ook WordPress best-case practices waar dat zinvol is. Een voorbeeld is het hernoemen van de prefix van de WordPress database.

Daarnaast gebruiken wij ook WordPress best-case practices waar dat zinvol is. Een voorbeeld is het hernoemen van de prefix van de WordPress database. Dit is niet toegankelijk via de standaard wp_. Het hernoemen van de WP-Content map, aan de andere kant, zoals gedaan door iThemes Veiligheid blijkt tot fouten te leiden, aangezien Plugins en Themes niet weten hoe ze ermee moeten omgaan.

#7 Managed Plugin-Updates from WordPress

Nu moet de laatste grote aanvalspoort worden gesloten: Niet up-to-date Plugins. Net als bij WordPress zelf, kunnen zich ook bij Plugins en Themes beveiligingsproblemen voordoen. Niet elke update bevat beveiligingsfuncties. Niettemin: als alle Plugins up-to-date zijn, is de kans op beveiligingslekken aanzienlijk kleiner.

Omdat vooral deze functie veel tijd bespaart, is ze inbegrepen in ons Fully Managed tarief voor 30 euro (netto). Als lezer van dit blogartikel kunt u permanent profiteren van het tarief voor slechts 20 euro via de volgende link bij de kassa: Fully Managed Special.

#8 Server-side maatregelen

Alle bovengenoemde maatregelen beschermen WordPress zelf. Daarnaast is er natuurlijk een bijna eindeloze lijst van veiligheidsmaatregelen die betrekking hebben op de server zelf. Dit begint met Linux-updates en eindigt met de regelmatige update van PHP als de basis van WordPress . Wij zorgen voor de automatische update van verouderde PHP-versies (uiteraard met de nodige aanlooptijd en tijd om te testen) zonder dat u daar zelf voor hoeft te zorgen.

Nadelen van veiligheidPlugins

Dit aangetoond wil ik nu kort ingaan op de nadelen van Security-Plugins . Deze zijn deels niet onbelangrijk, met name uit tijdsoogpunt.

Opzet inspanning

Als u denkt dat alleen een Plugins installeren voldoende is, vergist u zich. Helaas vereist het instellen van een beveiligingPlugins ook bepaalde kennis.

Aan de hand van het voorbeeld van de Plugins Alles-in-één-veiligheid wordt dit heel duidelijk. Het is een van de meest populaire gratis Plugins, die het .htaccess bestand voor een zeer groot deel gebruikt. Echter, de Plugin herkent niet eens of het een NGINX server is. Dit ondersteunt het concept van .htaccess niet en wordt gebruikt in de WordPress omgeving omwille van zijn flexibiliteit.

Hoewel de beveiligingsmaatregelen zijn onderverdeeld in moeilijkheidsgraden, wat heel zinvol is, zijn veel van de maatregelen die worden aangeboden door Plugin bovendien minder nuttig. Om de noodzaak van de verschillende maatregelen naar behoren te kunnen beoordelen, moet men zich onvermijdelijk vertrouwd maken met de veiligheidskwestie.

Onderhoud en waargenomen (on)veiligheid

Voor onze test hebben we verschillende beveiligingen ontwikkeldPlugins geïnstalleerd. Een van de Plugins heeft automatisch een in het systeem WordPress opgeslagen e-mail adres van het team gebruikt en is ijverig begonnen met het verzenden van e-mails. Tot grote vreugde van alle teamleden...

Helaas is dit helemaal niet ongewoon. Natuurlijk wil men in bepaalde opzichten op de hoogte blijven. In de meest voorkomende gevallen wordt men echter gewezen op zaken die helemaal geen veiligheidsrisico inhouden. Uiteindelijk voelt u zich onzekerder dan voorheen, omdat u bijvoorbeeld van elke bestandswijziging op de hoogte wordt gebracht en in geval van twijfel moet controleren.

Prestatieproblemen

Standaard biedt elk van de Plugins een malware- of beveiligingsscan. De Plugin Wordfence stelt dit graag automatisch in op één uur. Dit betekent dat in geval van twijfel elk uur (!) een scan van uw site wordt uitgevoerd via een automatisch script (via cronjob). Iedereen die ooit antivirussoftware op zijn computer heeft geïnstalleerd, kent de weeënverhalen over soms enorme prestatieproblemen.

Dit kan ook een reden zijn waarom "slechts" 2 miljoen van de meer dan 90 miljoen downloads uiteindelijk actief bleven.

Kosten

Voor het onderzoek van dit artikel hebben wij alleen Plugins geëvalueerd, die ook in een gratis versie beschikbaar zijn. Toch is het jammer dat bij veel WordPress -Security-Plugins de echt nuttige functies minstens 80 dollar per jaar kosten. Als je ze niet gebruikt, blijf je vaak zitten met een gevoel van onzekerheid.

Wanneer is een WordPress -Security-Plugin echt zinvol?

Voor degenen die nog een stapje verder willen gaan, volgen hier enkele voorbeelden van gevallen waarin Plugin nuttig kan zijn voor WordPress beveiliging. Deze aanbevelingen gelden alleen voor gespecialiseerde WordPress hosting. Aangezien bij andere aanbieders de beveiligingsmaatregelen wellicht niet zo specifiek en uitgebreid zijn geïmplementeerd, kan een beveiligingPlugin daar in het algemeen worden aanbevolen. Zoals u ziet, is het nauwelijks mogelijk een algemene uitspraak te doen over het nut van beveiligingsplugins, aangezien de eisen en omstandigheden verschillend zijn.

Handmatig hacken op WooCommerce shop

Dit is een van de weinige voorbeelden waarbij wij daadwerkelijk actief een beveiliging opPlugin hebben aanbevolen om de veiligheid van de online winkel te verhogen. De klant WooCommerce had de indruk dat hij manueel werd aangevallen, wat, zoals hierboven beschreven, zeer zeldzaam is.

In dit geval, was hij in staat om Wordfence en zijn logboekfunctie om snel het IP-adres van de aanvaller te identificeren en het dan te blokkeren. De aanval kon dus effectief worden gestopt.

Bedreigd Plugins

Hoe groter het aantal Plugins, hoe groter de kans op veiligheidsrisico's. Als er geen instrument wordt gebruikt om bij te werken, blijven bestaande veiligheidsleemten in het systeem lange tijd onopgemerkt en bieden ze een aanvalsoppervlak. Vooral bij WooCommerce winkels is het aantal Plugins meestal inherent hoog en zijn de gegevens ook gevoeliger. Daarom moet hier een beveiligingPlugin worden overwogen.

De drie beste beveiligingssystemenPlugins voor WordPress

In het volgende wil ik kort uitleggen waarom we ons beperken tot slechts drie Plugins en niet tien - of zelfs de beste 101 WordPress - beveiligingsplugins voorstellen.

Met de Security-Plugins beperken wij ons tot de TOP 3 WordPress -Plugins wereldwijd. We hebben ook gekeken naar andere beveiligingPlugins, zoals. Alles-in-één WP Beveiliging & Firewall dat is de meest populaire puur gratis Plugin (zonder premium versie) met 800.000+ gebruikers. Wij waren echter niet overtuigd van de bruikbaarheid en ten dele van de hier aanbevolen maatregelen. Tegelijkertijd is het alleen van toepassing op Apache webservers.

Het gaat over de laatste meters

Aangezien wij de Plugins meer zien als een aanvulling op een reeds beveiligde WordPress Hosting het doel is de laatste 0,1 procent veiligheidsrisico af te dekken. Daarom beperken wij ons tot de professionele Plugins, die een zeer hoge spreiding hebben.

Deze selectie van Plugins is echter ook zeer relevant voor andere, niet-gespecialiseerde hosters. Hier moet u zich sowieso intensiever bezighouden met het onderwerp WordPress beveiliging.

Snelle ondersteuning bij beslissingen

Tegelijkertijd is het voor ons belangrijk om een snelle beslissingshulp te bieden. Naar onze mening is dit niet meer mogelijk met een presentatie van tien Plugins , aangezien dan alle tien Plugins aan het eind opnieuw moeten worden geëvalueerd. Met drie Plugins met verschillende focus, is de beslissing hier gemakkelijker.    

Beperking tot alles-in-éénPlugins

Natuurlijk zijn er talloze Plugins, die grote individuele functies overnemen, bijvoorbeeld het beperken van de login pogingen (Limit Login Attempts). Maar ook functies, die de Plugins alleen in de PRO versies aanbieden, kunnen via individuele Plugins worden opgelost. Het beste voorbeeld is deze Plugin voor 2-factor authenticatie.

Distributie en gegevens zijn belangrijk voor firewalls

Firewalls passen bepaalde regels toe om te detecteren of iemand kwaadwillig handelt of gewoon de site bezoekt. Als iemand de site probeert binnen te komen, wordt hij geblokkeerd. De regels zijn met name gebaseerd op kennis van bestaande kwetsbaarheden. Tegelijkertijd kunnen netwerken van aanvallers beter worden opgespoord en geblokkeerd voor alle andere sites wanneer er 2 miljoen sites in de administratie zijn dan wanneer er 10.000 sites zijn. Daarom speelt distributie een rol voor de veiligheidPlugins .

Uw persoonlijke favorieten zijn welkom

Dat wil niet zeggen dat er geen andere geweldige Plugins zijn voor meer WordPress veiligheid. Voel je vrij om je persoonlijke favorieten te delen in de commentaren. Op die manier zorgen wij ook voor nog meer gelijke kansen voor nieuwe innovatieve benaderingen.

De drie beste beveiligingPlugins in het overzicht

Website van de PluginsWordfenceiThemes VeiligheidSucuri
Beveiliging
Download linkDownloadDownloadDownload
FeaturesHierHierHier
Actieve installaties3+ miljoen900.000+700.000+
TalenEngels16 talen (ook DE)Engels, Spaans
Getest met de laatste WordPress versieJaJatot 5.3.4
Aantal beoordelingen3,5723,830338
Beoordeling (vijf sterren)4,84,74,4
Gratis versieJaJaJa
Premium (jaarlijkse licentie)vanaf $99van $80 $199,99
Malware verwijderen van$286.40niet aangebodeninbegrepen in licentie

Uit het overzicht blijkt duidelijk dat elk van de Plugins een zeer hoge prevalentie heeft en goed wordt beoordeeld. Niettemin Wordfence de onbetwiste marktleider en ook evenwichtig in termen van prijs-prestatieverhouding. Op Sucuri betaalt u rechtstreeks voor de malwareverwijdering, maar hier kunnen de prijzen worden verhoogd, vooral door een snellere service en frequentere scans, om 500 dollar per jaar per jaar. Op Wordfence professionele malwareverwijdering wordt aangeboden als een optionele dienst aangeboden als een optionele dienst. Dus het hangt allemaal af van uw behoeften.

Het is belangrijk te weten dat het vrij onwaarschijnlijk is dat malware wordt gevangen met sterke WP-gebruikerswachtwoorden. Naar onze mening heeft het dan ook weinig zin om malwareverwijdering rechtstreeks als dienst aan te kopen.

Op Wordfence krijg je in de gratis versie direct toegang tot het hele firewall-spectrum, in tegenstelling tot, bijvoorbeeld, bij iThemes Veiligheidwaarbij informatie van het netwerk alleen toegankelijk is in de PRO versie.

Een belangrijk punt dat ook niet mag worden genegeerd: Wordfence in ons voorbeeld, is de enige onafhankelijke leverancierdie zich alleen heeft gespecialiseerd in het onderwerp WordPress veiligheid. Sucuri behoort tot de GoDaddy groep en iThemes werd ook gekocht door een ander hosting bedrijf. Zij zijn ook actief op verschillende andere gebieden, zoals Theme ontwikkeling. Achter Wordfence is uitsluitend het beveiligingsbedrijf Defiant.

Tussentijdse samenvatting

Onze veiligheidsaanbevelingPlugin is daarom heel duidelijk Wordfence. De Plugin biedt in de gratis versie al een uitgebreide firewall en concentreert zich op de twee kernonderwerpen die een beveiligingPlugin moet bieden: een firewall en beveiligingsscans.

Bovendien is het snel opgezet, overzichtelijk gehouden en niet verwarrend, zoals bij andere Plugins met te technische informatie het geval is.

Om prestatieproblemen te voorkomen, moet onder de scanopties "Scannen met weinig bronnen" worden gebruikt. Aangezien IP-adressen worden verwerkt, moet u Wordfence sluit een AV.

In het onderstaande zal ik gedetailleerd ingaan op de afzonderlijke kerngebieden van een beveiligingPlugins , teneinde de verschillen tussen de Plugins duidelijk te maken.

De belangrijkste Plugin kenmerken in vergelijking

Monitoring en scans

 WordfenceiThemes VeiligheidSucuri
veiligheidsscansJaJaJa
Geplande veiligheidsscansAlleen de Pro
versie
Alleen de Pro versieAlleen de Pro versie
Malware-identificatieJaJaJa
    
Identificatie van anomalieën in de beveiligingJaJaJa
Zwarte lijst bewakingAlleen Google Safe BrowsingZwarte lijst statuscontroleJa
BestandswijzigingenJaJaJa
    
DNS-bewakingJaOnduidelijkJa
SSL-controleNeeJaJa
KennisgevingenJaJaJa
    
Spam controleAlleen de Pro
versie
JaJa
beveiligingslogboekenJaJaBasis

Een essentieel onderdeel van een beveiligingPlugins is nagaan of de website gecompromitteerd is. Aangezien elke Plugin-verkoper in wezen verschillende namen gebruikt voor dezelfde inhoud en deze verschillend presenteert, is het zeer moeilijk om een redelijke vergelijking te maken. De tabel hierboven moet hier een overzicht geven.

Elke Plugin biedt een scanfunctie

Zo worden beveiligingsscans, identificatie van malware, identificatie van anomalieën in de beveiliging, of bestandswijzigingen vaak afzonderlijk vermeld, maar ze betekenen hetzelfde. De vergelijking van bestanden wordt gebruikt om na te gaan of er malware op de pagina aanwezig is. Onze ervaring is dat het kan gebeuren dat een onopvallende test op Sucuri kan nog steeds betekenen dat er malware op de site aanwezig is, als er een meer gedetailleerde scan of blik op de afzonderlijke bestanden wordt uitgevoerd.

Malware controle: Site is schoon
iThemes Security maakt hier gebruik van de API van Sucuri.

iThemes Veiligheid gebruikt gewoon de API van Sucuri. Het resultaat is dat u zowel Sucuri als iThemes niets anders krijgt dan de gratis plaatscontroledie ook kan worden gevonden op de Sucuri website.

Verschillen in toezicht op zwarte lijst

Naast scans is monitoring van de zwarte lijst een belangrijke factor, vooral voor de hierboven beschreven rangordeverliezen. Hier controles Wordfence controleert volgens zijn eigen presentatie alleen de Google Safe Browsing status. Als een website hier opduikt, is het eigenlijk al te laat. De website zal hoogstwaarschijnlijk als eerste uit de zoekresultaten worden gegooid. iThemes Veiligheid en Sucuri controleer verschillende zwarte lijsten direct hier. Het resultaat is nog steeds hetzelfde. Als de website op de zwarte lijsten staat, is het al te laat. Precies om dit te voorkomen, worden deze scans gemaakt.

Securi-controle: niet op zwarte lijst
Een uitgebreide zwarte lijst controle is alleen beschikbaar op Wordfence in de Premium versie.

Een uitgebreide zwarte lijst controle is alleen beschikbaar Wordfence alleen beschikbaar in de Premium versie. Hier wordt ook het punt van spamreclame gecontroleerd, dat van buitenaf gemakkelijk kan worden herkend en belangrijk is voor Google.

Geringe relevantie van DNS-bewaking

Wij achten de kenmerken van DNS- en SSL-bewaking van weinig belang. Ons is geen enkel geval bekend waarin DNS- of SSL-wijzigingen werden aangebracht om criminele activiteiten te onderzoeken.

Wordfence scores met de beveiligingslogs

De basis van een beveiligingPlugins moet zijn om logins redelijk weer te geven. Dit is het geval met alle Plugins . Wordfence gaat een paar stappen vooruit met zijn live verkeersmonitoring. Niet alleen logins worden herkend, maar ook het verkeer wordt dienovereenkomstig gecategoriseerd. Op die manier kunnen crawleractiviteiten en bezoekersgedrag worden getraceerd met betrekking tot veiligheidsaspecten. Het instrument is dus ideaal om bijvoorbeeld manuele hacks te voorkomen.

Wordfence Live Verkeer
Wordfence is hier een paar stappen voor met zijn live verkeersmonitoring.

Conclusie in deze categorie

De kwaliteit van de scan is moeilijk te beoordelen en zou moeten worden geëvalueerd door middel van testcases. iThemes Security en Sucuri hebben een betere blacklist monitoring. De scan zou echter moeten voorkomen dat de pagina toch op de zwarte lijst terechtkomt. Als het gaat om monitoring, de live verkeer functie van Wordfence is een groot pluspunt.

Bescherming in combinatie met firewalls

 WordfenceiThemes VeiligheidSucuri
Firewall voor webtoepassingen (WAF)Beperkt404 opsporingJa
Intrusion Detection System (IDS)JaNeeJa
DDoS-beschermingNeeNeeJa
Brute Force BeschermingJaJaJa
Blokkeren van hackpogingenJaGedeeltelijkJa
Bescherming tegen zero-day exploitsOnduidelijkNeeJa
Enkele zijbeschermerNeeNeeJa
Heuristisch correlatiealgoritmeOnduidelijkNee 
Belasting balancering / failoverNeeJaJa
landenblokkeringJaNeeNee
Geavanceerde handmatige blokkeringJaNeeNee

iThemes zonder goede firewall

Wat firewalls betreft, zijn de verschillen tussen de Plugins bijzonder duidelijk. De benaderingen van het onderwerp zijn hier fundamenteel verschillend. Strikt genomen iThemes-Veiligheid maakt geen gebruik van een echte firewall. Je zou de 404-detectie-aanpak een eerste aanpak kunnen noemen. Hier wordt gekeken of een crawler veel 404-fouten genereert en geblokkeerd wordt.

Sucuri inclusief volledig CDN

Overwegende dat voor Wordfence hoeft slechts één Plugin te worden geïnstalleerd om de firewall te gebruiken, met Sucuri moet je de nameserver of een A-record in de DNS instellingen veranderen. Hiervoor is het een volledig cloudgebaseerde oplossing, inclusief een CDN (content delivery network), dat ook DDoS-aanvallen kan voorkomen. Bij een DDoS-aanval wordt vaak een botnet gebruikt om een pagina met verzoeken te bestoken totdat de pagina niet meer toegankelijk is omdat de server het opgeeft.

DDoS-aanvallen uitgelegd

Wat een DDoS-aanval precies is en hoe je die effectief kunt voorkomen, laat Nick Schäferhoff je zienin zijn artikel.

De Sucuriaanpak betekent ook dat het werkt met load balancers in tegenstelling tot Wordfence werkt met load balancers. In het algemeen, met Sucuri is meer een marketingzin voor bepaalde termen zoals "Heuristisch correlatiealgoritme" en het is onduidelijk of dit een werkelijke toegevoegde waarde is, aangezien Wordfence werkt vermoedelijk ook met heuristische methoden. Wie echter alleen een CDN nodig heeft, kan deze ook gratis implementeren via Cloudflare .

Wordfence met meer configuratiemogelijkheden

Op Sucuri veel dingen lopen automatisch en zonder tussenkomst van de gebruiker. Maar hier kan blijkbaar minder worden geconfigureerd. Dus je kunt blokkeren Wordfence IP's van individuele landen expliciet blokkeren en handmatig blokkeren is ook mogelijk. Dit is vooral handig voor handmatige hacks.

WordPress Veiligheidsmaatregelen

 WordfenceiThemes VeiligheidSucuri
Database back-upsNeeJaNee
WordPress veiliger makenNeeJaNee
informatie verbergenNeeJaNee
Schrijf beschermingNeeJaNee
WachtwoordbeheerNeeJaNee
twee-factor-authenticatiePremiumPremiumNee

iThemes Veiligheid richt zich op de beveiligingsmaatregelen binnen WordPress , zoals weergegeven in de tabel. In totaal worden hier 30 verschillende punten doorgewerkt, waarvan de meeste heel zinvol zijn. Veel van de punten zijn dus al opgenomen in onze hosting.

iThemes Veiligheid is daarom een geweldige manier om meer veiligheid op WordPress niveau toe te voegen aan een "onveilige" generieke hosting. De gratis versie biedt al uitgebreide bescherming. Bij de premium versie moet de 2-factor authenticatie worden benadrukt.

Sync en correcties door n17t01 Wordfence en Sucuri focus op het "afschermen" van de zijkant. Zijn ze nogal zwak op deze punten.

Malware en prestatieverwijdering

 WordfenceiThemes VeiligheidSucuri
Hack Schoonmaak & Malware VerwijderingOptioneelOnvindbaarOptioneel
Zwarte lijst waarschuwing verwijderingOptioneelOnvindbaarOptioneel
Malware verwijdering verzoek limietOptioneelOnvindbaarOptioneel
Automatisch opruimenGedeeltelijkOnvindbaarGedeeltelijk
Security Analyst EscalatieOptioneelOnvindbaarOptioneel
Volledige opschoning websiteOptioneelOnvindbaarOptioneel
De veiligheidslacunes dichtenOptioneelOnvindbaarOptioneel
back-upsNeeOnvindbaarJa
Verslag van na de schoonmaakOptioneelOnvindbaarOptioneel
Volledig logboek en incidentenrapportOptioneelOnvindbaarOptioneel
Root Cause Follow UpOptioneelOnvindbaarOptioneel

Als laatste, maar daarom niet minder belangrijk, laten we eens kijken naar malware verwijdering. Hier zijn de prijzen op Sucuri en Wordfence zijn vergelijkbaar. Voor een snellere verwerking rekenen beide extra. De hier aangeboden diensten zijn identiek. Op iThemes Ik kon geen malware verwijderingsdienst ontdekken. Malware verwijdering kan 2-3 uur duren, met grote schommelingen echter. Aangezien we ook malware verwijderen, zijn de prijzen eerlijk.

En hoe zit het met de prestaties?

Last but not least, een opmerking over de prestaties. Je zou dit niet verwachten van een veiligheidsvergelijkerPlugin. Maar sinds Sucuri een CDN en een firewall in één biedt, kan er een prestatieverbetering zijn, vooral voor internationale bezoekers. Met een CDN wordt de website altijd afgeleverd vanaf de eerstvolgende server, wat vooral voor overzeese bezoekers voordelen heeft. Voor een WooCommerce winkel met weinig cacheerbare inhoud is dit echter minder cruciaal.

Onze conclusie

Dus wat is de algemene conclusie over het onderwerp van WordPress veiligheid? Onze persoonlijke conclusie kan worden samengevat met het volgende feit: Wij gebruiken geen beveiligingPlugin voor onze eigen RAIDBOXES site. We hebben nooit een beveiliging gebruiktPlugin en hebben nooit problemen gehad. Dit alles, hoewel onze webpagina voor ons een absoluut centrale betekenis heeft. Uitgebreide klantgegevens worden echter niet opgeslagen op onze WordPress website. Voor ons was het risico van prestatieverlies door uitgebreide scanningmaatregelen te groot en wogen de nadelen niet op tegen de voordelen.

Niettemin verhoogt een firewall de veiligheid van de website. Als u dus maximale veiligheid wilt bereiken en de nadelen qua prestaties en tijd wilt aanvaarden, moet u een beveiligingPlugin gebruiken.

Vooral voor WooCommerce-Shops of bedreigde sites, die al problemen met malware kunnen hebben gehad, kan een WordPress -Security-Plugin nuttig zijn. Onze aanbeveling luidt derhalve als volgt:

Wordfence als de beste gratis oplossing

Als u een echt solide firewall met uitgebreide monitoring wilt, dan bent u zeer goed gediend met Wordfence is zeer goed bediend. Niet voor niets is het de meest populaire beveiligingPlugin in de wereld. De premium versie vult de functionaliteit zeer precies en verstandig aan. Tijdens de implementatie is het van essentieel belang ervoor te zorgen dat de scanprocessen correct worden opgezet om prestatieproblemen te voorkomen.

iThemes Beveiliging voor Generieke Hosters

iThemes Veiligheid voert echt nuttige veiligheidsmaatregelen uit op de website, vooral WordPress . Voor generieke hosters is het een geweldige manier om het beveiligingsniveau te verhogen zonder uitgebreide scans en firewall, zelfs in de gratis versie.

Sucuri voor mensen die geïnteresseerd zijn in CDN

Voor degenen die toch al overwegen een CDN te gebruiken en voor wie het onderwerp DDoS-aanvallen relevant zou moeten zijn, bevelen wij het volgende aan Sucuri wordt aanbevolen. Het enige dat overblijft is de ietwat flauwe nasmaak van de Godaddy corporatie.

Hoeveel (vermeende) veiligheid heb je nodig?

Hoe ga je om met de kwestie van WordPress beveiliging? Vertrouwt u op de veiligheidsmaatregelen van uw hoster of laat alleen een veiligheids-Plugin u rustig slapen? Zoals altijd kijken we uit naar uw commentaar!

Gerelateerde artikelen

Reacties op dit artikel