WordPress-veiligheid: hoe nuttig zijn beveiligingsplugins echt?

Johannes Benz Laatst bijgewerkt op 20.10.2020
16 Min.
WordPress  Beveiliging Plugins

Intussen is het afgelopen met 38 procent van alle websites op WordPress . Dit maakt ons favoriete CMS een populair doelwit voor hackers en malware. Maar geen reden tot paniek! Omdat WordPress -Betrouwbaarheid is geen magie. Naast praktische veiligheidstips hebben we vandaag de dag de drie beste WordPress -Security-Plugins in je bagage en laat je zien wanneer je het echt nodig hebt.

Heb ik zelfs een beveiliging nodigPlugin? Dit is een vraag die ons regelmatig ter ondersteuning wordt gesteld. In het volgende artikel wil ik u de toegevoegde waarde van een beveiligingsoplossing laten zien.Plugin voor de veiligheid van uw WordPress site en wanneer het echt nuttig is om er een te gebruiken.

In het tweede deel vergelijken we de drie meest populaire WordPress -veiligheids-Pluginsom u een snel overzicht te geven. Zo kunt u snel en doelgericht een beslissing nemen en vervolgens teruggaan naar de basis: uw bedrijf.

Waarom WordPress -De veiligheid is zo cruciaal

In principe zijn er drie belangrijke aspecten waarom u actief met de veiligheid van uw WordPress site moet omgaan en uw hoofd niet in het zand moet steken.

#1 Uw website kan onbruikbaar worden

Een paar jaar geleden zaten we nog in het agentschap. Toen gebeurde het dat we een volledige herinrichting van een site mochten aanpakken, omdat de oorspronkelijke site onbruikbaar was geworden door beveiligingsproblemen die vermeden hadden kunnen worden.

Nu heeft iemand die malware op sites installeert er meestal geen belang bij om deze te vernietigen. De aanvaller kan het immers gebruiken om spam te versturen, bezoekers naar spampagina's te leiden, advertenties te integreren of crypto-munteenheid te genereren. Naast de algemene beperking van de functionaliteit van uw site, kan Malware ook leiden tot aanzienlijke prestatieproblemen.

#2 Blacklisting en crash in Google rankings

Een nog ernstiger punt in de huidige tijd is de blacklisting van het domein, met name door Google of Norton. Als Google uw website op een zwarte lijst zet, betekent dit in het ergste geval dat uw website uit de zoekresultaten van Google wordt verwijderd.

Het is mogelijk om na een malware-infectie een scan van de pagina opnieuw in te dienen. Dit garandeert echter niet dat u uw vorige klassering terugkrijgt. Vooral bij belangrijke geldsleutelwoorden of hoog organisch verkeer kan dit ernstige economische gevolgen hebben.

#3: Verlies van gegevens

Vooral in tijden van AVG, waarin het onderwerp gegevensbescherming een nieuwe dimensie heeft bereikt, is het belangrijk om de gegevens van uw gebruikers te beschermen. Hoewel dit minder belangrijk is voor een normale bedrijfssite, is het voor een winkelsite nog dramatischer als de betalingsinformatie niet voldoende beschermd is.

Typische bedreigingen voor de veiligheid van uw WP-site

Brute Force Aanvallen op het inloggebied
Met een Brute Force Aanval een groot aantal wachtwoordcombinaties wordt automatisch uitgeprobeerd om WordPress toegang te krijgen tot de site via de /wp-admin login. Zodra dit succesvol is en de WordPress gebruiker beschikt over beheerdersrechten, staat de website bijna volledig onder controle van de aanvaller.

Onze ervaring op RAIDBOXES shows: Met een sterk wachtwoord en de beperking van aanmeldingspogingen kunnen bijna alle malwaregevallen worden vermeden. Maar daarover zo dadelijk meer.

Geautomatiseerde uitbuiting van beveiligingslekken
In de regel worden aanvallen op websites geautomatiseerd. WordPress Pagina's worden automatisch gescand door zogenaamde crawlers, bijvoorbeeld voor een specifiek Pluginbeveiligingsgat. Verschillende veiligheidsleemten kunnen worden uitgebuit in de aanvallen, bijvoorbeeld SQL-injecties of Cross-site scripting.

Handmatige aanvallen
Natuurlijk is het ook mogelijk om handmatig een veiligheidsgat te benutten. Dit is echter vrij zeldzaam, aangezien de inspanning alleen de moeite waard zou zijn in grote WooCommercewinkels waar bijvoorbeeld de betalingsgegevens daadwerkelijk worden gestolen.

8 Beveiligingsmaatregelen die wij als hoster bieden

In principe is het mogelijk om malware te detecteren en te voorkomen via gespecialiseerde WordPress Hosting de veiligheid van uw website aanzienlijk te verhogen. In de loop der jaren hebben we het RAIDBOXES beveiligingsconcept voortdurend uitgebreid, zodat gevallen van malware een absolute zeldzaamheid zijn geworden. Vooral de gedetailleerde analyse van Malware-gevallen helpt bij het identificeren van veelgebruikte beveiligingslekken en het voorkomen daarvan met passende maatregelen.

#1 Sterke wachtwoorden - de belangrijkste veiligheidsmaatregel van alle

Een van de belangrijkste veiligheidsmaatregelen is een sterk wachtwoord voor alle WordPress gebruikers. Helaas hebben wij als hosters slechts beperkte invloed op de wachtwoordtoewijzing. Vooral bij een verhuizing hebben we weinig invloed op de wachtwoorden. Het forceren van een sterk wachtwoord bij het maken van een BOX (WordPress website) heeft geleid tot een aanzienlijke vermindering van malware-infecties.

Een sterk wachtwoord forceren bij het maken van een WordPress webpagina
Het afdwingen van een sterk wachtwoord bij het maken van een WordPress website heeft geleid tot een aanzienlijke vermindering van de malware-infectie.
Ter herinnering

Een wachtwoord moet bestaan uit cijfers, speciale tekens en kleine letters met een minimumlengte van zeven tekens. Als dit niet het geval is voor uw WordPress gebruikers, moet u zeker eerst stap 1 doen en uw wachtwoorden onmiddellijk wijzigen.

#2 Bescherming tegen brute kracht aanvallen

Bijna een miljard keer per maand, websites met het bovenstaande Brute Force Aanvallen aangevallen. Nou, als die van jou WordPress hoster al geregeld is. Onze RB Login Protector verschijnt voor uw WP-logingebied en 'blacklists' IP-adressen die herhaaldelijk proberen in te loggen met onjuiste inloggegevens.

In uw BOXinstellingen kunt u precies aangeven na hoeveel aanmeldingspogingen deze vergrendeling in werking moet treden en hoe lang de betreffende IP's geblokkeerd zijn. In combinatie met een sterk wachtwoord is het praktisch onmogelijk om op deze manier toegang te krijgen tot de website.

#3 WP Sessie Gum

Volgens het verslag AVG moet u zo weinig mogelijk gegevens opslaan. We zullen je daarmee helpen! Onze tool voor meer data economy - de WordPress Session Eraser - verwijdert de WordPress sessies van al uw gebruikers uit de database na een door u bepaalde interval. U kunt dit interval in uw BOXinstellingen in ons dashboard voor elk van hen BOX afzonderlijk instellen.

#4 Standaard blokkering van XML-RPC

XML-RPC is een interface die sinds 3WordPress .5 op elke WP-pagina beschikbaar is. Aangezien de meeste webmasters sowieso geen XML-RPC gebruiken, is het zinvol om deze interface uit te schakelen. Want: Via XML-RPC kunnen hackers uw site direct aanvallen.

Om deze reden is XML-RPC nu standaard geblokkeerd en kan deze worden gedeblokkeerd via de instellingen in het RAIDBOXES dashboard.

XML-RPC-blokkering
Om deze reden is XML-RPC nu standaard geblokkeerd en kan deze worden gedeblokkeerd via de instellingen in het RAIDBOXES dashboard.

#5 Beheerde beveiligingsupdates van WordPress

Het belangrijkste is natuurlijk de update van WordPress . Hier, om de 2-3 maanden nieuw WordPress -Versies gepubliceerd. Met name Maintenance Updates sluiten belangrijke beveiligingslekken. Deze updates moeten onmiddellijk worden geïnstalleerd.

Grote updates brengen meestal grote veranderingen in de code met zich mee, wat kan leiden tot incompatibiliteiten. Om de Theme- en Plugin-fabrikanten voldoende tijd te geven, rollen we na 14 dagen altijd grote updates uit op ons systeem. Uiteraard zorgen wij direct voor de laatste WordPress versie voor handmatige updates. Natuurlijk is het belangrijk dat u altijd een back-up maakt van uw site voordat u deze gaat updaten!

#6 Selectieve schrijfbeveiliging - WordPress Hardende maatregelen

Een focus van de SecurityPlugins iThema's Veiligheid is om WordPress het veiliger te maken door bestanden te beschermen. Dit is ook selectief geïntegreerd in ons systeem. Dit maakt het moeilijker om elementen van de site te besmetten en onbruikbaar te maken. Hier moet altijd een redelijk evenwicht worden gevonden tussen flexibiliteit en zekerheid. We houden dit evenwicht in stand door middel van configuratiemogelijkheden rechtstreeks via de gebruikersinterfaceRAIDBOXES .

Voorkom bestandswijzigingen in WordPress
Daarnaast maken we natuurlijk ook gebruik van WordPress Best case praktijken waar ze zinvol zijn. Een voorbeeld is het hernoemen van het voorvoegsel van de WordPress -database.

Daarnaast gebruiken we natuurlijk ook WordPress Best case praktijken waar ze zinvol zijn. Een voorbeeld is het hernoemen van het voorvoegsel van de WordPress -database. Dit is niet toegankelijk via de standaard wp_. Het hernoemen van de WP-Content map, echter, zoals beschreven in iThema's Veiligheid aanbiedingen, heeft de ervaring geleerd dat het leidt tot fouten, omdat Pluginsen Themesniet in staat zijn om te gaan met hen.

#7 Beheerd Plugin-Updates van WordPress

Nu moeten we de laatste grote poort voor de aanvallen sluiten: Vaste vorm van dienstverlening: Plugins. Net als bij WordPress zichzelf, kan het ook Plugins ...en Themesga naar veiligheidsinbreuken. Niet elke update bevat beveiligingsfuncties. Toch: Zijn alle Plugins Op dit moment is de kans op beveiligingslekken veel kleiner.

Omdat met name deze functie veel tijd bespaart, is deze inbegrepen in ons FULLY MANAGEDtarief voor 30 Euro (netto). Als lezer van dit blogartikel kunt u voor slechts 20 euro permanent gebruik maken van het tarief bij de kassa onder de volgende link: FULLY MANAGED Speciaal.

#8 Server-zijmaten

Alle bovengenoemde maatregelen beschermen WordPress zichzelf. Daarnaast is er natuurlijk een bijna eindeloze lijst van beveiligingsmaatregelen die van invloed zijn op de server zelf. Dit begint met Linux updates en WordPress eindigt met regelmatige updates van PHP als basis van. Wij zorgen voor de automatische update van verouderde PHP-versies (uiteraard met de juiste doorlooptijd en tijd voor het testen) zonder dat u daar zelf voor hoeft te zorgen.

Nadelen van de veiligheidPlugins

Nu ik dit heb geschetst, wil ik graag kort ingaan op de nadelen van veiligheidPlugins. Sommige daarvan zijn niet onbelangrijk, vooral niet vanuit een tijdsperspectief.

Instelling

Wie denkt dat het installeren van een Plugins is gedaan, is verkeerd. Helaas, het opzetten van een beveiligingPlugins een bepaalde hoeveelheid kennis.

Aan de hand van het voorbeeld van de Plugins Alles-in-één-beveiliging dit wordt heel duidelijk. Het is een van de meest populaire gratisPlugins, die voor een zeer groot deel gebruik maakt van het .htaccess-bestand. Maar dit Pluginherkent niet eens of het een NGINX server is. Dit ondersteunt het concept van .htaccess niet en wordt in de WordPress omgeving gebruikt vanwege de flexibiliteit.

Bovendien zijn de veiligheidsmaatregelen weliswaar onderverdeeld in moeilijkheidsgraden, wat veel zin heeft, maar veel van de maatregelen die Pluginworden aangeboden zijn minder nuttig. Om de noodzaak van de verschillende maatregelen adequaat te kunnen beoordelen, is het onvermijdelijk dat men zich bezighoudt met de veiligheidskwestie.

Onderhoud en ervaren (on)veiligheid

Voor onze test hebben we verschillende beveiligingen ontwikkeldPlugins geïnstalleerd. Een van de Plugins heeft automatisch een in het systeem WordPress opgeslagen e-mail adres van het team gebruikt en is ijverig begonnen met het verzenden van e-mails. Tot grote vreugde van alle teamleden...

Dit is helaas helemaal niet ongewoon. Natuurlijk wil men op een bepaalde manier op de hoogte blijven. In de meeste gevallen wordt echter gewezen op zaken die helemaal geen veiligheidsrisico vormen. Uiteindelijk voelt men zich onzekerder dan voorheen, omdat men bijvoorbeeld over elke bestandswijziging wordt geïnformeerd en in geval van twijfel moet controleren.

Prestatieproblemen

Standaard biedt Pluginselk van hen een malware- of veiligheidsscan aan. De Plugin Wordfence stelt dit graag automatisch in op een uur. Dit betekent dat in geval van twijfel elk uur (!) een scan van uw pagina wordt uitgevoerd door een automatisch script (via cronjob). Wie ooit een antivirussoftware op zijn computer heeft geïnstalleerd, kent de verhalen van weeën over soms enorme prestatieproblemen.

Onder bepaalde omstandigheden is dit ook een reden waarom "slechts" 2 miljoen van de meer dan 90 miljoen downloads uiteindelijk actief bleven.

Kosten

Voor het onderzoek van dit artikel hebben we alleen Plugins die ook in een gratis versie beschikbaar is. Desalniettemin is het helaas zo dat met veel WordPress -Security-Plugins dat echt nuttige functies minstens 80 dollar per jaar kosten. Als je ze niet gebruikt, is er vaak een gevoel van onzekerheid.

Wanneer heeft een - WordPress beveiligingPlugin - echt zin?

Voor iedereen die nog een stapje verder wil gaan, zijn hier enkele voorbeelden van gevallen waarin men nuttig Plugin kan zijn voor de WordPress veiligheid. Deze aanbevelingen gelden alleen voor gespecialiseerde WordPress hosting. Aangezien andere aanbieders wellicht niet over dergelijke specifieke en uitgebreide beveiligingsmaatregelen beschikken, kan beveiliging in het algemeen wordenPlugin aanbevolen. U ziet, het is nauwelijks mogelijk om een algemene uitspraak te doen over de voordelen van veiligheidsplugins, omdat de eisen en omstandigheden anders zijn.

Handmatig hacken in de WooCommerce-Shop

Dit is een van de weinige voorbeelden waarbij we daadwerkelijk actiefPlugin een beveiligingssysteem hebben aanbevolen om de veiligheid van de online shop te verhogen. De WooCommerceklant had de indruk dat hij handmatig wordt aangevallen, wat, zoals hierboven beschreven, zeer zeldzaam is.

In dit geval was hij in staat om te werken met Wordfence en zijn loggingfunctie snel het IP-adres van de aanvaller te identificeren en vervolgens te blokkeren. De aanval kon dus effectief worden voorkomen.

Bedreigd Plugins

Hoe hoger het aantal Plugins, hoe groter de kans op veiligheidsrisico's . Vooral als er geen tool wordt gebruikt voor het updaten, blijven bestaande beveiligingslekken lange tijd onopgemerkt in het systeem en bieden ze een oppervlak voor een aanval. Met name in het geval van WooCommercewinkels is het aantal kwetsbaarheden Plugins meestal inherent aan het systeem en zijn de gegevens ook gevoeliger. Daarom moet hier de veiligheidPlugin in acht worden genomen.

De drie beste beveiligingenPlugins voor WordPress

Hieronder wil ik kort uitleggen waarom we ons beperken tot slechts drie Pluginsen geen tien - of zelfs de beste 101 - WordPress veiligheidsplug-ins presenteren.

Met de beveiliging...Plugins we beperken ons tot de TOP 3 WordPress -Plugins Wereldwijd. We hebben ook gekeken naar andere beveiligingPluginszoals... All In One WP Security & Firewall die met 800.000+ de meest populaire puur gratis Plugin versie is (zonder premium versie). De bruikbaarheid en deels de aanbevolen maatregelen hebben ons echter niet overtuigd. Tegelijkertijd is het alleen van toepassing op Apache-webservers.

Het gaat om de laatste paar meters

Aangezien we de Plugins eerder als aanvulling op een reeds beveiligde WordPress Hosting het doel is om de laatste 0,1 procent van het veiligheidsrisico te dekken. We beperken ons daarom tot de professionele Pluginsdie een zeer hoge distributie hebben.

Maar deze selectie is Plugins ook zeer relevant voor andere, niet-gespecialiseerde hosters. Hier moet u zich in ieder geval intensiever bezighouden met het thema WordPress veiligheid.

Snelle beslissingsondersteuning

Tegelijkertijd is het voor ons belangrijk om snelle beslissingsondersteuning te bieden. Naar onze mening, met een vertegenwoordiging van tien Plugins niet meer mogelijk, omdat uiteindelijk alle tien Plugins moeten worden geëvalueerd. Ik tel tot drie. Plugins met een andere focus, is de beslissing hier makkelijker.    

Beperking tot All-in-One...Plugins

Natuurlijk zijn er ontelbaar Pluginsveel, die geweldig zijn voor individuele functies, zoals het beperken van aanmeldingspogingen (Limit Login Pogingen). Maar ook functies, die Plugins alleen in de nieuwe PRO versies worden aangeboden, kunnen door enkele worden Plugins opgelost. Het beste voorbeeld is deze Plugin voor 2-factor authenticatie.

Distributie en data zijn belangrijk bij firewalls

Firewalls passen bepaalde regels toe om te detecteren of iemand kwaadwillig handelt of gewoon de site bezoekt. Als iemand probeert de site te betreden, worden ze geblokkeerd. Vooral de regels zijn gebaseerd op de kennis van bestaande beveiligingslekken. Tegelijkertijd kunnen netwerken van aanvallers beter worden gedetecteerd met 2 miljoen pagina's in de administratie en worden geblokkeerd voor alle andere pagina's dan met 10.000 pagina's. Daarom speelt distributie een rol voor de veiligheidPlugins.

Uw persoonlijke favorieten zijn welkom

Dit betekent niet dat er geen andere grote Pluginsvoor meer WordPress veiligheid zijn. Voel je vrij om je persoonlijke favorieten te vermelden in de commentaren. Op deze manier zorgen we voor nog meer gelijke kansen voor nieuwe innovatieve benaderingen.

De drie beste beveiligingenPlugins in het overzicht

Website van de PluginsWordfenceiThema's VeiligheidSucuri
Beveiliging
DownloadlinkDownloadDownloadDownload
FeaturesHierHierHier
Actieve installaties3+ miljoen900.000+700.000+
TalenEngels16 talen (ook DE)Engels, Spaans
Getest met de nieuwste WordPress versieJaJatot 5.3.4
Aantal beoordelingen3,5723,830338
Beoordeling (vijf sterren)4,84,74,4
Gratis versieJaJaJa
Premie (jaarlijkse licentie)vanaf $99vanaf 80 dollar $199,99
Verwijdering van malware uit$286.40niet aangebodenopgenomen in de licentie

In het overzicht wordt duidelijk dat ze stuk voor stuk een zeer hoge spreiding hebben Pluginsen goed gewaardeerd worden. Desalniettemin Wordfence de onbetwiste marktleider en ook evenwichtig in termen van prijs-prestatieverhouding. Op Sucuri u betaalt direct voor het verwijderen van de malware, maar hier kunnen de prijzen worden verlaagd, vooral door snellere service en frequentere scans voor 500 dollar per jaar Opstaan. Op Wordfence professionele malwareverwijdering wordt genoemd optionele dienst aangeboden. Dus dit is waar uw behoeften het belangrijkst zijn.

Het is belangrijk om te weten dat het vrij onwaarschijnlijk is dat er malware met sterke WP gebruikerswachtwoorden wordt ontdekt. Naar onze mening heeft het weinig zin om Malwareverwijdering direct als dienst aan te schaffen.

Op Wordfence de gratis versie geeft u direct toegang tot het volledige spectrum van de firewall, in tegenstelling tot de iThema's Veiligheidwaarbij de informatie van het netwerk alleen toegankelijk is in de PROversie

Dit is een belangrijk punt dat niet mag worden veronachtzaamd: Wordfence is in ons voorbeeld de enige onafhankelijke leverancierdie alleen gespecialiseerd is in het onderwerp WordPress veiligheid. Sucuri Ondertussen behoort tot de GoDaddy Group en iThema's werd ook gekocht door een ander hostingbedrijf. Ze zijn ook actief op verschillende andere gebieden, zoals Themeontwikkeling. Achter Wordfence het beveiligingsbedrijf is de enige Defiant.

Tussentijdse conclusie

Onze veiligheidsaanbevelingPluginis dan ook heel duidelijk Wordfence. De Plugin biedt al een uitgebreide firewall in de gratis versie en concentreert zich op de twee kernpunten die een beveiligingPlugin moet zorgen voor: een firewall en beveiligingsscans.

Bovendien is het snel opgezet, overzichtelijk en niet onoverzichtelijk, zoals bij anderen Pluginsmet te veel technische informatie het geval is.

Om prestatieproblemen te voorkomen, moet "Low Resource Scanning" worden gebruikt als een van de scanopties. Aangezien IP-adressen worden verwerkt, moet u gebruik maken van Wordfence een AV afsluiten.

In het volgende zal ik in detail ingaan op de afzonderlijke kerngebieden van een beveiligingPlugins om de verschillen tussen de Plugins om het duidelijk te maken.

De belangrijkste Pluginkenmerken in vergelijking

Bewaking en scans

 WordfenceiThema's VeiligheidSucuri
veiligheidsscansJaJaJa
Geplande veiligheidsscansAlleen Pro
Versie
Alleen de Pro-versieAlleen de Pro-versie
Malware-identificatieJaJaJa
    
Identificatie van veiligheidsafwijkingenJaJaJa
bewaking door middel van een zwarte lijstAlleen veilig surfen op GoogleZwarte lijst StatuscontroleJa
BestandswijzigingenJaJaJa
    
DNS-bewakingJaOnduidelijkJa
SSL-bewakingNeeJaJa
KennisgevingenJaJaJa
    
SpamcontroleAlleen Pro
Versie
JaJa
veiligheidslogboekenJaJaBasis

Een essentieel onderdeel van de beveiligingPlugins is het controleren of de website is gecompromitteerd. Aangezien elke Pluginfabrikant in principe verschillende namen gebruikt voor dezelfde inhoud en deze verschillend presenteert, is het zeer moeilijk om een redelijke vergelijking te maken. De bovenstaande tabel moet u een overzicht geven.

Elk Pluginbiedt een scanfunctie

Beveiligingsscans, malware-identificatie, beveiligingsanomalie-identificatie of bestandswijzigingen worden bijvoorbeeld vaak apart vermeld, maar ze betekenen hetzelfde. File matching wordt gebruikt om de aanwezigheid van malware op de pagina te controleren. Onze ervaring is dat het heel goed mogelijk is dat een onopvallende test kan worden uitgevoerd op Sucuri kan nog steeds betekenen dat er bij het scannen of het bekijken van de afzonderlijke bestanden malware op de pagina wordt gevonden.  

Malware controle: Site is schoon
iThemes Security gebruikt hiervoor de API van Sucuri.

iThema's Veiligheid maakt gewoon gebruik van de API van Sucuri. Als gevolg daarvan geven zowel Sucuri als iThemes je niets anders dan de gratis sitecheckdie ook te vinden is op de Sucuri website.

Verschillen in bewaking van de zwarte lijst

Naast de scans is de monitoring van de zwarte lijst een belangrijke factor, vooral voor de hierboven beschreven rangschikkingsverliezen. Hier controles Wordfence volgens haar eigen vertegenwoordiging alleen de Google Safe Browsing Status. Als hier een website verschijnt, is het eigenlijk al te laat. De website wordt hoogstwaarschijnlijk eerst uit de zoekresultaten gegooid. iThema's Veiligheid en Sucuri Controleer hier direct een aantal zwarte lijsten. Het resultaat is echter identiek. Als de website op de zwarte lijsten verschijnt, is het al te laat. Juist om dit te voorkomen worden deze scans gemaakt.

Securi-check: niet op de zwarte lijst
Een uitgebreide blacklist check is Wordfence alleen beschikbaar in de Premium versie.

Een uitgebreide check van de zwarte lijst is beschikbaar op Wordfence alleen beschikbaar in de Premium versie. Hier wordt ook het punt van de spamreclame, die van buitenaf gemakkelijk te herkennen is en belangrijk is voor Google, gecontroleerd.

Geringe relevantie van DNS-bewaking

Wij vinden de kenmerken van DNS- en SSL-bewaking weinig relevant. We zijn niet op de hoogte van een enkel geval waarin DNS- of SSL-wijzigingen zijn aangebracht om criminele activiteiten te onderzoeken.

Wordfence scoort met de Security Logs

De basis van een beveiligingPlugins moet zijn om Logins redelijk te presenteren. Dit is het geval met alle Plugins gezien het feit dat... Wordfence is een paar stappen vooruit met zijn Live Traffic Monitoring. Niet alleen worden de logins gedetecteerd, maar ook het verkeer wordt overeenkomstig gecategoriseerd. Op deze manier kunnen rupsactiviteiten of bezoekersgedrag met betrekking tot veiligheidsaspecten worden getraceerd. Het gereedschap is daarom bij uitstek geschikt om bijvoorbeeld handmatige hacks te voorkomen.

Wordfence live verkeer
Wordfence is een paar stappen vooruit met zijn Live Traffic Monitoring.

Conclusie in deze categorie

De kwaliteit van de scan is moeilijk te beoordelen en zou moeten worden beoordeeld aan de hand van testcases. iThema's Beveiliging en Sucuri hebben een betere monitoring van de zwarte lijst. De scan moet echter voorkomen dat de pagina toch op een zwarte lijst komt te staan. De monitoring is vooral belangrijk voor het live-verkeerskenmerk van Wordfence een groot pluspunt.

Bescherming in combinatie met firewalls

 WordfenceiThema's VeiligheidSucuri
Webapplicatie Firewall (WAF)Beperkt404 detectieJa
Inbraakdetectiesysteem (IDS)JaNeeJa
DDoS-beschermingNeeNeeJa
Brute Force BeschermingJaJaJa
Blok van hackpogingenJaGedeeltelijkJa
Nul-dag ExploitatiebeschermingOnduidelijkNeeJa
Enkelzijdige beschermingNeeNeeJa
heuristisch correlatiealgoritmeOnduidelijkNee 
Belastingsbalancering / FailoverNeeJaJa
LandblokkeringJaNeeNee
Geavanceerde handmatige blokkeringJaNeeNee

iThema's zonder echte firewall

Als het gaat om firewalls zijn de verschillen tussen de twee Pluginsbijzonder duidelijk. In feite zijn de benaderingen van het onderwerp hier fundamenteel verschillend. Strikt genomen iThema's Veiligheid geen echte firewall. Wat de aanpak betreft, kan de 404-detectieaanpak worden omschreven als een eerste aanpak. Hier kijken we of een rupsmachine veel 404 fouten genereert en blokkeert.

Sucuri inclusief volledige CDN

Overwegende dat voor Wordfence slechts één moet worden Plugingeïnstalleerd om de firewall te gebruiken, moet worden geïnstalleerd met Sucuri de nameserver of een A-record kan worden gewijzigd in de DNS-instellingen. Het is een volledig cloud-gebaseerde oplossing, inclusief een CDN (Content Delivery Network), die ook DDoS-aanvallen kan voorkomen. Bij een DDoS-aanval wordt vaak een botnet gebruikt om een pagina met verzoeken af te vuren totdat de pagina niet meer toegankelijk is omdat de server het laat afweten.

DDoS-aanvallen uitgelegd

Nick Schäferhoff laat u precies zien wat een DDoS-aanval is en hoe u deze effectief kunt voorkomen. in zijn bijdrage.

De Sucuri-aanpak leidt ook tot het feit dat, in tegenstelling tot Wordfence werkt met loadbalancers. In totaal Sucuri bepaalde termen zoals de "Heuristische Correlatie Algoritme" zijn meestal gebaseerd op een marketingformule en het is niet duidelijk of dit een werkelijke toegevoegde waarde is, omdat Wordfence werkt waarschijnlijk ook met heuristische methoden. Als u alleen een CDN nodig heeft, kunt u dit ook gratis Cloudflarerealiseren.

Wordfence met meer configuratiemogelijkheden

Op Sucuri een heleboel dingen lopen automatisch en zonder dat de gebruiker iets hoeft te doen. Maar blijkbaar kan hier minder worden geconfigureerd. Bijvoorbeeld Wordfence expliciet blokkeren van individuele landen IP's en handmatige blokkering is ook mogelijk. Dit is vooral nuttig voor manuele hacks.

WordPress Veiligheidsmaatregelen

 WordfenceiThema's VeiligheidSucuri
Databaseback-upsNeeJaNee
WordPress veiliger makenNeeJaNee
verstoppen van informatieNeeJaNee
SchrijfbeschermingNeeJaNee
WachtwoordbeheerNeeJaNee
tweefactorige authenticatiePremiumPremiumNee

iThema's Veiligheid zoals weergegeven in de tabel, richt zich op de veiligheidsmaatregelen binnen WordPress . In totaal worden hier 30 verschillende punten verwerkt, waarvan de meeste zeer nuttig zijn. Veel van de punten zijn daarom al opgenomen in onze hosting.

iThema's Veiligheid is daarom een geweldige manier om meer veiligheid op WordPress -niveau toe te voegen aan een "onveilige" generieke hosting. De gratis versie biedt al uitgebreide bescherming. In de premium versie moet de nadruk worden gelegd op de 2-factor-authenticatie.

Daar Wordfence en Sucuri focus op het "afschermen" van de pagina. Zijn ze op deze punten nogal zwak.

Malware & Prestatieverwijdering

 WordfenceiThema's VeiligheidSucuri
Schoonmaken van hacks en verwijderen van malwareOptioneelNiet vindbaarOptioneel
Zwarte lijst Waarschuwing VerwijderingOptioneelNiet vindbaarOptioneel
Malwareverwijderingsverzoek LimietOptioneelNiet vindbaarOptioneel
Automatische reinigingGedeeltelijkNiet vindbaarGedeeltelijk
Beveiligingsanalist EscalatieOptioneelNiet vindbaarOptioneel
Volledige website schoonmaakOptioneelNiet vindbaarOptioneel
Het dichten van de veiligheidsgatenOptioneelNiet vindbaarOptioneel
back-upsNeeNiet vindbaarJa
verslag van de naschoonmaakOptioneelNiet vindbaarOptioneel
Volledig Logboek en IncidentenrapportOptioneelNiet vindbaarOptioneel
Worteloorzaak VervolgOptioneelNiet vindbaarOptioneel

Tot slot, maar niet in de laatste plaats, laten we eens kijken naar het onderwerp van malwareverwijdering. Hier zijn de prijzen op Sucuri en Wordfence vergelijkbaar. Voor een snellere verwerking vragen beide een toeslag. De aangeboden diensten zijn hier identiek. Op iThema's Ik was niet in staat om een malwareverwijderingsdienst op te sporen. Een malwareverwijdering kan 2-3 uur duren, met grote schommelingen. Aangezien we ook malware verwijderen, zijn de prijzen eerlijk.

En hoe zit het met de voorstelling?

En ten slotte, een opmerking over de prestaties. Dat zou je niet verwachten in een veiligheidsvergelijkingPlugin. Maar aangezien Sucuri biedt een CDN en een firewall in een, kan er ook een prestatieverbetering zijn, vooral bij internationale bezoekers. Met een CDN wordt de website altijd geleverd vanaf de dichtstbijzijnde server, wat bijzondere voordelen heeft voor overzeese bezoekers. Dit is echter minder belangrijk voor een WooCommercewinkel met weinig cachebare inhoud.

Onze conclusie

Dus wat is de algemene conclusie over het onderwerp WordPress veiligheid? Onze persoonlijke conclusie kan goed worden samengevat door het volgende feit: We gebruiken geen beveiligingPluginvoor onze eigen RAIDBOXES kant. We hebben nog nooit een beveiligingssitePlugin gebruikt en hebben nog nooit problemen gehad. Dit alles, hoewel onze website voor ons een absoluut centrale betekenis heeft. Op onze WordPress website worden echter geen uitgebreide klantgegevens opgeslagen. Het risico op prestatieverlies als gevolg van uitgebreid scannen was voor ons te groot en de nadelen wogen op voor ons.

Toch verhoogt een firewall de veiligheid van de website. Als u dus een maximale beveiliging wilt bereiken en de nadelen in termen van prestaties en tijd wilt accepteren, moet u kiezen voor een beveiligingsoplossingPlugin .

Vooral voor WooCommerce-winkels of bedreigde sites, die mogelijk problemen hebben gehad met malware, kan een WordPress -beveiligingPlugin nuttig zijn. Onze aanbeveling is dan ook als volgt:

Wordfence als de beste gratis oplossing

Als u op zoek bent naar een echt solide firewall met uitgebreide monitoring Wordfence zeer goed gediend. Niet voor niets is het de meest populaire beveiligingPlugin ter wereld. De premium versie vult de functionaliteit zeer nauwkeurig en verstandig aan. Tijdens de implementatie moet erop worden gelet dat de scanprocessen correct worden opgezet om prestatieproblemen te voorkomen.

iThema's Veiligheid voor generieke hosters

iThema's Veiligheid neemt werkelijk redelijke veiligheidsmaatregelen op de website, met WordPress name Voor generieke hosters is het een geweldige manier om het beveiligingsniveau te verhogen, zelfs in de gratis versie zonder uitgebreide scans en firewall.

Sucuri voor mensen die geïnteresseerd zijn in CDN

Voor degenen die toch al denken aan het gebruik van een CDN en voor wie het onderwerp DDoS-aanvallen relevant zou moeten zijn, raden wij aan Sucuri aanbevolen. Het enige wat overblijft is de ietwat slappe nasmaak van de Godaddy-groep.

Hoeveel (vermeende) veiligheid heeft u nodig?

Hoe ga je om met het onderwerp WordPress veiligheid? Vertrouwt u op de veiligheidsmaatregelen van uw hoster of laat u gewoon een bewaker rustig slapenPlugin ? Zoals altijd zijn we blij met uw commentaar!

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.