Bouncers bij de voordeur - WPsecurity deel 2

Wat kun je doen om je WordPress website te beschermen? Een firewall is een goede uitkomst. Deze werkt voor jou bij de voordeur en fungeert als een soort bouncer. Want als je hackers buiten houdt, kunnen ze binnen ook geen kwaad doen.

In het vorige artikel hebben we het gehad over het beschermen van ingebouwde ingangen en vergeten achterdeurtjes in de vorm van thema's en plug-ins. Door te blijven updaten en onnodig geraakte add-ons te verwijderen, houd je je site een stuk veiliger. 

Wat kun je nog meer doen om je publiekelijk bereikbare website te beschermen? Een firewall is een goede uitkomst. Deze werkt voor jou bij de voordeur en fungeert als een soort bouncer. Als je hackers buiten houdt, kunnen ze binnen ook geen kwaad doen.

WordFence to the rescue!

Wat is het?

WordFence is een van de meest gebruikte plug-ins op het gebied van beveiliging in de volledige WordPress plug-in directory. Met ruim drieenvijftig miljoen downloads en meer dan twee miljoen actieve installaties, beschermen ze het internet met maar een doel:

"WordFence Firewall stops you from getting hacked."

Nou, dat is nogal duidelijke praat. Ga er maar aan staan.

Hoe doen ze dat?

Door gebruik te maken van een breed scala aan technieken, houdt deze plug-in je website zelfs in de gratis variant al behoorlijk veilig. Een aantal kernpunten van de plug-in zijn:

Firewall: Alle binnenkomende verzoeken worden gescand en beoordeeld. Bekende hacks en hack-gerelateerde aanvragen worden geweigerd.

Rate Limiting: Een rate-limiter bekijkt het aantal aanvragen van een bepaald IP-adres, of het nu een Bot of een Mens is, en controleert of dit nog wel door de beugel kan.

Brute Force Protection: Ook het aantal inlogpogingen wordt gemonitord en de verbindingen worden geblokkeerd als het verdacht lijkt.

Scans: Op basis van bekende gegevens wordt een website doorgelicht. Ze kijken bijvoorbeeld naar de code van WordPress-bestanden en vergelijken die met een schone installatie van dezelfde versie. Als daar verschillen tussen zitten, klopt er iets niet. Hetzelfde geldt voor thema's. Daarnaast kijken ze naar of er überhaupt bestanden gewijzigd zijn en sturen je een melding als dat gebeurt, voor het geval dat je het zelf niet bent.

Meldingen: Is er een update voor WordPress zelf, een plug-in of een thema? Je krijgt een seintje wanneer dat zo is.

Waarom zou ik?

Is het echt zo belangrijk, een firewall op je WordPress-website? Er is maar een goed antwoord op deze vraag: JA.

Een aantal weken geleden schreef ik een artikel over mijn gehackte server. Op dat moment werd ik geconfronteerd met de harde realiteit over internetcriminaliteit: het houdt gewoon niet op. Dat doet het pas op het moment dat je er heel hard tegen optreedt, bijvoorbeeld door een firewall er voor te zetten.

"Ja, maar ik heb maar een simpel blog en alleen mijn familie kijkt er op." Dat maakt niet uit, want zo'n blog heb ik ook. Wekelijks vier bezoekers vanuit de familie, misschien tien als mijn vrouw mijn nieuwe post op Facebook zet. En toch zit ik deze maand - die nog geen twee weken aan de gang is - al op veertig geblockte aanvallen.

"Ja, maar ik gebruik helemaal geen WordPress." Nee, dan kun je inderdaad geen WordFence gebruiken. En toch moet je dan wel opletten dat je je blog of website goed beveiligt. Voor dit blog maken we ook geen gebruik van WordPress en toch zien we dagelijks aanvragen op wp-admin terugkomen. 

Conclusie

Al met al is 'veilig op internet' maar een lastige kwestie. Je blijft aan de gang met continue verbeteren en beveiligen. Het is handig als een enkele plug-in zoals WordFence dan kan helpen. Wil je nog extra beveiligd zijn, kun je de Premium variant van deze plug-in overwegen. Dit biedt dan weer net dat beetje extra. Maar, zelfs de gratis variant doet al uitstekend werk. En samen met een goed plug-in en template-beleid, kom je al een heel eind.