Het beveiligen van WordPress kan je vergelijken met een tikkende tijdbom: je weet nooit wanneer de bom afgaat. Wist je dat er elke dag duizenden WordPress-sites worden gehackt? Ook voor jouw site is het een serieus probleem, eentje die je het liefst in de kiem smoort, voordat het uitgroeit tot iets dat je hele site platgooit!
Er zijn twee manieren om je WordPress-site te beschermen: allereerst is het zaak om met een veilige hostingservice in zee te gaan (zoals managed WordPress hosting), een die een bewezen staat van dienst heeft en de best practices uit de sector opvolgt. Daarnaast is het belangrijk dat je de beveiliging van je site opschroeft door een externe beveiligingsdienst in de arm te nemen.
Wat betreft de beveiliging van WordPress-sites, zijn Wordfence en Sucuri de twee populairste opties. Beide leveren ze een breed scala aan beveiligingsfuncties om je website veilig te houden. Wat betreft hun features kan je stellen dat ze hetzelfde zijn, maar toch verschillend.
Wordfence of Sucuri? Als je je afvraagt welke van de twee het beste bij jouw website past, dan helpt dit artikel met het nemen van de beslissing. Ik heb ze beide uitgebreid gebruikt en ze 1-op-1 vergeleken op verschillende vlakken: prestaties, prijzen en de totale waarde van geleverde diensten.
Je kan deze informatie gebruiken om te kijken welke optie het meest geschikt is voor jou.
Klinkt goed? Laten we beginnen!
Inleiding tot de beveiliging van WordPress
WordPress is het meest populaire Content Management Systeem (CMS) ter wereld. Het is zo populair dat het meer dan 35% van de websites aandrijft. En deze populariteit zorgt uiteraard ook voor problemen!
WordPress wordt constant bedreigd door hackers. Volgens een rapport van GoDaddy Security waren 90% van alle gehackte CMS-platforms in 2018 WordPress-sites. Google zet bijvoorbeeld dagelijks 10.000 websites op zijn blacklist voor het hosten en verspreiden van malware. Deze geblackliste sites verliezen daarmee tot wel 95% van hun organisch verkeer.
41% van de gehackte WordPress-sites worden gehackt vanwege kwetsbaarheden in het hostingplatform. Om die reden kan het uitkiezen van een goed beveiligd WordPress-hostingplatform je een hoop leed besparen.
Wellicht nog alarmerender is het feit dat 60% van de kleine bedrijven binnen 6 maanden sluit na een cyberaanval. Aangezien een grote meerderheid van hackpogingen zich richt op mkb is het goed beveiligen van je website nóg belangrijker.
Hoe hackers inbreken op WordPress-sites
Slechts 36,7% van de gehackte WordPress-sites waren gehackt omdat ze draaiden op verouderde kwetsbare versies van WordPress. Waar de meeste aanvallers zich op richten bij WordPress-sites zijn de uitbreidbare componenten, de plugins en thema’s.
Plugins vormen het grootste risico! Zoals we al schreven in Kinsta’s WordPress beveiligingsartikel, vormen plugins samen met bekende en onbekende kwetsbaarheden het grootste deel van WordPress-hacks. Uit een studie van Wordfence bleek dat ze samen 55,9% van de bekende backdoors vertegenwoordigen.
Een andere populaire hackmethode richt zich op het raden van zwakke wachtwoorden door middel van bruteforce. Deze aanvallen maken samen 16,1% van de totale hackpogingen uit. De studie onthulde nog een schokkend feit: 61,5% van de website-eigenaren van wie de site was gehackt, was zich niet eens bewust dat hun site was gehackt.
Hoe je je WordPress-site kan beveiligen
Er zijn drie cruciale pijlers om te zorgen dat je WordPress-site is beschermd tegen cyberaanvallen:
Preventie
Of het nou om een menselijke ziekte gaat of digitale malware, voorkomen is altijd beter dan genezen!
WordPress is dan wel gratis, maar de kosten van het bouwen van een WordPress-site en het vervolgens beveiligen en onderhouden, zijn dat niet. Helaas staat beveiliging vaak onderaan in de lijst met prioriteiten bij het bouwen van een website.
Het team achter WordPress core (de kern van WordPress) levert fantastisch werk als het gaat om het beveiligen van WordPress. Maar zoals we eerder vermeldden, de meeste WordPress-hacks komen niet voort uit fouten in de kernsoftware.
Preventie richt zich op het weren van schadelijke code uit je WordPress-sites. Meestal wordt dit gedaan door firewalls, antivirussoftware, e-mailfilteroplossingen, beschermen tegen DDoS-aanvallen, bots, etc.
Detectie
Detectie wil niets anders zeggen dan dat je op de hoogte bent van beveiligingsincidenten zodra deze zich voordoen. Hierdoor kan je meteen actie ondernemen en kan je je website beveiligen voordat er aanzienlijke schade wordt aangericht.
Denk hierbij aan inbraakdetectiesystemen, netwerkscanners, integriteitsmonitoring, etc.
Veel eigenaren van gehackte WordPress-sites weten niet eens dat hun site is gehackt. Daarom is het van cruciaal belang om over betrouwbare detectiesystemen te beschikken, vooral op hostingniveau. Beveiligingsplugins zoals Sucuri of Wordfence zijn hierbij fantastische hulpmiddelen.
Reactie en herstel
Hoop op het beste, maar bereid je voor op het ergste! Reactie en herstel richt zich op het snel en efficiënt aanpakken van beveiligingsincidenten.
Een goed herstelproces moet niet alleen alles opschonen na een aanval, maar ook back-up- en forensische functies bevatten. Hiermee zorg je ervoor dat je soortgelijke incidenten in de kiem smoort, voordat ze zich voordoen.
Dit is een belangrijke reden waarom je gedegen onderzoek zou moeten doen naar hoe serieus je hostingbedrijf bezig is met beveiliging, het liefst nog voordat je je aanmeldt. Als je WordPress-site bijvoorbeeld wordt gehackt, terwijl je deze bij Kinsta host, dan werken de beveiligingsspecialisten van Kinsta met je samen om de malware te identificeren en te verwijderen.
Beveiligingsdiensten zoals Sucuri of Wordfence bieden soortgelijke reactiediensten aan als onderdeel van hun professionele pakketten.
Sucuri vs Wordfence
Zowel Sucuri als Wordfence helpen je met het beveiligen van je WordPress-site. Het verschil zit hem in hun aanpak. Als we ze tegen elkaar opstellen, ziet het er zo uit:
Sucuri | Wordfence | |
Prijzen firewall (WAF) | Vanaf $9,99/maand | Vanaf $99/jaar |
Prijzen voor verwijderen malware | Vanaf $199,99/jaar – onbeperkte cleanups | $179 per cleanup |
Gratis plugin | Ja | Ja |
Web Application Firewall (WAF) | Ja, maar alleen voor Premium-klanten | Ja, gratis |
Website Integriteitsscan | Ja | Ja |
Ondersteuning voor SSL-certificaten (voor WAF) | Ja | Nee |
Bescherming tegen DDoS-aanvallen | Ja | Nee |
Preventie tegen zeroday-aanvallen | Ja | Nee |
CDN voor verbeterde prestaties | Ja | Nee |
Cloudbased platform | Ja, scannen op afstand | Nee |
Zelf gehost platform | Nee | Ja, lokaal scannen |
Tweaks voor systeembeveiliging | Nee | Ja |
De bovenstaande tabel laat de belangrijkste verschillen tussen Sucuri en Wordfence goed zien. Laten we deze diensten nu eens van dichterbij bekijken!
Beoordeling Sucuri
Inleiding Sucuri
Sucuri is een cloudbased websitebeveiligingstool voor het beveiligen van websites. Het filtert al het verkeer naar je website nog voordat het verkeer je hostingserver bereikt.
De belangrijkste features zijn malwaredetectie, integriteitsmonitoring en het verbeteren van de beveiliging. Sucuri scant alles op afstand en voert daarom geen diepe scans uit op serverniveau.
Sucuri belooft websites te beschermen, prestaties te verbeteren, te monitoren op hacks en biedt onbeperkte support bij beveiligingsincidenten (echter wel alleen voor premium gebruikers).
Houd er rekening mee dat Sucuri geen wondermiddel is en voorziet in alle beveiligingsbehoeften van je website. Het is ontworpen als aanvulling op de al bestaande beveiliging van je website. Toch biedt Sucuri veel tools om het risico op hacks te verminderen, wat voor meer gemoedsrust en meer controle over je beveiliging moet zorgen.
De werking van Sucuri
Als we het hebben over hoe Sucuri werkt, dan kunnen we onderscheid maken tussen drie niveaus:
- Sucuri Security is een gratis plugin die wordt geleverd met standaard WordPress-beveiligingsfeatures. De gratis versie van de plugin bevat geen firewall.
- Sucuri Firewall (WAF) is een betaalde dienst die je kan integreren met de gratis Sucuri Security plugin. Je kan de plugin ook gebruiken zonder de plugin. De dienst bevat features om je website te beschermen zoals Website Application Firewall (WAF), CDN voor optimalisatie van prestaties, loadbalancing voor hoge beschikbaarheid, Intrusion Detection System (IDS), DDoS-mitigatie en tal van andere tools.
- Sucuri Platform is een suite van premium cloudbased beveiligingsdiensten. De dienst bevat alles wat Sucuri Firewall ook levert, plus andere belangrijke functies, zoals monitoring, detectie en reactie op incidenten. Wanneer je je aanmeldt voor het Sucuri Platform kan je het team van Sucuri vragen om alle waarschuwingen voor malware en blacklists te verwijderen voor je website.
Voor een beter begrip volgt hier een korte video over hoe Sucuri in de praktijk werkt:
Sucuri houdt elke wijziging aan je website bij en slaat de logs op naar haar eigen cloudservers. Deze logboeken kan je controleren om erachter te komen wat er precies is misgegaan. Hiermee kan je beveiligingsproblemen snel en efficiënt oplossen.
Beveiligingsinstellingen en beschikbare features
Je kan Sucuri’s aanbod voor WordPress-sites opdelen in twee producten: de gratis plugin Sucuri Security en een premium cloudbased Sucuri Firewall (WAF).
Laten we eerst naar de gratis plugin kijken.
Het dashboard van Sucuri Security heeft een eenvoudige interface die je een goed overzicht geeft van de beveiliging van je WordPress-site.
De primaire taak van het dashboard is om je te informeren over de integriteit van de kernbestanden van WordPress. Het geeft je een waarschuwing als het aangetaste kernbestanden aantreft. Vervolgens kan je passende actie ondernemen: de geïnfecteerde bestanden vervangen door de originele of ze markeren als false positives.
In het tabblad Audit Logs vind je elke wijziging die aan je site gemaakt is. Onder de tabbladen iFrames, Links, en Scripts vind je elk script en elke link naar je website.
In mijn geval was de waarschuwing een false positive. Ik heb deze dus handmatig als “opgelost” gemarkeerd. Sucuri onthoudt dit voor de volgende scan.
Het paneel Settings heeft veel tabbladen die je kan aanpassen zodat Sucuri je site nog beter beschermt. In het tabblad genaamd General Settings kan je de algemene instellingen vinden. Denk hierbij aan de mappen API Key (API-sleutels) en Data Storage (Gegevensopslag). Verder vind je hier de instellingen van de logboekexporter, Log Exporter en andere diensten als Reverse Proxy, IP Address Discoverer en Timezone Override.
Ook kan je hier de algemene instellingen van Sucuri importeren of exporteren.
Laten we eens naar het tabblad Scanner gaan. Hier kan je de geplande taken van Sucuri zien, onder Scheduled Tasks vind je de instellingen van de WordPress Integrity Diff Utility (om de bestanden op je server te vergelijken met de originele) en een lijst met False Positives.
Als je wil dat de scanners van Sucuri bepaalde bestanden en mappen overslaan, dan kan je dat hier instellen. Deze tool is nuttig als je niet-codegerelateerde bestanden en mappen hebt die je wil negeren, omdat het scannen ervan veel resources kost. Denk hierbij aan mediabestanden, back-ups en andere bestanden.
In het tabblad Hardening kan je de standaard WordPress- en PHP-beveiligingsmethoden toepassen. Onder Whitelist Blocked PHP Files heb je de mogelijkheid om bepaalde PHP-bestanden uit te sluiten van de strenge restricties.
In het geval van een aanval of breach is het tabblad Post-Hack een reddende engel. Hier kan je je geheime sleutels bijwerken onder Update Secret Keys, wachtwoorden resetten onder Reset User Password, Reset Installed Plugins gebruiken om bestaande plugins te resetten en alle bestaande plugins en thema’s bij werken onder Available Plugin and Theme Updates.
Ook het tabblad Alerts is erg handig. Hier kan je instellen wie waarschuwingen moet ontvangen (Alerts Recipient), kan je een lijst opgeven met vertrouwde IP-adressen onder Trusted IP Addresses. Ook kan je instellen waarover je een waarschuwing wil ontvangen, onder Alert Subject. Ten slotte kan je Alerts Per Hour gebruiken om aan te geven hoeveel waarschuwing je per uur wil ontvangen. Je kan instellen wat voor soort beveiligingswaarschuwingen (Security Alerts) het waarschuwingsmechanisme activeren en welke typen moeten worden genegeerd (meestal die van externe plugins). Dit is een geweldige Dectectie feature.
Het tabblad API Service Communication is redelijk straightforward. Het is bedoeld voor ontwikkelaars die toegang willen tot de externe API-dienst van Sucuri.
Ten slotte bevat het tabblad Website Info bijna alles wat je wil weten over je website en de webserver waarop deze wordt gehost. Binnen de sectie Access File Integrity kan je de integriteit van je .htaccess-bestand checken.
Als je je site door een managed hostingplatform als Kinsta laat hosten, hoef je je hierover geen zorgen te maken. Kinsta maakt namelijk geen gebruik van cPanel en heeft haar eigen custom gebruikerspaneel genaamd MyKinsta.
De cloudbased firewall van Sucuri is een premium dienst. Deze tool is erg handig om junk traffic, DDoS-aanvallen en slechte bots te filteren.
Het doet zijn werk uitstekend, zelfs zonder de plugin (wat de aanbevolen manier is). Je hoeft alleen maar de DNS van je host naar hun nameservers te verwijzen.
Lees de uitgebreide gids over de Sucuri Firewall om meer te weten te komen over alle functies.
De meeste webhosts, waaronder Kinsta, hebben beveiligingsfuncties om IP-adressen met spam en bots te blokkeren/filteren. Kinsta heeft daarnaast ook nog beveiligingsinstellingen waarmee je IP-beperkingen kan instellen.
Een professionele WAF-service zoals Sucuri, wiens bedrijfsmodel vooral is gericht op het wegnemen van schadelijk verkeer, biedt gedetailleerdere controle.
Het is daarom niet ongebruikelijk dat gebruikers zich aanmelden voor de cloudbased firewall van Sucuri als back-up en er alleen naar overschakelen in geval van een aanval. Sucuri maakt dit gelukkig erg eenvoudig.
Welbeschouwd is Sucuri dus veel meer dan de zoveelste beveiligingsplugin of firewall. Het is een complete webbeveiligingsoplossing om je sites te beschermen tegen vrijwel elke aanval.
Gebruiksgemak
Sucuri is eenvoudig in gebruik. De gebruikersinterface is duidelijk en overzichtelijk. Als Sucuri een bepaalde handeling aanbeveelt, bijvoorbeeld om de beveiliging op te schroeven, dan kan je dit met slechts één muisklik doen.
Zodra je de plugin hebt geïnstalleerd, moet je de gratis API-sleutel genereren. Dit kan je rechtstreeks vanuit je WordPress-dashboard doen.
Sucuri automatiseert de meeste van zijn beveiligingsfuncties, zodat je maar één keer hoeft in te stellen en er nooit meer naar om hoeft te kijken. Je hoeft je ook geen zorgen te maken over het updaten of onderhouden van de plugin.
Sucuri waarschuwt je wanneer er iemand heeft ingebroken op je site. Als je handmatig de controle wil overnemen, dan geeft de tool je veel opties. En aangezien Sucuri’s WAF cloud-based is, hoef jij aan jouw kant geen technisch onderhoud te plegen.
Al met al vond ik dus dat Sucuri erg makkelijk in te stellen en te gebruiken is.
Hoe Sucuri scoort op de 3 pijlers van webbeveiliging
Preventie
De gratis Sucuri Security-plugin is meer dan geschikt om je WordPress-site in de gaten te houden en standaard beveiligingsmaatregelen toe te passen. Maar de tool is niet gebouwd om grote aanvallen op je website te voorkomen.
Als je op zoek bent naar een gratis WordPress-beveiligingsoplossing, dan zou ik Sucuri Security niet aanraden. Ga er dus niet vanuit dat deze plugin je website veilig houdt.
Daarvoor moet je bij Sucuri Firewall zijn. Deze dienst levert fantastisch werk en beschermt je tegen DDoS-aanvallen, bots en hacks om je klantgegevens te bemachtigen. Het Sucuri Security Platform gaat nog een stap verder en voegt nog meer preventieve maatregelen toe.
Om je een praktijkvoorbeeld te geven uit een casestudy van Kinsta: het toevoegen van Sucuri Firewall aan een kleine e-commercesite die door DDoS-aanvallen werd geterroriseerd, zorgde dat het beveiligingsprobleem binnen een uur werd opgelost.
Detectie
De gratis plugin van Sucuri is erg goed om zelfs de kleinste verandering aan je website op te sporen. Als er afwijkingen worden gevonden, dan word je hiervan onmiddellijk op de hoogte gesteld, zodat je de juiste actie kan ondernemen.
Zelfs als een hacker je heeft buitengesloten van je site, kan je de logboeken raadplegen, die zijn opgeslagen op de cloudservers van Sucuri, om erachter te komen wat er is gebeurd en hoe je de controle weer terugkrijgt.
Het is echter het premium Sucuri Security Platform dat schittert als het aankomt op monitoring en detectie. Het platform levert allerlei extra functies, zoals regelmatige server-side beveiligingsscans, blacklist monitoring, SSL monitoring, directe meldingen en Log Correlation Integration (SIEM).
Reactie en herstel
Een webbeveiligingsplatform zou niet compleet zijn als het geen manier biedt om een gehackte website te herstellen.
Gelukkig voor mij heb ik onder de bescherming van Sucuri nog nooit een beveiligingsincident gehad. Maar er zijn mensen die minder fortuinlijk waren en zij hebben hun ervaringen gedeeld op beoordelingssites als G2.com.
Hieronder vind je een website-eigenaar die zeer te spreken was over Sucuri.
“Toen ik plotseling besefte dat mijn website, die voornamelijk werd gebruikt door leerkrachten en kinderen, was gehackt, moest ik het probleem zo snel mogelijk oplossen. Binnen een half uur nadat ik het probleem had gemeld en me had aangemeld voor hun dienst, had Sucuri mijn website weer hersteld en werkend gekregen. Ik zal mijn website nooit meer onbeschermd houden, en ben erg tevreden over hoe Sucuri deze beveiligingskwestie afhandelde.”
En hier is een webdesigner die haar positieve ervaring met Sucuri deelt. Ze gebruikt het platform om de WordPress-websites van haar klanten schoon te houden.
“Mijn klanten hadden vaak problemen met hun WordPress-sites. Sinds ik mijn klanten heb aangemeld, zijn hack-gerelateerde problemen verleden tijd.”
Houd er rekening mee dat er nogal wat beoordelingen zijn waarbij gebruikers klagen over de tijd die Sucuri nodig heeft om op tickets te reageren. Inzicht in de prijsstrategie van Sucuri verklaart dit probleem.
Prijzen Sucuri
We komen nu bij het belangrijkste gedeelte: de prijzen.
Sucuri Firewall (WAF) begint bij $9,99/maand en Sucuri Platform kost vanaf $199,99/jaar. Als je je aanmeldt voor het Sucuri Platform, krijg je onbeperkt toegang tot het verwijderen van malware en het herstellen van hacks.
Alle premium pakketten van Sucuri bevatten een niet-goed-geld-terug-garantie van 30 dagen.
De goedkopere pakketten van Sucuri bevatten dezelfde features als de duurdere, behalve ondersteuning van SSL-certificaten op je origin server (die krijg je vanaf het op een na goedkoopste pakket).
Het echte verschil tussen de goedkopere en duurdere pakketten zit hem in de prioriteit die Sucuri geeft aan de scans en de reactie-en-herstel.
Deze prijsstrategie geeft elke klant van Sucuri dezelfde preventie- en detectiefeatures, maar wat betreft scans en het verwijderen van malware, krijgen klanten die hebben betaald voor de duurdere pakketten de hoogste prioriteit.
Dat betekent dat iedereens ticket wordt beantwoord, maar dat dit voor de laagste pakketten in de meeste gevallen niet onmiddellijk gebeurt. Als je sneller geholpen wil worden, dan zul je dus een duurder pakket aan moeten schaffen. Ter vergelijking: een gelijkwaardige beveiligingsoplossing kost bij Cloudflare $200/maand.
Ik begrijp waarom deze benadering voor frustratie zorgt, helemaal voor gebruikers met een gehackte website die willen dat het snel wordt opgelost. Maar gezien de waarde die je ontvangt voor hetgeen je betaalt, is het op de lange termijn een erg goede deal voor de meerderheid van de gebruikers van Sucuri.
We hebben nu Sucuri besproken. Tijd om naar Wordfence te gaan en zien hoe deze twee zich tot elkaar vergelijken.
Beoordeling Wordfence
Inleiding tot Wordfence
Wordfence is een gratis WordPress-beveiligingsplugin met een endpoint-firewall (WAF) en een malwarescanner.
De plugin beschikt daarnaast over beveiligingsmaatregelen als inlogbeveiliging (2FA, inlogpagina, CAPTCHA, limiet inlogpogingen), Live Traffic, en geavanceerde op regels gebaseerde blokkering.
In tegenstelling tot Sucuri is Wordfence een gelokaliseerde firewall. Het staat op jouw webserver en is dus geen clouddienst. Daarom kan de plugin op een dieper niveau server-side scans uitvoeren en biedt hij volledige end-to-end encryptie.
Maar dit voordeel gaat wel ten koste van prestaties.
Waarom? Omdat de resources van je server worden ingezet om het verkeer te analyseren, te controleren op “slechte” bedoelingen en, indien nodig, het verkeer toegang te weigeren. Als je je website host op een server met minder resources (bijv. shared hosting en goedkope managed hosting-abonnementen), dan kan dit de snelheid van je site significant beïnvloeden.
In het geval van een DDoS-aanval, kan de enorme stroom aan verkeer de resources van je server overbelasten. Daar kan geen enkele lokale beveiligingsplugin tegenop. Dat is dan ook meteen de grootste zwakte van Wordfence ten opzichte van Sucuri.
Als je bijvoorbeeld de WAF van Sucuri gebruikt, dan wordt het “slechte verkeer” in de cloud voor je eruit gevist, dus nog voordat het de server kan bereiken.
Dat gezegd hebbende is de gelokaliseerde WAF van Wordfence geheel gratis, terwijl je moet betalen voor de premium cloud-WAF van Sucuri.
Hoe Wordfence werkt
De firewall van Wordfence wordt aangedreven door hun Threat Defense Feed, wat een mooie term is voor het verzamelen van firewallregels, schadelijke IP-adressen en malware-handtekeningen.
De Threat Defense Feed is geïntegreerd met de Wordfence-plugin die je op je WordPress-site installeert. Het wordt aangedreven door je server.
Met Wordfence Premium krijg je realtime updates binnen de Threat Defense Feed. Deze bevat functies als:
- Real-time IP Blacklist, Firewall Regel en Malware Signature Updates.
- Premium Support.
- Site/IP Reputatie Checks.
- Blokkering op Landniveau.
Gratis gebruikers krijgen de kritieke updates pas na 30 dagen nadat ze live gaan. Ook krijgen ze geen realtime IP-blacklisting. Hoewel dit een goede optie lijkt voor persoonlijke websites, kan het een dealbreaker zijn als je een bedrijfs- of e-commercesite host.
Er is één voordeel dat een endpoint-firewall heeft ten opzichte van cloudfirewalls. Omdat het volledig door je server wordt aangedreven, kan het in theorie geen data lekken en ook niet worden omzeild. Een cloudfirewall kan daarentegen wél data lekken of worden omzeild als de aanvaller het IP-adres van je server kent.
Beveiligingsinstellingen en beschikbare features
Wordfence opereert vanuit je webserver. Je kan daarom alle instellingen vinden in je WordPress-dashboard.
Het dashboard is strak en informatief. Het biedt je in één oogopslag essentiële informatie en waarschuwingen.
De scanner van Wordfence voert een integriteitscontrole uit op elk bestand op je server. Het laat je meteen weten wanneer een niet-officieel WordPress-core bestand of niet-officiële thema’s/plugins worden aangetroffen.
Het vergelijkt de code binnen jouw serverbestanden met die van bekende malware. Als het iets verdachts vindt, ook al is het maar een of twee regels, dan krijg je een waarschuwing. Ook krijg je meldingen als een van je thema’s of plugins een update beschikbaar heeft.
Laten we nu eens kijken naar het Firewall-paneel van Wordfence. Hier kan je de WAF-instellingen van Wordfence beheren en de configuratie ervan optimaliseren.
Wanneer je Wordfence voor het eerst installeert, staat de WAF standaard een week in Learning Mode. Dit betekent dat de plugin je site en bezoekers grond bestudeert, zodat deze begrijpt welke regels moeten worden toegepast om alleen legitiem verkeer door te laten in de firewall.
De feature Real-Time IP Blacklist is alleen beschikbaar voor premium gebruikers.
Als je Brute Force Protection inschakelt, dan beschermt Wordfence je tegen aanvallers door hun account te blokkeren na een aantal mislukte pogingen om het wachtwoord te raden. Ook dwingt deze functie je om je wachtwoord te wijzigen als het denkt dat het een zwak, makkelijk te raden wachtwoord is.
In het tabblad Blocking kan je verkeer blokkeren op basis van IP-adressen, IP-ranges, browser, hostname en de locatie vanwaar is verwezen naar je site. Blokkering op landniveau is echter een premium functie. Je kan verschillende blokkeringsregels samenvoegen en deze opslaan als Block Type.
In de sectie Firewall Options kan je IP-adressen en diensten op de whitelist zetten, IP-adressen instellen die moeten worden genegeerd in de WAF-waarschuwingen, inloglimieten instellen en URL’s whitelisten.
Met Wordfence kan je ook IP’s blokkeren die toegang willen krijgen tot bepaalde URL’s. Dit is handig als iemand je website herhaaldelijk onderzoekt op bekende kwetsbaarheden.
Nu is het tijd om naar het instellingentablad van Scanner te gaan.
Hier vind je de scantaken van Wordfence. De eerste drie tests zijn controles op spam en de blacklist en kunnen alleen door premium gebruikers worden gebruikt.
Als de scan iets ongewoons detecteert, krijg je een waarschuwing.
In de sectie Scan Options and Scheduling kan je de gevoeligheid van de scanner, de scanfrequentie en de whitelist=bestanden instellen. Ook kan je de scans optimaliseren voor de opstelling van jouw server.
Wordfence wordt geleverd met een hoop andere handige Tools.
Met de tool Live Traffic kan je bijvoorbeeld in real-time zien wat er gebeurt op jouw site. Je kan deze filteren op alleen beveiligingsgerelateerd verkeer. Hiermee zie je alle gebruikersaanmeldingen, hackpogingen en schadelijke verzoeken.
Hoewel het zeker een gave feature is, vreet Live Traffic veel serverresources. Ik raad dan ook aan om het uit te schakelen als je het niet gebruikt.
Andere tools zijn onder meer Whois Lookup, Import/Export Options en Diagnostics.
Ook kan je hier Two-Factor Authentication (2FA) inschakelen voor alle logins op je WordPress-site. Dit doe je in de module Login Security van Wordfence. Voorheen was dit een premium functie, maar tegenwoordig is hij gratis.
Je kan gratis mobiele apps gebruiken zoals Google Authenticator, FreeOTP of Authy (mijn persoonlijke favoriet) gebruiken om 2FA op te zetten.
Je kan 2FA inschakelen voor alle gebruikersrollen. Het is een effectieve manier om jezelf en je gebruikers te beschermen tegen bruteforce-aanvallen, zoals het raden van wachtwoorden.
Ook kan je een IP-whitelist instellen voor 2FA, zodat bepaalde IP’s tijdens het inloggen geen extra beveiligingscontroles hoeven te doorlopen. Als je vooral vanuit één locatie werkt, dan kan je hiermee zorgen dat je niet elke keer hoeft in te loggen met 2FA.
Andere beveiligingsfuncties voor inloggen om bruteforce-aanvallen te stoppen zijn:
- Het beperken van het aantal mislukte inlogpogingen en “wachtwoord vergeten”. Na een bepaald aantal pogingen wordt de gebruiker buitengesloten.
- Sterke wachtwoorden afdwingen voor de hele site.
- Gebruikersregistraties voorkomen met bepaalde gebruikersnamen (bijv. Admin)
- Onmiddellijk mensen blokkeren die in willen loggen op specifieke gebruikersnamen (zoals admin, jouwsite_admin, etc.).
- XML-RCP-verificatie uitschakelen, een veelvoorkomende aanvalsmethode om malware te injecteren.
Ten slotte bevat Wordfence het paneel All Options waar je elke instelling van Wordfence kan vinden. En dit is zeker welkom, gezien de uitgebreide opties die Wordfence beschikbaar stelt.
Gebruiksgemak
Wat gebruiksvriendelijkheid betreft is Wordfence vergelijkbaar met Sucuri Security en dus uiterst eenvoudig in gebruik. Na het installeren en activeren van de plugin, gaat Wordfence onmiddellijk een week in de Learning Mode.
Op basis van je serverinstellingen en verkeer, past het automatisch de aanbevolen firewall- en scaninstellingen toe. In mijn ervaring zijn deze instellingen meer dan genoeg om je te beschermen tegen de meeste aanvallen.
De inlogbeveiligingsfuncties zijn makkelijk in te stellen en werken goed.
Als je website wordt aangevallen door een DDoS-aanval, dan kan dit wel ervoor zorgen dat Wordfence je server vertraat. In de meest extreme gevallen kan dit de server zo overweldigen dat je geen toegang meer hebt tot je WordPress-beheerdersdashboard.
Omdat Wordfence een gelokaliseerde oplossing is, heb je volledige controle over de instellingen. Hoewel dit handig kan zijn als je technisch bekwaam bent, brengt dit voor de meeste WordPress-gebruikers alleen maar gedoe. Het is dus niet per se een voordeel.
Over het algemeen kan je dus stellen dat Wordfence erg eenvoudig in gebruik is, zolang het naar behoren werkt.
Hoe Wordfence scoort op de 3 pijlers van webbeveiliging
Preventie
In tegenstelling tot de gratis oplossing van Sucuri, die geen firewall bevat, heeft Wordfence wél het arsenaal om de meeste aanvallen tegen te houden. Niet alleen past de plugin de standaard beveiligingsmaatregelen toe, ook wordt deze geleverd met een server-side WAF.
De meest recente bedreigingsupdates updates zijn echter voorbehouden aan premium gebruikers. Gratis gebruikers krijgen de updates pas 30 dagen na uitgave. En omdat je eigen webserver Wordfence host (en het dus geen clouddienst is), zelfs met de premium versie, moet je een mogelijke DDoS-aanval helemaal zelf oplossen.
Ik snap het idee achter deze financiële beslissing, maar beveiligingstechnisch is de alles-of-niets-aanpak van Sucuri beter. Je zou namelijk kunnen denken dat je met Wordfence bent beschermd tegen de meest populaire bedreigingen, terwijl je dat in de praktijk niet bent.
Dat gezegd hebbende, de premium versie van Wordfence levert uitstekend werk als het gaat om preventie van aanvallen. Hun blog en YouTube-kanaal zijn waardevolle bronnen om jezelf op de hoogte te houden van de nieuwste beveiligingsdreigingen voor WordPress.
Detectie
De gratis Wordfence plugin presteert redelijk wanneer het gaat om het detecteren van de meeste beveiligingsproblemen. Maar je hebt een premium pakket nodig als je de meest recente bedreigen buiten de deur wil houden.
Als een hacker je met succes heeft buitengesloten van je website, dan kan je de logboeken niet controleren, iets wat bij Sucuri wel mogelijk is. Het onderzoeken van een hack is dus potentieel vele malen moeilijker.
Je hebt geen andere keus dan contact opnemen met je hostingprovider of een externe beveiligingsdienst, waar ironisch gezien ook Wordfence onder valt.
Afgezien daarvan heeft Wordfence, in vergelijking met Sucuri, beperkte aanpassingsmogelijkheden wat betreft waarschuwing, ook al werkt het systeem verder prima. Het laat je onmiddellijk weten wanneer er een beveiligingsafwijking wordt gevonden.
Reactie en herstel
Zoals eerder opgemerkt, sta je er na een hack bij Wordfence zelf voor. Maar zelfs met het premium pakket, biedt Wordfence geen reactie- en hersteldienst.
Dit is een citaat dat rechtstreeks afkomstig is uit de gebruiksvoorwaarden van Wordfence:
“De ondersteuning die wij leveren binnen Wordfence Premium beperkt zich tot 2 uur ondersteuning per incident. We behouden ons het recht voor om verdere ondersteuning te weigeren of om kosten in rekening te brengen na deze 2 uur ondersteuning.”
Voor een volledige oplossing moet je een andere dienst van hun aanschaffen, genaamd WordPress Site Cleaning. Deze kost $179 per incident (plus eventuele extra kosten wanneer er veel vraag is).
Deze WordPress Site Cleaning-dienst omvat:
- Het opschonen van de geïnfecteerde site door alle schadelijke code en links te verwijderen.
- Onderzoek naar hoe de site is geïnfecteerd.
- Het leveren van gedetailleerd rapport van het onderzoek naar en verwijderen van de infecties.
- Het aanmelden van de site bij anti-malware- en anti-spam-blacklists om verwijderd te worden.
- Het geven van een checklist om toekomstige aanvallen te voorkomen.
Ik heb nog geen gebruik hoeven te maken van deze site-schoonmaakservice, maar deze lijst lijkt uitgebreid genoeg. Hier zijn een paar goede recensies die ik op Twitter heb gevonden:
Vergeleken met de diensten die Sucuri levert omtrent het verwijderen van malware en het opschonen na hacks, die bij het premium Sucuri Platform inbegrepen zit, lijkt de opschoondienst van Wordfence duurder.
Daarnaast krijg je met Sucuri onbeperkte malwareverwijderingen tijdens je abonnementsperiode, terwijl de malwareverwijderingsservice van Wordfence maar voor een aanval geldt. Als je site een paar maanden later weer wordt geïnfecteerd, dan moet je opnieuw dezelfde vergoeding betalen voor verwijdering.
Prijzen Wordfence
De beveiligingsplugin Wordfence is gratis te downloaden. Momenteel is het de best beoordeelde en de meest geïnstalleerde beveiligingsplugin binnen de WordPress-pluginbibliotheek.
Wordfence Premium kost vanaf $99/jaar voor 1 site. Je krijgt korting als je meerdere sites toevoegt aan je bestelling. Hoe meer sites je toevoegt, hoe hoger de korting!
De impact van beveiligingsplugins op siteperformance
WordPress-plugins vormen niet alleen het grootste beveiligingsrisico, maar hebben als groep een enorme impact op de prestaties van je site. Dit geldt met name voor beveiligingsplugins, omdat ze altijd “aan” moeten staan en vaak je site scannen.
Een uitzondering hierop vormen cloud-based oplossingen zoals Sucuri Firewall of Cloudflare. Ze zijn erg geschikt als je extra bescherming zoekt, helemaal als het gaat om bots en proxyverkeer.
Samenvatting
Sucuri vs Wordfence. Wat is de beste keuze?
Wat websitebeveiliging en prestaties betreft is Sucuri de betere keuze, vooral als het succes van je bedrijf of e-commercezaak van het functioneren van je website afhangt.
Als je op zoek bent naar een gratis webfirewall, dan is Wordfence wellicht de betere keuze. Als je hier inderdaad voor kiest, dan raad ik aan om deze te combineren met een betrouwbare gratis CDN, zoals Cloudflare.
Als puntje bij paaltje komt, komt het allemaal neer op je hosting. Een goede hostingprovider neemt je de beveiliging uit handen en zorgt zelf voor de meest beveiligingsmaatregelen. Zij snappen dat de prestaties van hun servers en diensten onder deze externe plugins lijden.
In het ideale geval vergrendelt je host de code en kan deze alleen vanaf een beperkt aantal locaties en instanties worden uitgevoerd. Ook beperken ze het schrijven van uploads tot alleen de betreffende map. Naast nog een paar andere beveiligingsmaatregelen, maakt dit WordPress-beveiligingsplugins overbodig.
Uiteindelijk is websitebeveiliging een reis en geen bestemming. Ik raad je aan om het beste pad voorwaarts te nemen!
Laat een reactie achter