Origineel gepost door J van der Linde

- Gooi thema's weg die je niet gebruikt
- De update knop zit er niet voor niets
- Gebruik geen plugins of thema's die al 3+ jaar discontinued zijn

-Done
-Done
-Done

Verder geef je een aantal goede punten en ik zal zeker op serverniveau nog eens verder kijken wat de mogelijkheden zijn.

Ik gebruik ook altijd de gratis versie van WordFence. Deze kan ook bestanden buiten WordPress scannen, maar dat moet je dan wel instellen in de opties (staat standaard uit). Op die manier heb ik al meerdere hardnekkige hacks opgelost.

Een goed geconfigureerde WordFence is geen garantie dat je niet gehackt wordt, maar WF detecteert dat meestal vrij snel (scant elke dag) en mailt je bij problemen. Vervolgens kun je in de admin omgeving van WF simpelweg de geïnfecteerde bestanden repareren of verwijderen.

De premium versie van WordFence heeft als belangrijkste voordeel dat je up to date firewall regels hebt. Zodra er een hack bekend is voegt WF een firewall regel toe om exploitatie daarvan te blokkeren. Premium gebruikers zijn dan meteen real time beschermd, maar gratis gebruikers ontvangen die regel pas 30 dagen later.

Ik gebruik zelf overigens overal de gratis versie en heb eigenlijk vrijwel nooit problemen met hacks.

Wordfence is goed, maar het is niet perfect. Nogmaals draai je hier gewoon een 'soft' firewall wat draait op de engine van wordpress en gewoon meer load met zich mee brengt. Als je jezelf voor dat soort dingen beveiligen wilt neem dan Comodo WAF op de fysieke server zelf. de meeste zullen hier een shared reseller of hostingpakket hebben, maar ik heb bijv eigen servers, dan tracht ik alles gewoon af te wenden op serverniveau wat veel effectiever is.

Als je upload scan met maldet checked, en comodo WAF gebruikt; dan heb je wordfence al vaak niet eens meer nodig.

Ik haak even in, ik beveilig 7 dagen per week WordPress websites.

Hier een lijstje met aanraders gebaseerd op mijn ervaring:

1. iThemes Security (Wel goed configureren, zie hier de gratis handleiding)
2. Een goede webhost, hoeft geen fortuin te koste maar neem geen prijsstunter
3. Maak backups! Wij doen dit dagelijks voor klanten maar je kunt dit gratis instellen met de updraftplus plugin
4. Controleer je website zo eens per maand, of per kwartaal op de: Sucuri Malware Scanner (Top scanner!), isithacked.com (Voor spoofing, iframes e.d)
5. Twijfel je over de veiligheid van je bestanden op de server? Maak een backup en upload eens een verse download van de plugins/WordPress core

Er zijn nog veel tips, ik kan er uren over schrijven maar dit zijn alweer behoorlijk wat actiepunten.

Hier een lijstje met afraders: (Even uit mijn mouw)
1. Meer dan 15 plugins
2. Niet updaten
3. Registratie mogelijkheid voor niets aan laten staan
4. Admin als username
5. Geen SSL
6. Een premium thema kopen en de licentie laten verlopen en dus niet updaten (Jaja ook webmasters moeten daar aan denken voor hun klant)
7. Meerdere beveiligingplugins tegelijk aanzetten :(
8. Nooit op wpvulndb.com kijken of de plugins die je gebruikt veilig zijn
9. Denken dat premium of veelgebruikte plugins veiliger zijn (Premium = gekocht, hackers weten dat er geld in de site zit / Veelgebruikt is ook een doelwit voor hackers want veel effect indien de hackbot het probeert)

Ik heb er nog tientallen maar daar zal ik je niet mee vermoeien, ik zie veel tijdens mijn werkzaamheden. Met name wanneer men gehackte sites aanmeld.

Origineel gepost door J van der Linde

Wordfence is goed, maar het is niet perfect. Nogmaals draai je hier gewoon een 'soft' firewall wat draait op de engine van wordpress en gewoon meer load met zich mee brengt. Als je jezelf voor dat soort dingen beveiligen wilt neem dan Comodo WAF op de fysieke server zelf. de meeste zullen hier een shared reseller of hostingpakket hebben, maar ik heb bijv eigen servers, dan tracht ik alles gewoon af te wenden op serverniveau wat veel effectiever is.

Als je upload scan met maldet checked, en comodo WAF gebruikt; dan heb je wordfence al vaak niet eens meer nodig.

Niet helemaal mee eens, firewall zou ik inderdaad wel op server niveau houden maar WordFence is meer dan alleen een "soft" firewall voor de website. Het is een totaal oplossing voor veel voorkomende problemen, bovendien heeft WordFence een streepje voor op beveiliging waar WordPress zelf nalatig op is. Je zou hun blog eens moeten lezen hoeveel ze voor de WordPress community betekenen, staan vaak interessante artikelen tussen.

Ik heb heel wat jaartjes ervaring met antivirus-plugins voor WordPress.
Zelf heel diep in iThemes Security gezeten, op bestandsniveau.

De afgelopen jaren heb ik heel wat antivirus plugins getest,
Denk aan:

Cerber (Een bijzondere, kijk er eens naar!)
All in one antivirus (Vergeet die maar)
WordFence (Wel heel goed, maar laat veel steekjes valllen en de scan is niet zo goed in de praktijk)
Sucuri (Zeker goed, maar mist functionaliteiten)
iThemes Security (De free versie heeft een virus update frequentie van eens per maand. Voor de rest, goed)

WordFence wordt veel gebruikt, maar gehackte sites komen vaak binnen met WordFence.
De scanner ziet van alles over het hoofd, en het aantal wf_ tables die de plugin gebruikt is ook niet lekker wat mij betreft.

Waar ik ook nog even aan moet denken is WP security ninja, die ziet er geweldig uit maar was altijd alleen een plugin die inzicht geeft en zelf niets doet. Ja, suggesties geven en als je pro koopt kon je wat Htaccess regels laten schrijven.
Kan zijn dat ze die veranderd hebben, hoe dan ook is het een leuke als je wilt kijken hoe de veiligheidsstatus van je website nu is.

Hoewel ik een haat-liefde verhouding heb met iThemes blijft die nog het beste werken en geeft die de meeste opties.

Ik denk dat je breder moet kijken ipv alleen naar Wordpress ook niet zomaar alles hier op het forum zetten wat je wel en niet gaat gebruiken en hoe je het een en ander gaat doen.mocht je vragen hebben mag je me altijd een PB doen

Origineel gepost door Erik Kraijenoord

Niet helemaal mee eens, firewall zou ik inderdaad wel op server niveau houden maar WordFence is meer dan alleen een "soft" firewall voor de website. Het is een totaal oplossing voor veel voorkomende problemen, bovendien heeft WordFence een streepje voor op beveiliging waar WordPress zelf nalatig op is. Je zou hun blog eens moeten lezen hoeveel ze voor de WordPress community betekenen, staan vaak interessante artikelen tussen.

Het is geen totaaloplossing. Wordfence is niet zo spectaculair als je erover nadenkt. De malware definities die ze gebruiken zijn hetzelfde als die van Maldet. Daarnaast, al heb jij je website volledig dichtgetimmerd met wordfence, als ik een lek JS bestand op je webserver tref en exploit, wordfence helemaal niets doet omdat het via wordpress en niet via de webserver verloopt.

Het enige waar je wel wat aan hebt is de scanning feature; die zou tijdig de boel kunnen ontdekken van hee dit bestand komt niet overeen met wat er in de wordpress database staat, hier is iets mee aan de hand! Maar alsnog heb ik voldoende websites gehacked zien worden met een verouderde thema en waar wordfence maximaal ingesteld stond; het kan gewoon.

Daarom is een 'soft' oplossing nooit een goede; maar echt een harde zoals een firewall, maldet en scannen op POSTS c.q uploads die worden gedaan naar de server. Een random scriptkiddie zal vaak proberen een exploit te uploaden naar je document root, om die vervolgens public uit te voeren, daar ga je al mis. Een goede hacker upload een package dat gewoon niet opvalt tussen de rest door.

Ik merk dat Commodo WAF (server extensie) erg goed werkt. Probeer het eens! :) Het werkt soms te goed want normale websites verliezen hun werking ineens omdat het niet meer kan communiceren met een API, maar als je dat whitelist zit je aardig geramd.

Origineel gepost door J van der Linde

Het is geen totaaloplossing. Wordfence is niet zo spectaculair als je erover nadenkt. De malware definities die ze gebruiken zijn hetzelfde als die van Maldet. Daarnaast, al heb jij je website volledig dichtgetimmerd met wordfence, als ik een lek JS bestand op je webserver tref en exploit, wordfence helemaal niets doet omdat het via wordpress en niet via de webserver verloopt.

Het enige waar je wel wat aan hebt is de scanning feature; die zou tijdig de boel kunnen ontdekken van hee dit bestand komt niet overeen met wat er in de wordpress database staat, hier is iets mee aan de hand! Maar alsnog heb ik voldoende websites gehacked zien worden met een verouderde thema en waar wordfence maximaal ingesteld stond; het kan gewoon.

Daarom is een 'soft' oplossing nooit een goede; maar echt een harde zoals een firewall, maldet en scannen op POSTS c.q uploads die worden gedaan naar de server. Een random scriptkiddie zal vaak proberen een exploit te uploaden naar je document root, om die vervolgens public uit te voeren, daar ga je al mis. Een goede hacker upload een package dat gewoon niet opvalt tussen de rest door.

Ik merk dat Commodo WAF (server extensie) erg goed werkt. Probeer het eens! :) Het werkt soms te goed want normale websites verliezen hun werking ineens omdat het niet meer kan communiceren met een API, maar als je dat whitelist zit je aardig geramd.

Ik beweer ook niet dat het een walhalla van WordPress is, ik geef alleen aan dat het meer is dan alleen een firewall. Niks is 100% zelfs de scans op servers gaan vaak de fout omdat ze exploits niet herkennen. Heb dit al veelvoudig zien gebeuren dat ze voorbij bijvoorbeeld rkhunter en andere tests zijn gekomen, zal dan ook nooit beweren dat WordFence 100% hufter proof is.

Laatste update kan overigens ook buiten WordPress scannen, het is dus niet alleen gebonden aan de core/theme/plugin maar ook bestanden en mappen daarbuiten. Daarbij komt dat ik zelf persoonlijk alle WordPress gerelateerde zaken zoals bruteforce op xmlrpc.php en wp-login.php via Fail2Ban opvang, die is er op server niveau nou eenmaal sneller bij.

Het is prettig te weten dat zij een grote lijst met verdachte IP-adressen hebben die een server niet altijd heeft, en daarom dus ook hiermee gedeeltelijk een bescherming kan bieden voor WordPress websites.

Gaat mij erom dat ze binnen één plugin verschillende oplossingen hebben welke je anders met bijvoorbeld 5 andere plugins moet oplossen, het beveiligen van je wp-login.php scheelt al een hoop ellende en overload.

De plugins die Mathieu opnoemt heb ik zelf niet allemaal getest of gevolgd dus kan ik daar ook geen mening over geven. Ga ze wel proberen, vooral Cerber, heb deze naam nog nooit horen vallen.

Beveiliging zit in lagen. Dus niet alleen je Wordpress site/software die up to date moet zijn en met de benodigde instellinge.

De webserver (apache/nginx/iis) dienen ook allemaal goed beveiligd te worden.
Zeker op gedeelde omgevingen, andere kunt je via een lekke site van geheel iemand anders misschien wel jou (wordpress) site 'aanvallen'.
Voor alle omgevingen is er veel te vinden over best-practices en hoe veilig te maken.

Dan gaan we naar de volgende laag, het OS. Afhankelijk van het OS zijn er ook configuratie, best-practices te maken.
Na het OS kunnen we nog naar het netwerk laagje kijken. Ook hier kun je 'veel' doen...

En wat je host ook beloofd. Zorg dat je altijd zelf ook een (recente) goede backup hebt

Origineel gepost door gast

En wat je host ook beloofd. Zorg dat je altijd zelf ook een (recente) goede backup hebt

Ah ja. Zo kreeg ik een keer het bericht dat na migratie, tientallen wordpress databases vernield waren door gebruik van wordfence plugin. Alles zou te wijten zijn geweest aan de manier hoe wordfence om zou gaan met het opslaan van entries in de database. M.a.w ik mocht tientallen websites ineens gaan herbouwen waarbij ik alleen de wayback machine had...

En dat was nog een hostingpartij die hoog aangeschreven stond ook he. Doordat de database's over tijd 'vervuild' raakte waren de backups ook vervuild geraakt en kon niets meer worden hersteld. Ik snapte het niet. Wij draaien jaren wordpress sites met mariadb en toestanden, nooit 1 probleem gehad. Iets zei me ook dat een interne fout bij hun daar maar afgeschoven werd op een plugin zoals wordfence.

Overigens.... https://tweakers.net/nieuws/165850/h...erstoppen.html

Het kan maar niet genoeg benadrukt worden weer. Ook kwam mijn partij die mijn servers beheerde ineens met het volgende vandaag: gooi dit in je htaccess,

Code:

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule \.(jpg|jpeg|png|gif|ico|swf|bmp)$ - [nocase,redirect=403,last]

Je kunt dus blijkbaar, een gehele server platgooien, door een shitload aan 404's queries te genereren naar bestanden of files die er niet zijn. Als je weet hoe debiel wordpress met een 404 omgaat dan weet je dat alleen 10 hits al een hoge load kunnen geven. Honderden tegelijk laat de boel chrashen. Het is ongelofelijk weer, kut product.

Ik ben eruit. Alle "optimalisatie" plugins, "security plugins" eruit, server ingericht op basis van Litespeed, litespeed caching plugin, 5 klikjes hier en daar, de performance is subliem. Wat betreft security: Comodo WAF + OWASP firewall ruleset. Wel even op letten dat als je die op standje para zet je behoorlijk wat ID's moet gaan whitelisten over tijd, maar het werkt SUPER. Eindelijk af van die hoge time to first byte toestanden en security aanvallen de hele tijd. Dit is nu allemaal server based geregeld en de performance is 10/10.

Ik kan zelfs een outdated magento webshop draaien dat openlijk lek is maar geblocked wordt voor exploits.

Ter vergelijking: in een normale omgeving heeft wordpress gemiddeld 120MB tot 350MB nodig om 1 pagina per bezoeker te spawnen. Litespeed parsed alles in kant en klare brokken op server niveau en kost amper wat CPU cycles en het genereren van je pagina. Je houdt dus resources over en je kunt het helemaal customizen naar je eigen wensen.

Litespeed kost wel 35 per maand per server, maar is de moeite waard!

Nog een paar goede tips op deze website:

https://wordpress.org/support/articl...ing-wordpress/