Ondanks dat ik hele mooie systemen kan bouwen, ben ik geen WP expert. Natuurlijk ik update bijna dagelijks de plugins etc. maar dat maakt een WP niet 100% veilig. Dus vroeg ik me af of hier ook echte WP beveilingsexperts rond wandelen die hun visie zouden willen delen met de minder WP begaafde. (En ik ben vast niet de enige)

Natuurlijk kunnen we allemaal Google induiken en zoeken en vaak komen we dan op lange website terecht die in het Engels gaan uitleggen wat je allemaal kan doen. Maar hier op het forum wat delen kan ook geen kwaad dacht ik zo.

Geen beveiligingsexpert, maar er zijn mooie boilerplates zoals Bedrock van Roots.io, waarmee je de hele structuur überhaupt al anders insteekt dan 99% van de WP-sites, waardoor je sowieso al een voorsprong hebt.

Code:

├── composer.json├── config
│   ├── application.php
│   └── environments
│       ├── development.php
│       ├── staging.php
│       └── production.php
├── vendor
└── web
    ├── app
    │   ├── mu-plugins
    │   ├── plugins
    │   ├── themes
    │   └── uploads
    ├── wp-config.php
    ├── index.php     └── wp

Plugins die je standaard gebruikt kun je in een repository zetten en netjes automatisch up-to-date houden. Gebruik alleen betaalde en goed onderhouden plugins.

Toegang tot bijv beheer kun je restricten tot known IP's in de .htaccess in /wp-admin

ook kun je plugins gebruiken, zoals WPS Hide Login (hiermee kun je de login-url ook aanpassen net als boven genoemd, bijv van /wp-admin naar/mijngeheimelogin en WPS Limit Login (na x keer foutief inloggen IP blokken)

Installeer een plugin als WordFence als firewall en configureer deze goed.

etc etc

• Gebruik nooit de username 'admin'. Dat is het eerste waar ze naar zoeken.
• Gebruik Captcha of een rekensom in het inlog/comments/registratieformulier.
• Gebruik een aparte user voor het beheer en voor de redactie/content. Dit omdat de username van mensen die posts/pagina's/berichten plaatsen toch altijd wel ergens zichtbaar wordt. Dan kun je die van de beheerder buiten beeld houden.
• Verder, zoals Arjen al aangeeft, een goede firewall gebruiken, zo mogelijk XML-RPC uitschakelen, de inlog-URL veranderen (en geheimhouden), het aantal inlogpogingen blokkeren en IP-adressen whitelisten.
• Een goede 'veiligheids plugin'(zoals WP All in One security & Firewall) controleert ook de schrijf/leesrechten van bestanden en mappen.
• Controleren of je geen 'abandoned' plugins hebt.
• Nulled themes/scripts spreekt neem ik aan voor zich
• Geen FileZilla gebruiken (inloggegevens worden niet voldoende encrypted opgeslagen)
• Nooit meerdere websites op één shared hosting account zetten (dan liever een reselleraccount nemen)

Origineel gepost door B. van der Weerd

• Nulled themes/scripts spreekt neem ik aan voor zich

Ga er vanuit dat we allemaal HEEL erg dom zijn, incl me, myself and I.

Over WordFence, raden jullie de gratis versie aan, of moet je voor premium gaan?

Origineel gepost door Leander

Ga er vanuit dat we allemaal HEEL erg dom zijn, incl me, myself and I.

Iemand die heel dom is, kan beter een expert inhuren, aangezien die waarschijnlijk toch niet zal begrijpen wat gedaan moet worden om iets veiliger te krijgen.

Origineel gepost door John Timmer

Iemand die heel dom is, kan beter een expert inhuren, aangezien die waarschijnlijk toch niet zal begrijpen wat gedaan moet worden om iets veiliger te krijgen.

Helemaal mee eens, echter we hebben hier ook starters of mensen met een mini budget. Dom wil ik ze (en mezelf) niet noemen, maar een vereenvoudigde uitleg kan geen kwaad lijkt me.

Origineel gepost door Leander

Over WordFence, raden jullie de gratis versie aan, of moet je voor premium gaan?

Ik gebruik altijd de gratis versie, is voor de sites die ik heb voor nu afdoende. Als ik echter sites zou hebben waar een webshop op staat en ik te maken zou krijgen met klanten data zou ik voor een betaalde versie gaan en de boel even helemaal door een expert laten checken.

Origineel gepost door Leander

Helemaal mee eens, echter we hebben hier ook starters of mensen met een mini budget. Dom wil ik ze (en mezelf) niet noemen, maar een vereenvoudigde uitleg kan geen kwaad lijkt me.

"Nulled themes/scripts spreekt neem ik aan voor zich" -> zijn gewoon geripte versies van betaalde thema's / plugins. Zolang je gewoon even die paar tientjes betaald voor een thema of plugin ben je gewoon verzekerd van een lange periode van updates.

Origineel gepost door R. Geelen

"Nulled themes/scripts spreekt neem ik aan voor zich" -> zijn gewoon geripte versies van betaalde thema's / plugins. Zolang je gewoon even die paar tientjes betaald voor een thema of plugin ben je gewoon verzekerd van een lange periode van updates.

En support, vaak minstens zo belangrijk. Kan echt uren uitzoekwerk over een stukje CSS schelen waardoor je die paar tientjes zo hebt terugverdiend.

Nou, de meeste dingen kan iedereen wel even bij elkaar googlen, maar de belangrijkste dingen liggen toch meer bij jezelf:

1. een regelmatig ge-update plugin of een betaalde plugin, is nog steeds geen 'goede en veilige' plugin. Niet alleen het commerciële inzicht moet er zijn bij de ontwikkelaar, maar ook de security awareness. Elke plugin waarbij de ontwikkelaar pas aan de slag gaat als blijkt dat er een exploit voor is, is inho een slechte plugin. De tijd tussen het maken van de exploit, het bekend worden van de exploit, de fix, het testen en de uitrol/installatie ervan kan gewoon dagen duren. Dagen waarin je website gewoon easy hackable is. Dus zorg dat je ergens op de hoogte blijft van exploits. (een voorbeeld is: https://www.exploit-db.com/ )

2. als je zelf niet weet hoe je auto in elkaar zit, dan kun je maar beter iemand kennen die dat wel weet in geval hij niet meer rijdt. Zo is ook het installeren van een plugin waarvan je niet weet wat ie technisch doet, hetzelfde als een auto kopen zonder hem te keuren.

3. Als je denkt met een pluginnetje zoals infinitewp klaar te zijn of een wekelijkse check of de boel nog wel up-to-date is, dan think again. Je website staat met zijn versie al lang ergens op een lijst zodat die bij een exploit vrij snel getest kan worden. Je hebt geen week... ook gen 24 uur als je echt veilig wilt blijven.

4. En als je alles wat hier verder in het topic staat hebt gedaan en je wordt toch gehacked, zorg dan dat je dagelijkse (automatische) backups hebt, met een retentie van enkele weken. Want je kunt ze beter hebben en niet nodig hebben, dan niet hebben en wel nodig hebben. Leer je ook hoe je een site restored. Ik wil niet weten hoeveel mensen hun 'veilige' backup terugzetten, zonder eerst alles uit hun account te verwijderen en dus na de restore gewoon nog steeds backdoors online hebben staan.

Wat denken jullie van de pagina xmlrpc.php, is dat iets dat jullie uitschakelen en wat heeft het tot gevolg van het functioneren van je websites, plugins etc.? Waarom ik het vraag, het is de pagina die het meest wordt opgeroepen wordt volgens wordfence.



Inloggen, zoals ik het nu heb:

1. Inlog URL, is custom en zeer lang.
2. Gebruikersnaam was en is geen admin maar een lange custom naam (Zojuist wederom aangepast).
3. Het wachtwoord is ergens tussen zeer lang en belachelijk lang en bestaat uit een onlogische serie van letter, cijfers en tekens.

Dus mag ik er toch van uitgaan dat die deur dicht zit, of heb ik het mis?:

1. Zodra ze de inlog URL hebben, krijg ik dat vermeld en kan ik deze aanpassen.
2. Zodra ze dan ook mijn gebruikersnaam zouden hebben, zie ik dat ook nog eens terug, kan ik ook aanpassen.
3. Mochten ze dan ook nog eens door een 25+ tekens wachtwoord komen, voordat ik de andere twee punten door heb, dan kan ik niets meer dan respect tonen.

Nog even alles doorgelezen wat jullie zo hebben gedeeld, mijn dank is groot. Ik denk dat het doorlezen van de paar posts 10x sneller gaat dan elke stap Googlen. Eigenlijk heb ik nu nagenoeg alles doorgevoerd, wat hier boven werd gezegd en laten we de komende dagen eens kijken hoever we er mee komen.

Het resultaat van het blokkeren van xmlrpc.php is direct zichtbaar en helpt. B. van weert had dit al geschreven.




Wat uiteindelijk natuurlijk belangrijk blijft is, of ze al binnen waren en dus een achterdeur hebben open gezet. Mocht dat het geval zijn, dan heb ik een probleem. Mocht het toch veilig zijn, dan hoop ik dank zij jullie tips het veilig te houden.

xmlrpc.php stamt nog uit de oertijd ;-) en er bestond eerder ook de mogelijkheid om deze uit/aan te zetten. Nu staat de achterdeur in feite standaard open...

Mocht je toch xmlrpc.php gebruiken, dan kun je toegang beperken door gebruik van ipadressen in je .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
allow from x.x.x.x
</Files>


Toegang tot de admin area vanaf alleen eigen ipadres(sen) kan natuurlijk ook zo ingesteld worden:

order deny,allow
deny from all
allow from x.x.x.x

Sinds ik me bezig ben gaan houden met de beveiliging is dit het resultaat.

Admin login pogingen
28-01: 203
03-02: 0
xmlrpc pogingen
28-01: 378
03-02: 2
Andere pogingen tot het verkrijgen van toegang
28-01: 91
03-02: 0

Wat heb ik gedaan.

Firewall
WP-admin url veranderd
Mijn loginnaam nogmaals versterkt
Dubbele verificatie
xmlrpc op slot gegooid
Wachtwoord nogmaals versterkt
IP blocker na herhaaldelijk foutief inloggen
IP blocker na het gebruiken van de gebruikersnaam "admin"

Verder nog verschillende tips van jullie doorgevoerd.

Al jouw bovenstaande fixes of toepassingen, maken het nog steeds geen veilige site. Iedere plugin die zogenaamd beveiliging biedt draaien allemaal op wordpress level, en niet apache level. Daar zit het probleem. Als jij nu een thema voert met bijv. een stukje javascript dat bekend staat als onveilig, dan kan ik in theorie je website exploiten zonder ook maar 1 melding binnen wordpress te krijgen.

Wordpress beveiliging is primair gericht op activiteit binnen wordpress, maar niet erbuiten. Ook kan het zo zijn dat als je een hostingpakket met meerdere sites deelt, 1 lekke website de rest mee kan nemen. Je kunt immers in de basedir gaan zoeken met wat slim scriptwerk en zo de rest ook infecteren. Ik heb 15 servers staan, als je eens ziet hoeveel 'ruis' verkeer er puur op wordpress afkomt, daar wordt je gewoon niet goed van.

Ik denk dat de helft aan traffic gewoon wordpress rotzooi is, die niets met bezoeken te maken hebben, maar gewoon domeinnamen afstruinen naar mogelijke exploits of POSTS vooral naar wp-admin/wp-login/xmlrpc.php. Het belangrijkste is:

- Gooi thema's weg die je niet gebruikt
- De update knop zit er niet voor niets
- Gebruik geen plugins of thema's die al 3+ jaar discontinued zijn

Wordfence is goed; vooral als je de juiste settings in kan stellen (en weet wat ze doen) maar geen 100% afdekking. Je kunt beter op server niveau ook het e.a mee hebben draaien. Ik gebruik een script bijv. dat de serverlogs iedere 5 seconden afstruint, staat daar een POST naar wp-login.php, xmlrpc en toestanden voor meer dan 10 seconden hetzelfde ip adres > block in CSF. Weinig dat ik wist is dat die CSF naar gerust 30k IP adressen in de eerste maand steeg.

Comodo WAF op je server installeren is ook een goede, en houdt veel meer tegen dan wordfence. Wordfence gooit ook een extra load op je database, want zo'n blocklist van IP adressen wordt steeds geraadpleegt. Niet echt zinvol als die blocklist op ten duur uitgroeit tot een duizend tal IP adressen. Als je site geen gebruik maakt van calls naar de wp-admin, dan kan je de hele directory gewoon password protecten. Maakt je site wel gebruik van wp-admin / ajax calls enz, dan moet je dat excluden middels htaccess.

Je kunt het goed beveiligen, maar mijn ervaring is is als ze er echt echt in willen, dan lukt dat vaak ook. Security plugins op wordpress niveau zijn niets als je bestanden hebt staan die toch lek zijn. En dat is op apache niveau te bereiken.