Webpoli

WordPress zoals jij wil

Beveilig je WordPress website met iThemes Security

Beveilig je WordPress website met iThemes Security

posted on

Bijna 1 op de 4 websites draait op WordPress. Wordt bepaalde software veel gebruikt, dan trekt dat ook de aandacht van gasten die je liever aan jouw deur voorbij laat gaan. Je ziet dat nu bij WordPress. Net zoals bij de software van Microsoft eigenlijk.

De belangrijkste voorwaarden voor veilig WordPress gebruik zijn eigenlijk heel eenvoudig:

  1. installeer alleen thema’s en plugins uit betrouwbare bronnen
  2. houd WordPress, thema’s, en plugins up-to-date
  3. gebruik geen voor de hand liggende gebruikersnamen zoals admin of je (voor)naam
  4. kies sterke en unieke wachtwoorden

Je (voor)naam gebruiken als schermnaam is uiteraard geen probleem. Een nadeel van sterke wachtwoorden is dat je ze moeilijker kunt onthouden. Een password manager, onafhankelijk van browser en platform zoals LastPass, is dan zonder meer handig.

Volg je bovenstaande richtlijnen, dan heb je al veel gewonnen.

Het installeren van aanvullende beveiliging is echter zonder meer aanbevolen. Op mijn websites gebruik ik iThemes Security Pro. Er is ook een gratis versie beschikbaar, iThemes Security (voorheen Better WP Security).

In dit bericht bekijken we de mogelijkheden van iThemes Security. Hoewel ik de Pro versie gebruik, beperk ik me tot de eigenschappen die je ook in de gratis versie terugvindt.

Heb je nog geen WordPress beveiliging, installeer dan de de gratis versie, of schaf de Pro versie aan. In beide situaties kun je dit bericht beschouwen als een installatiehandleiding.

iThemes Brute Force Netwerk Bescherming

iThemes Security Get Free API Key & Secure Your Site Now Buttons
Nadat je de plugin hebt geactiveerd verschijnen boven in het scherm twee meldingen. De eerste betreft de iThemes Brute Force Network Protection. Wat is dat?

We hebben al eerder aandacht besteed aan brute force attacks. Iemand zoekt – soms handmatig, maar meestal geautomatiseerd – toegang en probeert domweg allerlei combinaties van gebruikersnamen en wachtwoorden uit.

Daarom moet je dus geen veel voorkomende of eenvoudig te raden gebruikersnamen en wachtwoorden gebruiken. En daarom kun je ook beter voor elke website een ander wachtwoord nemen. En als het even kan ook een andere gebruikersnaam.

iThemes Security biedt twee vormen van Brute Force bescherming. Lokaal en netwerk.

Lokaa, op het niveau van de site, houdt iThemes Security bij hoeveel inlogpogingen iemand onderneemt. Na een door jouw ingesteld aantal mislukte pogingen wordt het betreffende IP adres geblokkeerd. Hoe lang? Ook dat kun je zelf instellen.

Maak je gebruik van de netwerkbescherming, dan worden gebruikers die elders al geblokkeerd zijn, ook onmiddellijk bij jouw site geblokkeerd.

Wil je deelnemen aan de iThemes Brute Force Network Protection, dan heb je een API key nodig. Klik dan op de [Get Free API Key] knop. Het is gratis, dus waarom niet?

De eerste stappen

iThemes Security Important First Steps
Aansluitend verschijnt er een modaal venster, een pop-up, met vier knoppen:

  • Make a backup
  • Allow File Updates
  • One-Click Secure
  • Yes, I’d like to help

Kies je voor de backup, dan krijg je per e-mail een gezipte export in SQL formaat met de situatie zoals die was voor installatie van iThemes Security.

Dat zouden eigenlijk meer plugins moeten doen. Mocht er iets mis gaan, of denk je achteraf “Ik wil dit toch liever niet”, dan herstel je eenvoudig de backup. Ik klik steevast op de [Make a backup] knop.

Soms moet iThemes Security iets veranderen aan een bestand. Bijvoorbeeld aan de .htaccess. Klik je op de [Allow File Update], dan geef je iThemes Security daarvoor toestemming. Kies je hier niet voor, dan moet je de verandering zelf aanbrengen via SFTP.

Via [One-Click Secure] start je configuratie van iThemes Security met standaardinstellingen. Anders moet je alles zelf handmatig nalopen. Een klik werkt stukken sneller. Dus daar kies ik altijd voor.

De laatste keuze is zeer persoonlijk. Wil je anoniem gegevens delen met iThemes over het gebruik van de plugin? Vind je dat geen probleem, toets dan [Yes, I’d like to help], anders klik je rechts beneden op de Dismiss.

Het iThemes Security Dashboard

iThemes Security Dashboard top
De [Secure Your Site Now] knop brengt je naar het iThemes Security Dashboard.

Het Dashboard biedt in een beknopt overzicht van de stand van zaken en van wat er nog moet gebeuren. Inderdaad, vergelijkbaar met het Dashboard van WordPress.

Boven aan de pagina zie je een aantal tabs:

  • Dashboard
  • Settings
  • Advanced
  • Pro
  • Backups
  • Logs
  • Help

In het Security paneel van het beheerdersmenu vind je deze terug als links.

Zoals je zult begrijpen ontbreekt het Pro tabje bij de gratis versie. Op de Advanced en Pro eigenschappen kom ik een andere keer terug.

iThemes Security Settings top
De Settings pagina is ontzettend uitgebreid. Om van boven naar beneden te scrollen, moet je een keer of 12 op de PageDown knop drukken.

Zeker bij een eerste kennismaking kun je hier snel het spoor bijster raken. Daarom omvat het Dashboard ook een lijstje met actiepunten. Dat zien we zo meteen.

Via het Go to-uitrolmenu kun je trouwens snel naar de gewenste sectie van de instellingen springen.

Ziet iThemes Security dat je ook BackupBuddy hebt geïnstalleerd, dan ga je via Backups linea recta naar BackupBuddy.

Heb je BackupBuddy niet, dan kun je op de Backup pagina een handmatige backup van de database starten. Onder het kopje Database Backup van de Settings pagina kun je eventueel de betreffende instellingen wijzigen.

iThemes Security registreert gebeurtenissen zoals mislukte inlogpogingen, 404 fouten, wijzigingen aan bestanden, en malware scans. Deze zaken worden vastgelegd in Logs.

Op de Settings pagina, onder het kopje Global Settings, kun je aangeven hoe je deze gebeurtenissen wilt bewaren: database registraties, registraties in een tekstbestand, of beide. Je kunt daar bovendien aangeven hoe lang je deze rapporten wilt bewaren.

Zelf kies ik altijd voor de bestandsoptie, omdat deze de database niet belasten. Alleen indien je (ook) voor database kiest, kun je de logs raadplegen via het Logs tabje. Anders moet je het tekstbestand openen.

Gebruik je de gratis versie, dan kun je via de Help pagina met één klik naar het iThemes Security forum op WordPress.org. Gebruikers van de Pro versie kunnen vanaf de Help pagina een Support Ticket starten.

Ten behoeve van de malware scan is iThemes onlangs een samenwerking aangegaan met Sucuri, een bedrijf gespecialiseerd in websitebeveiliging. Daarom vind je op de Help pagina ook een link naar Sucuri.

De Actielijst

Nu we de rondleiding hebben afgerond, gaan we verder met de actielijst onder de tab Dashboard. De openstaande actiepunten zijn gegroepeerd naar prioriteit: High, Medium, en Low. De eerste twee categorieën bekijken we nader.

De actielijst telt twee kolommen. In de eerste kolom staat het aandachtspunt, in de tweede een [Fix it]-knop. Druk je op die knop, dan spring je naar de betreffende opties onder Settings. Daar moet je dan een formulierveld invullen of een optie aanvinken.

Actiepunten met een hoge prioriteit

iThemes Security Free High Priorities
Bij de gratis versie van iThemes Security zijn er in deze categorie twee actiepunten.

Your site is not performing any scheduled database backups.

iThemes Security Enable Scheduled Database Backups
Je hebt nog geen database backups ingepland. [Fix it] brengt je naar Database backups.

Daar vink je eerst Enable Scheduled Database Backups aan. Vervolgens voer je in om de hoeveel dagen er een backup moet worden gemaakt. Druk op [Save All Changes] om alles te bewaren. Klaar.

Is de BackupBuddy plugin geactiveerd, dan brengt de [Fix it]-knop je trouwens naar het BackupBuddy paneel toe.

XML-RPC requests can try multiple authentication attempts per request. Attackers can use this to speed up their brute force attacks.

Blokkeer meervoudige inlogverzoeken via XML-RPC
Vorige week is vastgesteld dat via XML-RPC brute force attacks kunnen worden uitgevoerd. Het is mogelijk om in een keer honderden gebruikersnamen en wachtwoorden te versturen.

Met iThemes Security kun je meervoudige inlogpogingen blokkeren. Wil je dat? Klik dan op [Fix it] en wijzig Allow in Block. Druk op [Save All Changes]. Klaar.

Actiepunten met een medium prioriteit

iThemes Security Medium Priority
De lijst met taken met een gemiddelde prioriteit is iets langer. Maar alle acties verlopen via hetzelfde stramien als de geplande backups. Daarom beperk ik me nu tot een korte toelichting per actiepunt.

Your website is not protected against bots looking for known vulnerabilities. Consider turning on 404 protection

Bots op zoek naar een zwakke plek proberen vaak een niet bestaande pagina. Met behulp van 404 detection blokkeer je een IP adres als er gedurende n minuten meer dan x 404-fouten worden gegenereerd door een bepaald IP adres. Je bepaalt zelf de waarde van n en x. Standaard staan deze waarden op 5 en 20.

A user with id 1 still exists.

De gebruiker die WordPress installeert krijgt automatisch ID-nummer 1. In het verleden accepteerden ook veel gebruikers de door WordPress voorgestelde gebruikersnaam ‘admin’. Met deze functie kun je admin vervangen door een andere gebruikersnaam, en het ID-nummer verhogen.

Als er nog een gebruiker admin is, dan classificeert iThemes Security dit trouwens als een actiepunt met een hoge prioriteit!

Your WordPress Dashboard is available 24/7. Do you really update 24 hours a day? Consider using Away Mode.

Met behulp van Away Mode, kun je de toegang tot het beheerdersgedeelte beperken. Door het invoeren van een begin- en een eindtijd bepaal je gedurende welke uren de backend onbereikbaar is. In plaats van een dagelijks terugkerende onbereikbaarheid, kun je ook kiezen voor een eenmalig gebeuren.

Your login area is partially protected from brute force attacks. We recommend you use both network and local blocking for full security.

Dit is een herinnering voor het geval je a) nog niet hebt gekozen voor het iThemes Brute Force Netwerk Bescherming gekozen, of b) je hebt er wel voor gekozen, maar nog geen e-mailadres ingevoerd.

Your website is not looking for changed files. Consider turning on file change detections.

Malware injecteert bestanden vaak met kwaadaardige code. Activeer je File Change Detection, dan wordt je geïnformeerd over bestandswijzigingen. Je kunt eventueel bestanden en/of folders uitsluiten van deze controle.

Your WordPress Dashboard is using the default addresses. This can make a brute force attack much easier.

Hiermee verander je de standaard inlog-URL http://mijndomein/wp-login.php. Het wp-login.php deel wordt dan vervangen door jouw invoer. Al is het verweggistan.

You are not protecting common WordPress files from access. Click here to protect WordPress files.

Hiermee blokkeer je de toegang tot systeembestanden. iThemes Security rekent hiertoe readme.html, readme.txt, wp-config.php, install.php, wp-includes, en .htaccess.

Your WordPress site is not blocking suspicious looking information in the URL. Click here to block users from trying to execute code that they should not be able to execute.

Hiermee kun je verdacht lijkende URL’s blokkeren.

Tip: Tenzij je daar goede redenen voor hebt kun je eigenlijk alle vakjes onder System Tweaks aanvinken.

Your WordPress installation is allowing users without a user agent to post comments. Fix this to reduce comment spam.

Als je over het web surft, dan is jouw browser de user agent. Spambots zijn programma’s zonder user agent. Activeer je deze functie, dan blokkeert iThemes Security commentaar van dergelijke bots.

XML-RPC is available on your WordPress installation. Attackers can use this feature to attack your site. Click here to disable access to XML-RPC.

De XML-RPC functie van WordPress staat sinds versie 3.5 automatisch ingeschakeld. XML-RPC is vereist voor pingbacks en weblog clients zoals Microsoft LiveWriter. Ook een aantal plugins, waaronder modules van Jetpack, maken gebruik van XML-RPC.

Met betrekking tot XML-RPC biedt iThemes Security je een keuze uit drie opties: Enable, (volledig functioneel), Disable Pingbacks (wel pingbacks toestaan) en Disable (helemaal uitgeschakeld). De optimale keuze hangt dus af van de wijze waarop de WordPress installatie wordt gebruikt.

Users can execute PHP from the uploads folder.

Hiermee kun je voorkomen dat geregistreerde gebruikers PHP scripts uploaden en vervolgens misbruiken.

Actiepunten met een lage prioriteit

iThemes Security Free Low Priorities
De actiepunten met een lage prioriteit plaats ik hier om wille van de volledigheid. Maar wel zonder commentaar.

Begin bij het begin

Met iThemes Security til je de beveiliging van WordPress naar een hoger plan. Als je bij een eerste kennismaking een beetje ontmoedigd raakt door de waslijst aan opties, dan is dat zonder meer begrijpelijk.

Je kunt dit echter heel pragmatisch benaderen. Maak er een stappenplan van:

  1. installeer iThemes Security of iThemes Security Pro
  2. activeer het Brute Force Network en klik op de knoppen van de pop-up
  3. zijn er actiepunten met een hoge prioriteit, werk die dan af
  4. loop door de actielijst met gemiddelde prioriteit
  5. kijk eens over de lijst met de lage prioriteit

Na de eerste twee stappen is de site al beschermd door iThemes Security. Zie je rode actiepunten, fix die onmiddelijk. De gele actielijst is een verdere optimalisatie van de beveiliging. Behandel eerst die gele punten die jou het meeste aanspreken.

Begin bij het begin. Heb je vragen? Schroom dan niet en plaats een reactie.

15 oktober 2015 – initiële publicatie
16 oktober 2015 – mogelijkheid tot het blokkeren van meervoudige XML-RPC verzoeken toegevoegd