In het verleden heb ik weleens meegemaakt dat een website die een paar honderd euro per maand verdiende gehackt werd, waarna mijn opgebouwde inkomen van die website in een keer volledig weg was.
Hier heb ik een goede les door geleerd: Altijd je WordPress website zo goed mogelijk beveiligen!
Wat is Wordfence?
De Wordfence Security plugin is naar mijn mening de beste keuze om je WordPress website te beveiligen. Het is een zeer veelzijdig antivirus- en firewall pakket dat niet alleen je website beveiligt, maar je ook van Google’s blacklist af houdt, en helpt met het repareren van gehackte bestanden, zelfs wanneer je geen back-ups hebt.
Er zitten ook functies in zoals Login Brute Force Protection, een Hider die je WordPress versie verbergt, een Fake Crawler Blocker en nog veel meer.
Van alle beveiligingsplugins die ik gebruikt heb voor WordPress, is Wordfence veruit mijn favoriet. Zowel qua beveiligingsniveau als gebruiksgemak. Het is dan ook de populairste firewall plugin voor WordPress en heeft meer dan 1 miljoen actieve installaties.
Wordfence is gratis, maar ze bieden ook een premium versie aan die wat meer mogelijkheden biedt waaronder Premium Scanning, Advanced Comment Spam Filter, Spamvertise Check, IP spam Checker, Two factor authentication en Country Blocking. Deze functies kunnen erg handig zijn maar zijn niet noodzakelijk. De gratis versie biedt eigenlijk alles wat je nodig hebt.
Hoe Goed Beveiligt Wordfence je Website?
Hieronder een aantal belangrijke functies van de plug-in:
- Scannen naar bekende malware
- Checken of je thema, plugins of core bestanden nog up to date zijn
- Je disk space checken om DDoS aanvallen te voorkomen
- DNS scannen voor ongeautoriseerde veranderingen
- Plugins en open source thema’s vergelijken met originele versies
- Bestanden scannen om te kijken of ze geïnfecteerd zijn met malware, trojans, virussen en andere gevaarlijke code
- Comments en bestanden scannen om te zien ze overeenkomen met URL’S in Google’s Safe Browsinglist
- Vergelijkt WordPress core bestanden met de originelen in het serverbestand
- Bestanden buiten je WordPress installatie scannen
- Je site scannen voor heartbleed vulnerability
- Zwakke wachtwoorden scannen
Brute force inlogbeveiliging:
- Bezoekers met teveel gefaalde inlogpogingen buitensluiten
- Bezoekers die een foute admin username invoeren buitensluiten
Firewall:
- Blokkeert neppe Google crawlers
- Blokkeert iedereen die je website verdacht snel bezoekt
- Blokkeert iedereen die teveel 404 pagina’s request
Overige opties:
- Verbergt je WordPress versie zodat bots niet weten of je site hackbaar is
Zoals je ziet biedt Wordfence een lange waslijst met allemaal belangrijke beveilingsfuncties. Als je nog steeds niet snapt wat Wordfence nou precies doet: Al deze functies zorgen ervoor dat je website potdicht zit en niet binnengedrongen kan worden door vervelende hackers en bots.
Door jou website constant in de gaten te houden en te monitoren op kleine veranderingen weet Wordfence precies wanneer er hackpogingen gedaan worden en zal er meteen werk van maken zonder dat jij iets hoeft te doen.
Wordfence instellen
Voor je de plugin kunt gebruiken moet je deze natuurlijk eerst downloaden en installeren. Klik links in je menu in WordPress op Plugins en vervolgens op Nieuwe Plugin. Typ in de zoekbalk “wordfence”, klik op Installeren en vervolgens wanneer deze klaar is op Activeren.
Wanneer je Wordfence geïnstalleerd hebt in WordPress klik je links in het menu op Wordfence en vervolgens Options. Bij de eerste aanblik ziet het er best ingewikkeld uit en worden er allemaal termen gebruikt waar je waarschijnlijk weinig van snapt (geen zorgen, ik snap de helft zelf ook niet). Hieronder laat ik je zien hoe ik Wordfence configureer op al mijn websites. Wordfence met deze instellingen heeft er voor gezorgd dat ik al 4 jaar lang niet meer gehackt ben, kennelijk werkt het dus zeer goed. Kijk maar met me mee:
Basic Options
Voer je e-mailadres in en schakel de This option enables live traffic logging optie uit. Live traffic view slaat namelijk alle logs op van bezoekers en maakt je site een stuk trager.
Stel de andere opties in als volgt:
Je kunt er voor kiezen om de optie automatisch updaten aan te vinken als je dit handig vindt.
Advanced Options
Als je net als ik niet elke minuut gebombardeerd wilt worden met e-mails, stel je de volgende opties zo in:
Je kunt ervoor kiezen om Alert on critical problems en Alert on warnings ook aan te vinken, maar het is niet per se nodig.
Scans to include
Stel de Scans to include opties in als volgt:
Rate Limiting Rules
Bij de Rate Limiting Rules kun je verschillende regels instellen voor menselijke bezoekers en crawlers die je site proberen binnen te dringen. Als iemand deze regels overtreed kun je ze tijdelijk blokkeren (throttle) of volledig blokkeren.
Deze firewall regels moeten afhankelijk van je bezoekersverkeer zorgvuldig ingesteld worden. Als je er weinig vanaf weet laat de instellingen dan gewoon zoals ze zijn. Ik heb ze zo ingesteld dat alleen bezoekers die teveel 404 pagina’s opvragen tijdelijk worden geblokkeerd:
Login Security Options
De Login Security Options heb ik zo ingesteld.
Je kunt er ook voor kiezen om bij Enforce strong passwords de Force admins and publishers to use strong passwords optie te gebruiken. Zodat hoofdgebruikers verplicht zijn een sterk wachtwoord te maken.
Other Options
Voer bij Whitelisted IP addresses that bypass all rules je eigen IP adres in zodat je niet zelf geblokkeerd wordt. Als je je eigen IP adres niet weet klik dan op deze link.
Klik op Save Changes, en klaar!
Laatste woord
Onthoud dat de configuratie die ik getoond heb een suggestie is, als je het nog steeds niet veilig genoeg vind of meer alerts wilt ontvangen kun je altijd je beveiliging ophogen door meer opties aan te vinken en stevigere firewall regels in te stellen. Deze configuratie heeft er in ieder geval voor gezorgd dat ik al 4 jaar niet meer gehackt ben op WordPress, dus voor mij werkt het voldoende. Als je nog vragen hebt of iets niet snapt, stel ze dan gerust hieronder in de comments.
Lana zegt
Karel, ik heb grotendeels de instellingen overgenomen. Met name dat mijn eigen IP adres niet geblokkeerd wordt was erg handig, daar zocht ik ook naar toen ik op jouw site terecht kwam. Maar heb je nog wijzigingen doorgevoerd na deze tips ? De tips zijn van 1 december 2016. Nu zijn we zo’n 8 maanden verder. Hoor dat evt graag van je ! Groetjes Lana
Karel zegt
Hallo Lana,
Ik heb sinds het schrijven van dit artikel niks veranderd aan Wordfence, deze instellingen werken nog prima! Een tip die ik kan meegeven is om al je WordPress plugins en WordPress goed up to date te houden. Niet lang geleden is een website van een collega gehackt vanwege het niet up-to-date houden van WordPress. Het is dus erg belangrijk om regelmatig updates uit te voeren wanneer deze beschikbaar zijn.
Groet,
Karel
Jonathan Jeurissen zegt
Hey ik gebruik momenteel ook Wordfence (nadat ik dus letterlijk gehacked werd door mijn eigen fout om een niet aangekochte plugin te gebruiken, TIP:dus zeker nooit doen).
Op mijn website probeerde bezoekers heletijd in te loggin via de wp_login wp_admin.
En er werden injects geinstalleerd die dus popups met reclame spammmen(wat zeer vervelend is).
Na meermaals falen om dit zelf op te lossen met verschillende plugins.
Heb ik uiteindelijk mijn hosting contact service gecontacteerd en die hebben dus mijn volledige root gescanned en blijkbaar waren er vele backdoors op de website folder gezet (+20) En de bestanden gingen zelfs over naar mijn andere domeinen.
Dus zeker nooit pirated thema’s of plugins gebruiken als je met wordpress werkt. Dat is 100% zeker om problemen vragen, ik spreek uit ervaring jammer genoeg.
Sins dien heb ik wordfence plugin geactiveerd en is er nooit meer een probleem geweest.
Je kunt zelfs makkelijk zijn als er iets verdachts gebeurt dus inderdaad Wordfence is een geschikte plugin voor security.
Ellen zegt
Ik kan de plugin niet activeren ??
Karel zegt
Hallo Ellen,
Dat is vreemd, welke melding krijgt u precies wanneer u de plugin probeert te activeren?
Groet,
Karel
Ayla zegt
Ik wil bovenstaande toepassen> Heb de pluggen geïnstalleerd en geactiveerd. Maar als ik nu bij All Options kijk, zie ik hele andere dingen staan. Ik kan bijvoorbeeld nergens vinden: This option enables live traffic logging optie uit. En bijvoorbeeld ook niet: Alert bij critical……. Is deze blog verouderd? Hoe moet ik het nu instellen?
Dick zegt
Updates van Wordfence blokkeren regelmatig, maar niet altijd de Website.
Wordfence legt het probleem bij de provider Antagonist en de provider legt het probleem bij Wordfence. Het zou bij updates te veel resources gebruiken. Bij Strato nooit dit probleem. Wat is wijsheid of een beter alternatief?
Karel zegt
Hi Dick,
Als Wordfence updates geblokkeerd worden door Antagonist omdat het teveel resources gebruikt ligt het probleem bij de provider. Dit hoort voor een provider namelijk geen probleem te zijn. Als alternatief voor Wordfence kunt u Sucuri gebruiken. Alhoewel Sucuri ook aardig veel resources gebruikt dus ik zou eigenlijk aanraden om over te stappen naar een andere provider zoals bijvoorbeeld Versio (budget hosting met goede prijs/kwaliteit) of Siteground (beste hosting voor iets hogere prijs) waar updaten geen probleem zal zijn.
Groet,
Karel
Dick zegt
Bedankt