All In One WP Security & Firewall
Als we WordPress als CMS gebruiken dan is het raadzaam om na installatie van WordPress als eerste een beveiligingsplugin te installeren.
Er zijn er een aantal, maar een plugin die regelmatig wordt geupdate en mij nooit in de steek heeft gelaten is All In One WP Security & Firewall
Hier volgt een korte uitleg wat de belangrijkste instellingen van deze plugin zijn.
In de volgende kolom staat het menu dat hieronder is opgesplitst.
Het Dashboard
Dit laat het overzicht van de huidige beveiliging zien.
Waarvan het belangrijkste is dat de
- Admin Gebruikersnaam anders is dan de standaardnaam Admin.
- Login Lockdown is geconfigureerd.
- Bestand toegang is geconfigureerd.
- Standaard firewall aanstaat.
De Instellingen
Hier zijn de opties om
- Een veiligheidskopie te maken van de database.
- Een veiligheidskopie te maken van het .htaccess en wp-config bestand.
- De versie van WordPress te verbergen.
- De instellingen van deze plugin te importeren of te exporteren.
Gebruiker Accounts
Is een belangrijke optie om de standaard gebruiker Admin te kunnen herbenoemen in het geval je niet het hoofdaccount met een andere naam dan Admin had aangemaakt.
- b.v. gebruik je 2e naam of bijnaam of een van je emailadressen i.p.v. Admin.
Tevens is er een wachtwoord test module, zie in de volgende kolom.
Gebruiker Login
- sta slechts b.v. 3 inlogpogingen toe en blokkeer daarna tijdelijk het inloggen.
Gebruiker Registratie
- Sta geen registratie toe van nieuwe gebruikers en is dit wel zo, keur deze dan zelf goed.
- Maak de eventuele registratie moeilijker met een Captcha (puzzel oplossen)
Database Beveiliging
- Het eventueel wijzigen van de database tabellen met een andere dan de standaard prefix die WordPress toewijst bij de installatie.
- Stel een regelmatige automatische backup van de database in.
De Bestand Beveiliging
Blacklist Manager
Hier kunnen IP nummers opgeslagen worden die ongeautoriseerde inlogpogingen hebben gedaan.
Bij volgende pogingen worden deze IP nummers weerkaatst/gebounced.
Firewall
De Firewall is een muur waar wordt bepaald wat wel en niet wordt toegelaten.
- Standaard Firewall Bescherming Gebruiken
- Deze instelling zal de volgende basis firewall-beveiligingsmechanismen op uw site implementeren: 1) Bescherm uw .htaccess bestand door toegang tot het bestand te weigeren. 2) Schakel de server handtekening uit. 3) Beperk het uploaden van bestanden (10 MB). 4) Bescherm uw wp-config.php bestand door toegang tot het bestand te weigeren.
- Volledig blokkeren toegang tot XMLRPC
- Deze instelling zal een richtlijn toe voegen in uw. htaccess om de toegang tot de WordPress xmlrpc. php bestand dat verantwoordelijk is voor de XML-RPC-functionaliteit in WordPress uit te schakelen. Hackers kunnen gebruik maken van verschillende kwetsbaarheden in de WordPress XML-RPC API op een aantal manieren, zoals: 1) Denial of Service (DoS) aanvallen 2) Hacking interne routers. 3) Poorten scannen in interne netwerken om informatie van verschillende hosts te krijgen. Afgezien van het beveiligings voordeel, kan deze functie ook helpen bij het verminderen van de belasting op de server, zeker als uw site op dit moment last heeft van veel ongewenst verkeer die de XML-RPC API van uw installatie misbruiken.
- Schakel Pingback-functionaliteit uit vanuit XMLRPC
- De functie zal nog steeds XMLRPC-functionaliteit op uw site toestaan, maar zal de pingback-methoden uitschakelen.
- Blokkeer de toegang tot debug. log bestand
- WordPress heeft een optie om de debug logging aan te zetten naar een bestand in wp-content/debug. log. Dit bestand kan gevoelige informatie bevatten. Het gebruiken van deze optie zal externe toegang tot dit bestand blokkeren. U hebt nog steeds toegang tot dit bestand door in te loggen op uw site via FTP
De Brute Force
Hernoem login pagina i.p.v. de standaard login https://itfeed.nl/wp-admin met
de Login Pagina URL : https://itfeed.nl/mijngeheimelogin
Deze login kan ook nog met een Captcha (puzzel oplossen) ondersteund worden.
Spam Voorkomen
- Schakel de commentaren uit in de Instellingen van WordPress zelf.
- Een groot deel van WordPress blog commentaar SPAM wordt voornamelijk geproduceerd door geautomatiseerde bots en niet noodzakelijk door mensen. Deze functie zal de belasting van de server verminderen als gevolg van SPAM-verzoeken.
- Block Spambots voor het plaatsen van commentaren
- Met deze functie wordt een firewallregel geïmplementeerd om alle opmerkingen te blokkeren die niet afkomstig zijn uit uw domein.
De Scanner
Als hackers een kans gegeven wordt dan kunnen zij hun code invoegen of bestanden op uw systeem plaatsen, die ze vervolgens kunnen gebruiken voor het uitvoeren van kwaadaardige handelingen op uw site.
Door een scan te doen op bestandswijzigingen van het systeem kunnen mogelijke verdachte bestanden gevonden worden.
Het Onderhoud
Meteen na de installatie van WordPress is er slechts een kale website te zien.
De website weergave kan geblokkeerd worden en dit kan ook indien er problemen zijn die eerst voor een goed werkende functionaliteit moeten worden opgelost.
Tot het moment dat de website klaar is of de website uit het onderhoud kan, wordt de blokkering van de weergave weer geactiveerd.
Overige Opties
Bescherm de website inhoud o.a. tegen kopiëren.
Deze plugin kan het beste gebruikt wordt met een overlappende plugin die de websitebezoekers, mens of robot, analyseert.