Plugin, beproefd en in gebruik (check feb 2019)

*iThemes Security

Beveiliging

Begin met de 4 basisstappen

stap1

Klik op alle 4 de knoppen; maak eventueel een backup  van de database (check zelf later even wat er precies is ingesteld: backup per email of bij de provider)
Of doe dit met een andere plugin. NB: bij grote sites kan de plugin problemen geven: time out foutmeldingen.

stap2

Verkrijg de api key en klik daarna op de knop eronder.

NB: de plugin Super cache heeft wp-config nodig om in te schrijven; geeft foutmelding  als de rechten te zeer beperkt zijn (644 in plaats van de 444 die I themes graag wil).

Ik zou ook kiezen voor

enable local brute force protection

Zodra je het vinkje zet, kan je weer keuzes maken. Let op dat je een andere gebruikersnaam dan admin koos, anders kom je niet meer binnen. Of wijzig deze nu snel.

Laat ook je eigen ip adres toevoegen aan de white list.

Check of je nog belangrijke dingen moet wijzigen op het tabblad Dashboard.

Op dit tabblad kan je ook mensen die buiten gesloten zijn door foute inlogpogingen, weer vrijlaten.

Kies een handig email adres om de meldingen te ontvangen.

 

daarna: settings

De onderdelen Global settings en Banned users, File Permissions, Network Brute Force Protection, SSL (indien van toepassing; er worden wat vragen gesteld), Strong Password Enforcement zijn dan al actief.
Onderstaande moet je zelf nog nalopen en zonodig activeren:

  • 404 Detection: Automatically block users snooping around for pages to exploit.
  • Away mode: als je de updates alleen op bepaalde vaste momenten doet, kan dit extra veiligheid bieden. Het dashboard is dan alleen op de opgegeven momenten mogelijk.
  • Database backups
  • File Change DetectionEven the best security solutions can fail. How do you know if someone gets into your site? You will know because they will change something. File Change detection will tell you what files have changed in your WordPress installation alerting you to changes not made by yourself. Unlike other solutions, this plugin will look only at your installation and compare files to the last check instead of comparing them with a remote installation thereby taking into account whether or not you modify the files yourself.
    NB: als een bestand veranderd door een update, krijg je hier een melding van. Dan is er dus geen reden tot paniek.
    Maar als er geen update was, dan is er sprake van een inbraakpoging en is er mogelijk foute code toegevoegd.Krijg je een melding, check dan eerst of die veroorzaakt is door een update van een plugin. Bekijk de melding, zoek de plugin op waarin het bestand is gewijzigd (Dashboard – plugins). Klik op details bekijken en bekijk de datum onder Laatst bijgewerkt.Kan je het niet thuisbrengen, kijk dan ook in het bestand logs (Dashboard – Security – Logs)  of er meer bestanden “zomaar” zijn veranderd. Zo ja, zoek dan snel hulp. En helemaal als je site er vreemd uitziet.Denk je dat je site geen risico loopt, of wijzig je weinig en heb je goede en genoeg backups (ook elders opgeslagen, bijvoorbeeld op je computer of online, maar op een andere plaats dan je server), dan kan je deze optie ook uitzetten.
  • WordPress Salts: Update the secret keys WordPress uses to increase the security of your site.
    na activeren moet je opnieuw inloggen; beveiligingsmaatregel
  • bij Advanced: Hide Backend
    Je maakt het inbrekers een stuk lastiger als je de toegangsdeur een andere naam geeft. Standaard toegang is: http://jedomeinnaam/wp-login.php. Ik maak vaak een subdomein aan, zodat het nog ietsje lastiger is. Maar dat is vrij eenvoudig te achterhalen door op een plaatje te klikken; dat verraadt al de naam van dat subdomeinnaam. Het helpt mogelijk iets. Is toch weer een extra actie voor een robot. Beter is het om zelf het laatste deel te bepalen. Dus in plaats van wp-login.php: toegangxyz.php
    Je kan dat hier aanpassen.
  • Meer tips door I themes zelf
System Tweaks
  • Advanced settings that improve security by changing the server config for this site.
     Hierbij wordt gewaarschuwd, dat sommige instellingen mogelijk een nadelig effect hebben. Dat hangt af van de gebruikte plugins en het land waarin je werkt. Bij twijfel: niet activeren.
    NB: gebruik je de plugin WP  remote (voor updates op afstand) zet dan geen vinkje naast: ‘Filter Suspicious Query Strings in the URL’ en ‘Filter Long URL strings’. En dan ook geen vinkje naast: Non-English Characters, want deze werkt alleen met een geactiveerd filter Filter suspicious…
  • Away Mode: als je op gezette tijden aan je website wilt werken, kan je dat hier instellen. Dan is de website op de andere tijden gewoon ontoegankelijk.
  • Database Backups: het is altijd handig om goede en voldoende backups te hebben. Kies  voor opslag locally and email. En laat er een zip bestand van maken. Dat bespaart ruimte. Laat er 1 online staan om ruimte te besparen.
  • SSL: Configure use of SSL to ensure that communications between browsers and the server are secure.
    NB: als je dit wilt, moet je deze service eerst bij je hosting provider bestellen, het kan wel wat consequenties hebben voor je website. Aan te raden als het je echt om veiligheid te doen is, bijv. bij financiele transacties. Soms is het verplicht. Onder andere “Iframe”, het laten zien van een andere website in jouw website, werkt dan niet meer.
Wordpress Tweaks
Je zal bijna altijd alle vinkjes willen aankruisen; let alleen op als je Flickr gebruikt: dan geen vinkje bij ditURI Header. 
Plaats een vinkje als:

  • Windows Live Writer Header: als je dit programma (windows live writer) niet gebruikt of Windows Live Writer or andere blog programma’s die dit bestand nodig hebben.
  • EditURI Header: gaat om Really Simple Discovery  header. Gebruikt door diensten met external XML-RPC protocol, zoals Flickr
  • Comment Spam: gebruik je de reactie mogelijkheid, laat hiermee robot-spams “with no referrer or without a user-agent identified” stoppen.
  • File Editor: wil je zelf wat wijzigen aan bijvoorbeeld het stijlbestand of in een plugin, dan kan je dat via ftp doen (veiliger) of rechtstreeks in de site. Door het vinkje te zetten, is het niet meer mogelijk om het in de site zelf te doen. Jij niet, maar anderen ook niet.
  • XML-RPC: stel in op disable XML_RPC. Behalve als je dit nodig hebt voor deze applicaties:  the Jetpack plugin, the WordPress mobile app, pingbacks.
  • Multiple Authentication Attempts per XML-RPC Request:
    WordPress’ XML-RPC feature allows hundreds of username and password guesses per request. Use the recommended “Block” setting below to prevent attackers from exploiting this feature.
    Kies voor Block
  • Stel Rest API in op restricted access (meer info)
  • Replace jQuery With a Safe Version:
    Zet vinkje naast: Enqueue a safe version of jQuery 
  • Login Error Messages: zet vinkje naast Disable login error messages
  • Force Unique Nickname: betreft alleen nieuwe gebruikers. Niet nodig als je geen nieuwe gebruikers gaat krijgen.
  • Disable Extra User Archives:
  • Protect Against Tabnapping: zet vinkje: hiermee voorkom je dat een pagina in een new tabblad geopend wordt. Dit kan gevaarlijk zijn.