Een vraag die we veel zien terug komen op Facebook groepen, en op verschillende forums is: “Welke security plugins gebruiken jullie?”. Ons antwoord is dan steevast: “Wij gebruiken geen plugins als firewall of malwarescanner, we gebruiken dus geen wordfence, all-in-one security of Malcare plugins. Deze zaken worden bij ons aan de serverkant afgehandeld.”

In dit artikel willen we op een rij zetten welke maatregelen onze hoster Kyzoe hosting en Design allemaal neemt om onze websites veilig te houden.

De basis:

We starten bij het begin: de servers. Deze draaien allemaal op CloudLinux, een Linux versie die ontworpen is voor hosting bedrijven. Feitelijk heeft elke website een eigen container zodat als er wat gebeurt de schade beperkt blijft tot de container waar het probleem zich bevindt.

Zodoende is er geen gevaar dat een gehackte site verdere schade aanricht op een server.

Bruteforce attacks

Dagelijks ziet onze hoster duizenden bruteforce attempts. Dat zijn pogingen om in te loggen als een gebruiker. Enerzijds zijn dit logins op onze e-mailadressen, op (s)ftp accounts, maar ook op de loginpagina’s van de WordPress installatie.

Een beetje goede hoster heeft systemen om dit te ontdekken en op basis daarvan actie te ondernemen. Iedereen heeft immers een uniek IP adres op het internet. Bij onze hoster is het zo ingesteld dat elke poging gelogd wordt. Komen de aantal niet succesvolle logins boven een bepaald aantal, dan wordt het IP adres automatisch geblokkeerd en kan je niet meer inloggen op je WordPress, je mail of eender welke dienst op die bepaalde server. Sterker nog, je ziet ook je website niet meer.

Een simpele e-mail naar support@kyzoe.be lost dat trouwens makkelijk weer op.

Malware

Soms gebruiken gebruikers plugins of thema’s die genulled zijn, omdat ze of geen budget hebben of gewoon niet willen betalen voor bepaalde functionaliteit. Erg spijtig en soms ook best gevaarlijk. In deze thema’s en plugins zit vaak wat extra software verborgen, waarmee je website gehacked kan worden. Out of the blue verstuur je ineens duizenden e-mails.

Daarom heeft Kyzoe Hosting en Design haar servers uitgerust met Malware scanners. Deze scannen elke dag meerdere keren alle sites en files op een server. Is er iets aan de hand dan wordt de eigenaar van het account verwittigd.

Email limiting

Misschien niet direct een maatregel om security te verhogen, maar wel een om de reputatie van de site hoog te houden. Om tegen te gaan dat sites snel als spammers worden gezien, wordt het aantal e-mails dat per site verzonden kan worden gelimiteerd. De meeste hacks zijn gericht op het verzenden van enorme hoeveelheden mail.

Door dit op dagelijkse basis te limiteren kan makkelijk ingegrepen worden, mocht een hacker toch in staat zijn om een site te hacken. De limiet staat op 500 e-mails per 24 uur.

Wil je meer dan 500 e-mails per dag versturen, dan raden we altijd een externe provider aan. Deze kan veel makkelijker de nieuwsbrieven en uitgaande e-mail faciliteren, inclusief monitoring en tracking van openrates.

Wij gebruiken zelf Mailgun voor onze uitgaande e-mails. In WordPress kan je heel makkelijk een externe SMTP server toevoegen, zelfs zonder plugin te gebruiken. Lees het in dit artikel.

Virus & spam scanners

Het lijkt bijna vanzelfsprekend, maar de servers zijn natuurlijk ook uitgerust met Virus scanners en spamfilters. Deze werken in realtime.

Up-to-date blijven

Misschien wel het belangrijkste voor zowel de eigenaar van de website als de hoster: hou alles up-to-date. Aan de serverkant komen er dagelijks en wekelijks updates uit voor onderdelen, maar ook aan de WordPress kant zijn updates heel belangrijk.

Heb je je WordPress geinstalleerd met Installatron, dan kan je instellen dat je een e-mail krijgt als een update beschikbaar is voor een bepaalde plugin. Je kan dan makkelijk een back-up maken en de plugin vervolgens updaten. Feitelijk kan je dat ook instellen in DirectAdmin zodat het automatisch gebeurt, maar wij raden dat af omdat je dan natuurlijk geen controle meer hebt.

Kyzoe Hosting en Design biedt ook een onderhoudsabonnement aan waardoor zij je website up-to-date houden. Ze maken natuurlijk eerst back-ups, maar testen ook of bepaalde nieuwe versies wel werken op je WordPress installatie.

Wat jij nog kan doen

Ten eerste kan je zorgen dat je website(s) up-to-date zijn, maar dat zegt eigenlijk niet alles, want het kan ook zijn dat een bepaalde plugin al in jaren niet is geupdate of dat deze een veiligheidslek heeft waar de maker niks meer aan doet…. Jij weet dus ook niet dat de plugin verouderd is of dat er een veiligheidslek is.

Om te voorkomen dat dit gebeurt kan je een plugin installeren die je precies op de hoogte houdt als er iets gebeurt met je plugins. Wij gebruiken daarvoor de plugin WPScan, de plugin scant je plugins op basis van de WPscan databank.

Natuurlijk hebben we ook een abonnement op de nieuwsbrief van WPscan.

Een ander veel voorkomend gebeuren is dat plugins zo oud zijn dat ze niet meer samenwerken met je WP installatie. De plugins zelf is ok, maar in jaren niet meer geupdate. Een hele bekende op dat gebied is, limit login attempts. De laatste update was 7 jaar geleden… Er is trouwens een opvolger of vervanger voor deze plugin, met limit login attempts reloaded. Helaas hebben we nog geen op zich staande plugin gevonden die dat onderzoekt en rapporteert.

Maar in het onderhoudsabonnement van Kyzoe hosting & Design hebben ze die functie ingebouwd: is een plugin het laatste jaar niet geupdate, dan krijg je een seintje!

Heb je aanvullingen op dit artikel, dan horen we dat natuurlijk graag. Je kan ons mailen op info@wpmagazine.be of ons contacteren via de contactpagina.

 

Reageer

Voer alstublieft uw commentaar in!
Please enter your name here