Shield WordPress Security Plugin voor WordPress

Het gebruik van een plugin voor de beveiliging van je WordPress website is gewoon een must tegenwoordig. Omdat WordPress op zoveel sites gebruikt wordt is dit systeem een gewild doel voor Hackers en Crackers. De Shield WordPress Security Plugin voor WordPress kan hier goed helpen om die Hackers tegen te houden.

Zoals ik pas schreef over een nieuwe aanval op WordPress websites blijkt dat je aan aantal zaken goed op orde moet hebben. Dus niet alleen een update naar de laatste WordPress versie, nu 4.5.2 beveiligingsupdate, ook  je plugins en thema’s moeten up-to-date blijven.

N.B. Mocht je nog een oudere versie van WordPress hebben, lees dan hoe je zo’n oude WordPress site veilig kunt updaten.

Een WordPress Firewall Plugin gebruiken

Wat je nu extra nodig hebt, naast veilige hosting, is een goede plugin waarmee je een aantal zaken makkelijk kunt inregelen voor net wat extra beveiliging. En nee, een 100% hacker safe WordPress installatie bestaat alleen bij de duurdere speciale hosting aanbieders zoals bijvoorbeeld WP Engine

Voor de extra beveiliging van mijn WordPress sites gebruik ik tegenwoordig, naast WordFence,nu ook Shield dat vroeger bekend was als WP Simple Firewall.

Shield is tegenwoordig echter meer dan een simpele firewall.

Om Shield te installeren ga je naar Plugins -> Nieuw -> Zoeken naar Shield.

Shield WordPress Security Plugin zoeken en installeren

Na het activeren van de plugin moet je opnieuw inloggen.

Shield Opnieuwe inloggen na activeren

Je krijgt nu een paar meldingen van de plugin dat die nu actief is, maar daarmee is de beveiliging natuurlijk nog niet geoptimaliseerd.

Ga daarvoor naar je Dashboard menu en zoek de nieuwe Shield menu optie op en kies Dashboard..

Je krijgt nu een overzicht van de actieve en niet actieve opties.

Dashboard - Shield op WordPress Sitebouw

Shield Dashboard

Onder je Dashboard icoon vindt je 3 tabbladen:

  • Global options, waar je de bescherming aan en uit kunt zetten,
  • General options, die kun je laten staan zoals ze nu zijn of je kunt een ander email adres invullen waar rapportages naar toe moeten,
  • Google, hier kun je de Google ReCAPTCHA code voor jouw site kunt invoeren.

Security Admin

Als je een website hebt waar meerdere mensen administratieve rechten hebben, dan is dit een goede optie om te gebruiken.

Je kunt daarmee de toegang beperken tot de Shield instellingen zodat alleen mensen met de juiste toegang die instellingen kunnen wijzigen.

Aangezien ik de enige ben met toegang gebruik ik die optie niet.

Firewall

Dit gedeelte is een van de redenen om deze plugin te installeren, ook hier heb je een aantal tabbladen:

  • Enable / Disable, hier kun je de Firewall optie aan- en uitzetten,
  • Firewall blocking options, ik zet daar een aantal extra opties aan voor extra beveiliging:
    • Include cookies, aanvinken
    • WordPress terms, aanvinken
    • PHP Code, aanvinken
    • Exe file uploads, aanvinken
    • Met de bovengenoemde opties voorkom je al een hoop problemen en zeker met de PHP code voorkom je file injecties, het invoeren van extra codes in WordPress PHP bestanden.
      Je blokkeert echter ook dat je zelf thema bestanden kunt bewerken, door een aantal instellingen die we straks doen zorg je ervoor dat je dat toch kunt doen.
  • Firewall response, die instellingen kun je zo laten staan
  • White list, hier kun je de optie Ignore Administrators aanvinken zodat de regels die je net ingesteld hebt niet gelden voor ingelogde administrators, hierdoor kun je dus de thema bestanden weer bewerken.
    Als je bezorgt bent over je zoekmachine optimalisatie, vink dan ook de Ignore Search Engines optie aan.

Login Protection

Deze optie aanzetten en de tabbladen doorlopen:

  • Enable / Disable, aanvinken om te activeren,
  • Brute Force, alles aangevinkt laten en Google reCAPTCHA activeren als je dat wilt, zorg dan wel dat je de codes daarvoor ingevoerd hebt bij de Google Tab op je Shield dashboard,
  • 2-factor Auth, als je de login wilt beschermen met twee inlog codes, waaronder Google Authenticator en / of via een extra email,
  • Rename “wp-login.php”, dit is de meeste gebruikte hackers methode om via de wp-login toegang tot de site te krijgen, door deze naar een andere login om te zetten krijgen ze daar een foutmelding. Jij kunt echter die korte login gebruiken om in je WordPress site in te loggen. Maak die rename zo dat hij  makkelijk te onthouden is maar moeilijk te raden,
  • Yubikey Authentication is voor de meeste van ons een over-kill, maar zeker een goede optie als je voor super veilig wilt gaan (dan werk je nu waarschijnlijk ook al met een https link!) je hebt daarvoor de Yubikey hardware nodig. Die kun je dan wel voor meer zaken gebruiken dan alleen je WordPress login.
  • By-Pass, die kun je uitzetten tenzij je berichten post via een iPhone of Android app.

User Management

User management zorgt ervoor dat de automatische langdurige ingelogde sessies afgebroken kunnen worden, het gaat dan om de niet actieve sessies.

  • Enable / Disable, aan laten staan om actief te houden,
  • Session options, basis opties aan laten staan + extra Idle timeout instellen, voor mij is 3 uur voldoende. De andere opties laat ik uit omdat ik regelmatig meerdere sessie open heb op een site.
  • Notificaties, zeker een email adres invullen om vreemde login meldingen te krijgen.

Comments Spam

De Comments Spam optie maakt gebruik van de Growmap Anti Spambot Protection, dus door het gebruik van de optie in Shield kan ik die plugin uitschakelen.

  • Enable / Disable, aanvinken om te activeren,
  • Bot SPAM, zoals gezegd, de eerste optie aangevinkt laten, de rest laten staan. Als je al eerder de reCAPTHA van Google geactiveerd hebt, dan kun je die optie hier ook activeren.
  • Human SPAM, zeker aanzetten om bepaalde verdachte spam opmerkingen na te kunnen kijken voor ze op je blog verschijnen.
  • Visitor Messages, hier moet je wel de nodige termen vertalen uit het Engels als je een Nederlandstalige website hebt. Hieronder de teksten die ik in de opvolgende velden gebruik
    • Ik ben geen spammer
    • A.u.b. de checkbox aanvinken om te bevestigen dat je geen spammer bent
    • Wacht a.u.b. %s seconden voor je een reactie schrijft
    • A.u.b. deze pagina herladen (F5) voor je een reactie schrijft
      Comments SPAM bij Shield

Automatic Updates

Nog zo’n functie die je WordPress leven makkelijker kan maken, het automatisch laten updaten van je website, plugins en thema’s.

  • Enable / Disable, aan laten staan om actief te houden,
  • Turn Off,  zeker niet aanvinken, omdat je daarmee alle WordPress updates tegenhoudt, ook de security updates zoals van versie 4.5.1 naar 4.5.2.!
  • Self Updates, aan laten staan zodat Shield up-to-date kan blijven,
  • WordPress Components kun je gebruiken voor:
    • WordPress zelf, de kleine updates zoals die van 4.5.1 naar 4.5.2,maar ook de Major updates als je dat durft, dus straks van 4.5.x naar 4.6.x,
    • Plugins, een optie die ik zelf wel aanzet voor mijn minder belangrijke sites, kan natuurlijk een probleem geven als een plugin niet helemaal lekker loopt na een update,
    • Themes, die laat ik uitstaan omdat thema’s de layout van je site verzorgen en dus mogelijk een vreemd effect kunnen geven bij een nieuwe versie met andere functies,
    • Translations, de vertaling updates mogen van mij automatisch,
    • Ignore version control, die uit laten staan tenzij je die functies gebruikt en je weet wat je doet.
    • Notifications, natuurlijk aanzetten, je wilt tenslotte weten wanneer je je site moet controleren na zo’n automatische update. Meestal hoef je alleen je site te bekijken of alles nog goed staat.

Hack Protection

  • Enable / Disable, aan laten staan om actief te houden,
  • Plugin Vulnerabilities scanner bekijkt of er nog probleem plugins zijn, deze optie zit nu nog in deze versie maar zal verdwijnen uit de gratis versie.  Zie iControl WordPress security scanner. Dus je kunt daarvoor overschakelen naar de Pro versie als je die functie toch wilt hebben. WordFence heeft ook een scanner, maar die vergelijkt alleen jouw bestand versies met die van de WordPress.org website.
  • Core File scanner, deze vergelijkt de WordPress basis bestanden met die op WordPress.org om verschillen te vinden. Shield kan ze ook automatisch herstellen, maar voor een Nederlandstalige site zou ik die optie niet aanvinken, in het version.php bestand van WordPress staat een taalcode, bij een herstel naar de originele versie heb je dus geen Nederlandstalig site meer maar een Engelstalige.

Lockdown

  • Enable / Disable, aan laten staan om actief te houden,
  • System, zet de Disable XML-RPC uit, dus de optie aanvinken als je die niet voor bepaalde apps nodig hebt,
  • Permissions, zet hier de optie Disable File Editing aan zodat alleen jij de bestanden kunt aanpassen,
  • Obscurity, hier kun je de WP Generator Tag optie aanvinken zodat een scanner niet kan zien dat je WordPress gebruikt en welke versie dat is. ook de Block Username Fishing kun je aangevinkt laten.

IP Manager

  • Enable / Disable, aan zetten om te activeren, en zeker als je vanaf een vaste internet verbinding met een vast IP adres werkt is dit een goede optie om te gebruiken.
  • Auto Black List kun je ook actief houden met de standaard optie.
  • Na het activeren krijg je onder dit scherm de optie om je eigen IP adres toe te voegen aan de Whitelist, doe dat dan ook direct.
    Met de optie actief kun je vanaf dat IP adres altijd alles doen met je WordPress website zonder dat je zaken in en uit moet schakelen, je kunt daar meer IP adressen invullen als je vanaf meer locaties in WordPress wilt komen.
    IP Manager - Shield op WordPress Sitebouw

Audit Trail

Met de audit trail optie kun je later terugkijken wat er allemaal op de site gedaan is.

  • Enable / Disable, aan zetten om te activeren,
  • Options, hier stel je in hoe lang de gebeurtenissen log bewaard moet blijven, in stel dat zelf in op 14 dagen om die log niet te groot te laten worden.
  • Audit Contexts, op dit tabblad kun je aangeven wat er allemaal gelogd moet worden, standaard staat er een heleboel aan. Bepaal zelf wat je wel of niet gelogd wilt hebben. Je kunt ook de eerste log’s afwachten en dan zaken aan- of uitzetten.

Premium Support

Hier vindt je beperkte informatie over het systeem en waarom je mogelijk de Pro versie zou willen hebben. Bekijk ook https://www.icontrolwp.com/

Shield WordPress Security Plugin

Zoals je hierboven hebt gezien is de Shield WordPress Security plugin een bijzonder uitgebreide beveiliging plugin met veel functies die je toe kunt passen om je WordPress installatie veiliger te maken.

Zoals al eerder gemeld kun je hem samen gebruiken met bijvoorbeeld WordFence. Voor mij is Shield een must have plugin geworden om de risico’s om gehackt te worden te beperken en met de Anti-SPAM opties zorgt die ook nog voor een beperking van het aantal spam reacties.

En jij? gebruik jij al een WordPress firewall? Zo ja, welke dan en wat zijn jouw ervaringen ermee? Schrijf dat dan in de reactie’s hieronder zodat ook anderen daar profit van kunnen hebben.

Wat zijn jouw gedachten?

*