Beveilig je WordPress site
Zoals hier al eerder aangehaald is het beveiligen van je WordPress (WP) website dezer dagen een absolute must. Als je bericht krijgt van je webhost dat je site offline is gehaald omdat deze dienst doet als verspreider van trojans of spam-mails bij de duizenden verstuurd, ontwaak je nogal hardhandig uit je roze droom dat er alleen goedwillende gebruikers zijn op het net en je webhost een grote verdedigingswal om je site heeft gebouwd.

Dat laatste is waar (als je een betrouwbare webhost hebt), maar dan zijn er nog genoeg manieren om in te breken in WordPress. De meest voordehand liggende is natuurlijk om proberen in te loggen als gebruiker met beheerdersrechten via /wp-login.php of /wp-admin.
Beide veiligheidsplugins die ik nu ga bespreken zijn sterk in het voorkomen van brute-force en social engineering aanvallen op je site.
Is je site al geïnfecteerd? Dan kan Eli GOTMLS goede diensten bewijzen bij het verwijderen ervan.

Geen admin-account en schermnaam=inlognaam
De eerste veiligheidsmaatregel is dat je geen admin-account actief hebt op je site en je schermnaam waaronder je berichten publiceert niet overeenkomt met de inlognaam van je beheerdersaccount. De naam Sllew als auteur bij dit bericht komt dus niet overeen met de naam waaronder ik inlog :-).
Kijk ook eens kritisch naar de sterkte van je wachtwoorden voor FTP- en toegang tot het beheerderspanel bij je webhost.

Beide plugins zijn zeer uitgebreid in hun mogelijkheden, dus ik beperk me tot de belangrijkste kenmerken.

All-In-One WP Security
Deze plugin waarschuwt je voor de admin valkuil (zie hierboven) en controleert verder of schermnamen niet overeenkomen met inlognamen van gebruikersaccounts.
* Handig overzicht van je ‘security strength meter’ op een schaal van 0 tot 460 naar gelang je instellingen toepast. Op het dashboard verder een overzicht van veel instellingen en of deze actie behoeven.
* Lock-out van ip-adressen die x-aantal keren foutief inloggen binnen x-minuten periode. Force-logout: Instelling om ingelogde gebruikers geforceerd uit te loggen na een x-aantal minuten. Handig als je vergeet uit te loggen op een openbaar netwerk en je sessie kan worden ‘gekaapt’.
* Database (DB) beveiliging: de prefix van je tabellen veranderen van  standaard wp_ naar iets als RTyUu_. Werkte feilloos bij alle omzettingen op mijn WP-sites. Een backup van je DB kan ook worden ingepland.
* Bestandsrechten (File security); In een overzicht zie of belangrijke WP-bestanden teveel rechten hebben (Chmod tabel met permissies). Vergt nogal wat handwerk, WordFence regelt dit beter (zie hieronder)
* Blokkeren van (range) Ip-adressen en User Agents.
* Scan: geagendeerd of handmatig; dedecteert veranderingen in versies van bestanden.
* Uitgebreide firewall met veel instellingen
* Brute force aanvallen blokkeren d.m.v. cookie of omleiden van de inlogpagina naar een zelf verzonnen adres als /inlognaam achter het url van je site.
* Diversen: hotlink protectie, voorkom linken naar jouw afbeeldingen vanaf andere sites. Kopieer-protectie; voorkom dat bezoekers met rechtermuis klik, Control-C of tekst-selectie (linkermuis slepen) inhoud kopiëren van je site. Dit is te omzeilen door javascript  uit zetten in je browser.
Frame-protectie; vóórkom dat andere websites jou inhoud laten zien in een (i)frame.

WordFence
Bij WordFence staan de belangrijkste instellingen op één pagina namelijk Options. Hier kun je:
* Een beveiligingsniveau kiezen van 1 to 4 naar gelang je website onder vuur ligt óf zelf je instellingen vastleggen.
* Waarschuwingen (alerts) aan- of afvinken die je per e-mail krijgt van o.a.  inbraakpogingen, lock-outs en als iemand inlogt met beheerdersrechten.
* Instellingen van de scan-mogelijkheid. Deze is zeer uitgebreid en zoekt o.a. naar malware en ook diep in archieven, backups en bestanden buiten de WP-installatie. Hier wint WordFence het duidelijk van All-In-One Security.
* Firewall die registreert hoe vaak binnen welke termijn ip-adressen pagina’s opvragen als 404’s en kern-bestanden van WP en deze verzoeken afknijpt en ip’s voor een periode blokkeert.
* Login-protectie: Veel gebruikte inlognamen automatisch blokkeren als ‘admin’, ‘root’ en schermnamen die anders zijn dan de inlognamen. Lock-out instellingen vergelijkbaar aan die van All-In-One Security.
* Werken al die instellingen naar tevredenheid? WordFence heeft de handige optie om met een sleutel deze te kopiëren naar een andere WordFence installatie. Scheelt een hoop werk voor als je meerdere websites in één keer wil beschermen met WordFence.

* De overige tabs zijn zeker zo interessant. Naast de hierboven genoemde handmatige scan kun je dit agenderen in de betaalde versie.
* Live traffic: real time zien wie er ingelogd is, welke bots er actief zijn, Google en andere crawlers enz. Je kunt hier ip-adressen blokkeren met één klik en hele netwerken, ip-ranges en referers onder de tab Advanced Blocking. Wil je Live Traffic zien in je WP-dashboard, kun je een aanvullende plugin downloaden.
* In de betaalde versie kun je ook hele landen blokkeren van toegang tot je site. Als ik zo al mijn logs bekijk zouden hier de Oekraïne en Italië de meest geschikte kandidaten voor zijn.
* Caching: WordFence kent ook een caching optie met zijn eigen Falcon Engine. Dit heb ik niet getest, maar op internet zijn positieve geluiden te horen over het effect van hun caching methode.

Conclusie
Beide plugins bieden een goede beveiliging tegen inbraken van allerlei aard en kennen veel opties van fine-tuning.
Ze zijn wel beide alleen in het Engels, wat gebruikers wel kan imponeren om ermee aan de slag te gaan. Bij WordFence zou je dan de sleutel van een vertrouwd iemand kunnen importeren om in één keer jouw installatie te goed te beveiligen. Pas dan wel het e-mailadres aan voor alerts naar je eigen adres.

Voor beide plugins geldt dat ze optimaal presteren op webhosts waar je een .htaccess bestand gebruikt veiligheidsinstellingen. Op webservers met IIS (Windows) zul je dit handmatig via een web.config bestand moeten regelen. Update: via de ISAPI rewrite module bij je host kun je .htaccess bestanden gebruiken onder IIS.

All-In-One WP Security is zeer uitgebreid en het vergt nogal wat tijd om alles goed werkend te krijgen. De database-backup optie is handig, de beperkte scan-opties een gemis. Zijn brute-force mogelijkheden zijn zeer effectief.

WordFence’s interface is wat rommeliger met verschillende opmaak van hyperlinks en knoppen op haar pagina’s. De caching engine kan je een aparte plugin hiervoor uitsparen.
Live Traffic biedt een uitstekende controle op verdachte activiteiten real time en mogelijkheden om deze inbraken ad hoc te stoppen met blocks van netwerken en ip-ranges.
De scan optie geeft een goed inzicht in kwetsbaarheden van je site en handreikingen om deze te repareren.