Bij het beheer van WordPress sites mag het beveiligingsaspect natuurlijk niet ontbreken. Na jarenlang de standaard te hebben gebruikt werd het tijd om die eens te evalueren…
Wordfence is natuurlijk een standaard keus voor de beheerder van een website. Maar ik had toch wel de indruk dat sites nogal wat performance verloren. Verder komen er wel heel veel waarschuwingen (in de vorm van e-mails) over van alles en nog wat. Zoals over plug-ins die geupdate moeten worden (op zich goed, maar ik doe dat al dagelijks). Je had eigenlijk nooit helder of er daadwerkelijk iets aan de hand is.
Wat ook meespeelt is dat geavanceerde functies (zoals firewall regels) in de gratis versie altijd achterlopen, en andere domweg voorbehouden zijn aan de betaalde versie.De grootte van Wordfence is ook aanzienlijk: 14,2 MB.
Kortom, tijd voor onderzoek. Voor beide aspecten, de firewall en de malware scanning, kwam ik terecht bij Malcare. De gratis versie van de plug-in doet hetzelfde als de betaalde: het scant dagelijks de website. Groot verschil is dat Malcare een hele andere techniek gebruikt. Waar Wordfence de eigen server van de klant gebruikt om de bestanden te scannen doet Malcare dat vanaf hun eigen servers. Daardoor wordt de website van de klant nauwelijks belast en blijft goed toegankelijk.
Malcare bevat ook een firewall die beschermt tegen brute force aanvallen en slechte query’s. Ook de login activiteit wordt in de gaten gehouden. Bij verdachte login activiteit wordt de inlogpagina beschermd met een captcha. Grootte van de plug-in 703 KB en er is geen configuratie nodig.
Malcare voorziet in een online dashboard waar de status van de sites direct zichtbaar is.
Naast Malcare werd ook de 7G Firewall toegevoegd. Deze wordt in het htaccess bestand verwerkt en voorkomt heel veel kwaadaardige verzoeken, slechte bots, geautomatiseerde aanvallen, spam en vele andere soorten bedreigingen.
Een aspect wat naar voren kwam is de kwetsbaarheid van de (verouderde) XML-RPC functie. Het uitschakelen van deze functie is toegevoegd aan de 7G Firewall zodat die toegangsweg ook (op de snelste manier) afgesloten is.
Na implementatie bleek dit op diverse sites honderden tot duizenden request per dag af te vangen. Op deze (toch niet zo grote) site waren dat ruim 6.700 requests in 30 dagen.
Tenslotte is de toegang tot de login beveiligd met een extra wachtwoord. Dit voorkomt al heel veel aanvallen, omdat het administratieve gedeelte van de website niet meer zomaar toegankelijk is.
Conclusie: aan de hand van diverse veiligheidsrapporten is een oplossing uitgewerkt die betrouwbaar en lichtgewicht is. De serverbelasting daalde en de plugins zijn veel slanker (703 KB vs 14,2 MB, een factor 20 kleiner) De oplossing is (gedeeltelijk) geïmplementeerd op de websites van alle klanten.