Beveilig je WordPress website met Wordfence

logo
door: Bart 04-05-2021| Leestijd: 15 minuten| Categorie: Wordpress

Je kunt je WordPress site op verschillende manieren beveiligen. In dit artikel leg ik uit hoe je dat met de plugin Wordfence kunt doen.

Bekende functies van Wordfence zijn de Malwarescan en de Firewall, waarmee je mislukte inlogpogingen kunt detecteren of IP adressen kunt toevoegen aan een blokkadelijst.

Installatie Wordfence

Voordat je Wordfence kunt gebruiken, moet je deze plugin eerst installeren en activeren.

Dat kun je op 2 verschillende manieren doen:

Methode 1:

  1. Ga in je WordPress Dashboard naar: ‘Plugins > Nieuwe Plugin
  2. Vul in het zoekveld Wordfence in
  3. Klik in de zoekresultaten bij ‘Wordfence Security – Firewall & Malware Scan’ op ‘Nu installeren‘ en na de installatie op ‘Activeren
  4. Als er staat ‘Actief‘, dan is de plugin met success geïnstalleerd en geactiveerd.

Methode 2:

  1. Download het zip bestand van Wordfence door op de WordPress plugin pagina van Wordfence op ‘Download‘ te klikken en sla het zip bestand op je computer op
  2. Ga nu in je WordPress Dashboard naar: ‘Plugins > Nieuwe Plugin > Plugin uploaden
  3. Kies bij ‘Bestand kiezen‘ nu voor het zip bestand dat je zojuist op je computer hebt opgeslagen en klik op ‘Nu installeren’
  4. Als laatste stap moet je de plugin nog activeren. Dit kun je doen door onderaan in je lijst met geïnstalleerde plugins bij Wordfence op ‘Activeren‘ te klikken.

Ontdek hoe je kunt zien of je een WordPress plugin kunt vertrouwen .

Wordfence of Wordfence Premium?

Wordfence kun je gratis gebruiken. Hiermee schroef je de beveiliging van je website goed op. Wil je gebruik maken van alle opties van Wordfence en je website nóg beter beveiligen? Dan kun je Wordfence Premium aanschaffen.

Wordfence Premium kost voor 1 site $ 99,- per jaar (ongeveer € 84,-).

Configureren van Wordfence

Na de installatie van de plugin moet Wordfence geconfigureerd worden. Vlak na de activatie van de plugin stel je een e-mailadres in waarop je Wordfence beveiligingsmeldingen ontvangt. Vink de checkbox aan om akkoord te gaan met de Wordfence Terms/Privacy Policy en klik op ‘Continue‘.

Daarna krijg je de optie om de activatie sleutel in te voeren als je Wordfence Premium gekocht hebt. Als je gebruik wilt maken van de gratis variant van Wordfence, moet je rechtsonder op ‘No thanks‘ klikken.

Let op! De eerste keer krijg je bij elk tabblad van Wordfence een popup. Dit is een kleine tutorial van Wordfence zelf. Deze kun je verder bekijken door op ‘Next’ te klikken of te sluiten door rechtsboven op het kruisje te klikken.

Als je de melding krijgt of je Wordfence automatisch wilt laten updaten, kies dan hier voor ‘Yes, enable auto-update‘.

Aan de linkerkant vind je onderaan bij ‘Wordfence‘ de tabbladen van de plugin. Elk tabblad zal ik hieronder aan je uitleggen.

Het Dashboard

Eenmaal in het Wordfence Dashboard vind je de status van de Firewall en de Scan. Daaronder zie je bij ‘Notifications‘ welke meldingen om aandacht vragen. Enkele voorbeelden zijn:

  • Problemen gevonden tijdens de scan
  • Het gebruik van oudere versies van plugins, thema’s en/of WordPress

De Firewall

Omdat de Firewall in Wordfence nog niet is geconfigureerd, zie je de volgende melding staan:

Klik op ‘Click here to configure‘ om de Firewall in te gaan stellen. Er zal dan worden gevraagd om de Firewall te optimalizeren, kies hier de standaard instelling en klik op ‘Continue‘. Vervolgens krijg je de melding ‘Nice work! The firewall is now optimized.’. Klik tot slot op ‘Close‘.

Nu heb je de Firewall Options voor je. Je ziet bovenaan in percentages in hoeverre je de Firewall hebt ingesteld. Er wordt gekeken naar de Web Applicaties, Firewall regels, Real-Time blokkadelijst en Brute Force beveiliging.

Learning Mode

Na de installatie van Wordfence zal de Web Application Firewall eerst in ‘Learning Mode’ gaan. Zo bekijkt Wordfence eerst hoe je website het best beveiligd kan worden en hoe Wordfence ‘normale’ bezoekers kan toelaten door de Firewall. Het wordt aanbevolen om deze modus een week lang aan te zetten, voordat de Firewall helemaal aangezet wordt.

Real-Time IP Blocklist

De ‘Real-Time IP Blocklist‘ is alleen in de betaalde variant (Wordfence Premium) beschikbaar. Wordfence heeft een eigen lijst met malafide IP adressen, zodra iemand vanaf een IP adres welke op de lijst staat, je website probeert te bezoeken, zal Wordfence Premium de verbinding weigeren.

Advanced Firewall Options

Bij de ‘Advanced Firewall Options‘ kun je IP adressen op een ‘Whitelist’ plaatsen. Dat wil zeggen dat deze IP adressen altijd worden toegelaten. Hier kun je bijvoorbeeld je eigen IP adres toevoegen. Deze kun je opvragen via www.watismijnip.nl. Ook kun je handmatig IP adressen op de blokkadelijst plaatsen of IP adressen toevoegen die niet in de Wordfence meldingen mogen voorkomen.

Rules

Standaard staan bij ‘Rules‘ alle opties aangevinkt. We raden je aan om dit ook zo te laten voor de beste beveiliging van je website. Mocht je problemen hebben met bepaalde scripts of plugins, kun je eventueel de betreffende regel hier uitvinken.

Brute force protection

De ‘Brute force protection‘ staat standaard aan. Je hebt daar verschillende opties die je nog kunt wijzigen. Bijvoorbeeld bij hoeveel ‘verkeerde inlogpogingen’ of bij hoeveel ‘wachtwoord vergeten aanvragen’ iemand geblokkeerd moet worden. Standaard staan deze instellingen op ’20’ (pogingen). Je kunt ook instellen hoe lang iemand dan geblokkeerd moet worden. Standaard staat deze instelling op 4 uren.

Een andere optie is om standaard een IP adres te blokkeren van degene die probeert via een niet-bestaande gebruikersnaam in te loggen. Deze staat standaard uit, om te voorkomen dat iemand bij een typefout direct geblokkeerd wordt. Dat is niet handig.

De optie om wachtwoorden die in de database van datalekken staan te blokkeren, is standaard aangevinkt. We raden aan om deze instelling zo te laten staan. Daaronder heb je nog overige opties zoals onder andere:

  • Het gebruik van sterke wachtwoorden forceren
  • Voorkom de registratie van de ‘admin’ gebruikersnaam als deze niet bestaat

Rate Limiting & Allowlist URL’s

Tot slot heb je nog instellingen voor ‘Rate limiting‘ en kun je bij ‘Allowlisted URL’s‘ links toevoegen die door de Firewall in Learning Mode niet gebruikt mogen worden.

De Scanner

De Scanner is net als de Firewall een belangrijk onderdeel van Wordfence. Met de knop ‘Start new scan‘ kun je Wordfence een nieuwe scan laten starten.

De scan checkt of er bestanden bestaan die niet gelijk zijn aan het origineel. Daaruit kun je opmaken of een bestand misschien is aangepast (bijvoorbeeld door een hacker).

Als de scan begonnen is, moet je de pagina wel op de voorgrond houden. Zodra je met je muis uit het venster gaat, zal de scan worden gepauzeerd.

Je kunt deze optie uitzetten via: ‘Wordfence > Global Options > General Wordfence Options > Pause live updates when window loses focus’.

Dit wordt echter niet aangeraden, omdat dit problemen kan geven met de prestaties van de server.

Zodra de scan is gestart zal deze verschillende taken controleren. Hieronder vind je overzicht:

Taak: Omschrijving: Premium?
Spamvertising checks Deze check controleert of je domeinnaam wordt gebruikt als link in spam mails Ja
Spam Check Hier wordt gecontroleerd of je website spam verstuurd Ja
Blocklist Check Als je domeinnaam op een blokkadelijst staat, wordt dat hier aangegeven Ja
Server State Controleert of de instellingen op de server veilig zijn
File Changes Controleert of er bestanden zijn gewijzigd van plugins/themas wat niet overeenkomt met de versie op de WordPress servers
Malware Scan Scant op malware bestanden in je WordPress installatie
Content Safety Scant reacties, posts en bestanden op gevaarlijke URL’s en verdachte content
Public Files Geeft aan als bestanden van buitenaf benaderbaar zijn, die dat eigenlijk niet mogen
Password Strength Controleert of alle WordPress gebruikers sterke wachtwoorden gebruiken
Vulnerablity Scan Deze scan controleert op plugins/thema’s die niet up-to-date zijn of lang niet meer zijn bijgewerkt en op WordPress versies
User & Option Audit Scant de WordPress core, plugins en thema opties op gevaarlijke URL’s en verdachte content.  Ook wordt er aangegeven als er buiten WordPress om een Administrator account is aangemaakt.

 

Onder de scan vind je de scanresultaten. Daarin staat precies wat er is ontdekt, wanneer dit is ontstaan en in welke risicocategorie het wordt geclassificeerd (Critical/High/Medium/Low).

Met de knop ‘Ignore‘ kun je de gevonden resultaat negeren. Dit wordt sterk afgeraden, doe dit echt alleen als het een valse melding is.

Met de knop ‘Details‘  klapt er onder het resultaat een klein venster open, waarbij je meer informatie over het resultaat kunt vinden.

Bestanden die zijn aangepast kun je met de ‘Repair‘ knop herstellen of je kunt de bestanden laten verwijderen.

Als je een melding definitief wilt negeren kun je deze markeren als opgelost (‘Mark as fixed‘)

Wordfence Tools

Bij het onderdeel ‘Tools‘ vind je 4 tabbladen:

Live Traffic

Hier kun je zien waar je bezoekers vandaan komen en eventueel het IP adres blokkeren.

Whois Lookup

Met deze tool kun je het IP adres van je bezoeker opzoeken. Je krijgt dan informatie over het IP adres waar deze geregistreerd is.

Import/Export options

Als je de instellingen van Wordfence ook op andere websites wilt gebruiken, dan kun je de settings met deze tool exporteren/importeren.

Het werkt heel simpel. Met de export functie genereer je een unieke code. Aan deze code zitten alle instellingen verwerkt, houd deze code dus alleen voor jezelf.

Vervolgens kun je bij een nieuwe Wordfence installatie de code importeren om de Wordfence instellingen weer terug te krijgen.

Diagnostics

Het Diagnostics tabblad geeft je een overzicht van de versie nummers en statussen van jouw website/configuratie en server(opties).

Deze resultaten kun je exporteren naar je PC of naar jouw e-mail laten sturen.

Login Security

Het onderdeel ‘Login Security’ bestaat uit 2 tabbladen: ‘Two-Factor Authentication‘ en ‘Settings‘.

Two-Factor Authentication

Hier kun je 2-weg authenticatie instellen voor jouw WordPress account. Dit is een extra beveiligingsmethode om naast je gebruikersnaam/wachtwoord ook met een extra code in te loggen.

Hiervoor heb je je mobiele telefoon een authenticator app nodig. De Google Authenticator is hiervoor uitstekend geschikt. Voor Android telefoons kun je deze hier vinden, voor iPhones van Apple staat die hier.

Als je de applicatie op je telefoon hebt geïnstalleerd, moet je de QR code scannen die je op het Two-Factor Authentication tabblad in beeld ziet. Je krijg dan in de app een code te zien die je in moet vullen bij optie 2. Enter Code from Authenticator App.

Je vind daar ook een 20-tal backup codes die je kunt gebruiken als je de app niet bij de hand hebt. Deze backupcodes kun je downloaden en eventueel uitprinten. Elke code is maar 1 keer te gebruiken.

Druk tot slot op ‘Activate‘ om de 2-weg authenticatie te activeren.

Settings

Je hebt zojuist voor je eigen account de 2-weg authenticatie ingesteld. Op het tabblad ‘Settings‘ kun je andere accounts ook de mogelijkheid geven om 2-weg authenticatie in te stellen.

Als jouw WordPress site meerdere Administrator accounts heeft, kun je hier aanvinken dat 2FA (Two-Factor Authentication) voor alle Administrators verplicht is.

Als extra kun je ook nog reCAPTCHA versie 3 inschakelen voor de inlog en registratie pagina’s van je WordPress site. Hiervoor moet je de Site Key en Secret Key bij Google opvragen.

All Options

Bij ‘All Options‘ vind je heel veel instellingen die je kunt aanpassen. Om dit blogartikel niet te lang te maken, zal ik alleen belangrijke opties van dit onderdeel hieronder bespreken.

Let op! Vergeet niet om bij elke aanpassing rechtsboven op ‘Save changes‘ te klikken.

Wordfence Licentie

Om te beginnen vind je als eerste de mogelijkheid om een licentiecode in te vullen. Standaard staat hier de licentiecode van de gratis variant van Wordfence al ingevuld.

Als je Wordfence Premium hebt aangeschaft, kun je hier de licentiecode van Wordfence Premium invullen. klik daarna op ‘Upgrade to Premium‘.

General Wordfence Options

Standaard staat het vinkje aan om Wordfence automatisch te updaten wanneer er een nieuwe versie is uitgebracht. We raden je aan om dit aangevinkt te laten.

Bij ‘Where to email alerts‘ kun je het e-mailadres aanpassen waarop je de meldingen van Wordfence wilt ontvangen.

Je vind hier ook de optie om de scan wel of niet te laten pauzeren als je met je muis uit het scan venster gaat, zoals eerder besproken in dit artikel.

Email Alert Preferences

Als je van Wordfence te veel mail ontvangt, kun je hier aangeven welke alerts je wel of niet per e-mail wilt ontvangen

Bij ‘Activity Report‘ kun je aangeven hoe vaak je het complete verslag van Wordfence wilt ontvangen.

Firewall Options

Hier vind je de opties voor de Firewall welke we al in dit artikel besproken hebben onder het onder ‘De Firewall’.

Blocking Options

Deze optie is alleen beschikbaar met Wordfence Premium. Hier heb je geavanceerde mogelijkheden met betrekking tot het blokkeren van IP adressen van bepaalde landen.

Scan Options

Het plannen van Wordfence scans staat hier standaard aan. Dit wordt ook aanbevolen. Met Wordfence Premium heb je hier ook nog de mogelijkheid om aan te geven wanneer precies de scans uitgevoerd mogen worden (bijvoorbeeld ’s nachts).

General Options

Hier vind je een tal van opties voor het scannen en monitoren.

Performance Options

Als je de server minder wilt belasten of problemen ondervindt met de scan, kun je hier de performance aanpassen. Daardoor duurt de scan langer. Het verloopt wel soepeler. Dit is aan te raden als je een grote website hebt.

Tot slot

Wordfence is een uitgebreide plugin voor WordPress om je website beter te beveiligen.

De gratis variant biedt veel mogelijkheden en is ruim voldoende om je website goed te beveiligen. De betaalde variant Wordfence Premium biedt extra bescherming, bijvoorbeeld in de vorm het blokkeren van verkeer uit bepaalde landen.

logo
Over: Bart

Bart helpt dagelijks onze klanten via de helpdesk met de juiste oplossingen. Naast kennis over hosting en websites weet hij bijzonder veel over films, waardoor tegenstanders deze categorie steevast overslaan bij een spelletje Buzz!