Solid Security Pro voor het beveiligen van je website
Solid Security Pro (voorheen iThemes Security) is een plugin die helpt om indringers buiten de deur te houden en een hulpmiddel is om je WordPress website te beveiligen. Het is een betaalde plugin die je op de website van SolidWP kan aanschaffen.
Solid Security Pro activeren in WordPress
Nadat je de plugin hebt aangeschaft, installeer je deze via het WordPress dashboard door de plugin handmatig toe te voegen. Hoe je zelf een plugin kan toevoegen lees je in WordPress plugin uploaden via de Upload functie.
Vervolgens activeer je de licentie door naar het overzicht van geïnstalleerde plugins te gaan. Bovenin zie je nu de optie om de plugin te activeren.
Zie je deze pop-up niet? Dan kan je ook onderin je scherm op de knop “SolidWP Licensing” klikken.
Zorg dat bij het invoerveld de url van de website staat waarvoor je de licentie wilt activeren, meestal is de huidige url automatisch ingevuld.
Klik nu op “Save” om door te gaan.
Vervolgens vul je dezelfde gebruikersnaam en wachtwoord in die je gebruikt hebt om Solid Security aan te schaffen en klik je op “License Products” om alle functies te ontgrendelen.
Solid Security Pro installatie wizard
Nadat je Solid Security Pro (of SolidWP) hebt geactiveerd, kunnen we beginnen met de installatie wizard. De wizard bestaat uit vijf stappen:
- Website
- Global Settings
- Features
- User Groups
- Notifications
1. Website
Hier wordt je gevraagd naar een aantal algemene gegevens over je website.
Soort website
Allereerst stel je in om wat voor soort website het gaat. Het maakt niet heel veel uit welke optie je hier kiest, omdat we de instellingen toch nog gaan aanpassen. In ons voorbeeld kiezen we voor een e-commerce website.
Beheer en gebruikersrollen
Ook kies je hier of het om je eigen website gaat of die van een klant en kan je gebruikersrollen toewijzen.
Two-factor authentificatie
Daarna word je gevraagd of je two-factor authenticatie wilt inschakelen. Dit zorgt voor extra beveiliging en kan daarom handig zijn. Let er alleen wel op als je met meerdere mensen aan je site gaat werken. Dat iedereen dan een eigen account nodig heeft.
Password policy
We adviseren om dit altijd in te stellen. Een password policy kan bestaan uit een regels zoals het verplicht stellen om alleen sterke wachtwoorden te gebruiken en dat wachtwoorden die eerder zijn voorgekomen bij een datalek, niet opnieuw gebruikt kunnen worden.
2. Global Settings
Hier vind je een aantal basisinstellingen die bepalen hoe Solid Security Pro straks op je website werkt. De belangrijkste instelling hier is dat je je eigen IP-adres kan opgeven onder “Authorized Hosts”. Dit zorgt ervoor dat je later niet wordt uitgesloten van je eigen website.
3. Features
Hier kan je een aantal functionaliteiten instellen met betrekking tot je websitebeveiliging.
Login Security
Onder het eerste tab vinden we drie instellingen: Two-factor, Passwordless Login en Trusted Devices.
Two-factor
Je kan hier wederom aangeven of je gebruik wilt maken van two-factor authentificatie.
Passwordless Login
Met deze optie kan je ervoor kiezen dat mensen in plaats van met een wachtwoord, kunnen inloggen met een link die zij toegestuurd krijgen per mail.
Trusted Devices
Deze optie zorgt ervoor dat mensen die inloggen met een apparaat dat niet wordt herkend door SolidWP eerst een e-mail ontvangen waarmee zij hun identiteit moeten bevestigen.
Firewall
Onder het tweede tab vinden we een aantal firewall opties. Deze kan je standaard allemaal aan houden. Magic Links zetten we zelf wel altijd uit. Deze optie houdt in dat gebruikers die uitgesloten zijn van de website op basis van een gebruikersnaam of IP-adres, op deze manier via een link toch nog toegang kunnen krijgen tot de website.
Site Check
In het derde en laatste tab kan je toestemming geven voor het uitvoeren van site scans. Hiermee wordt je website twee keer per dag automatisch gescand op mogelijke beveiligingsproblemen.
4. User Groups
Hiermee kan je de gebruikersgroepen instellen. Wij kiezen standaard voor “Default User Groups”. Vervolgens verschijnen er verschillende opties.
Password Requirements
Je komt hier via de hoofdtab “Customers”. Vervolgens ga je naar Features en Password Requirements. De opties “Strong Passwords” en “Refuse Compromised Passwords” adviseren we je om altijd aan te laten staan. Deze opties zorgen ervoor dat je gebruikers verplicht worden om een sterk wachtwoord te kiezen en dat wachtwoorden die eerder bij een beveiligingslek uitgesloten worden om nog een keer te gebruikken.
Wanneer je klaar bent, klik je op “Next”.
5. Notifications
Als je klaar bent met het doorlopen van de installatie wizard, klik je op “Complete Setup” om de installatie te voltooien. Voordat je dit doet, kan je nog een mailadres opgeven waar notificaties naar gestuurd worden wanneer er beveiligingsupdates zijn.
Onze tip is om All “Beheerders” Users uit te zetten. Dit voorkomt dat notificaties naar iedereen binnen het team worden gestuurd en niemand actie onderneemt. In plaats daarvan is het beter om één persoon eindverantwoordelijk te maken voor de websitebeveiliging.
Solid Security Pro extra instellingen
We hebben nu gezien hoe je Solid Security downloadt en installeert. Maar hoe haal je het meest uit deze plugin en waar moet je op letten? We nemen je mee in alle belangrijke features en instellingen.
Global settings
Wanneer je binnen WordPress links onderin op “Settings” klikt, kom je binnen het instellingenpaneel van SolidWP. Je komt hiermee automatisch uit bij de “Global Settings”. Hier vind je instellingen over onder andere wat er moet gebeuren wanneer iemand een aantal mislukte inlogpogingen heeft uitgevoerd en opties voor het bijhouden en opslaan van logbestanden.
Lockouts
Met deze optie stel je in wat er moet gebeuren wanneer een IP-adres het maximaal aantal loginpogingen heeft bereikt. Met “MINUTES TO LOCKOUT” stel je in hoe lang iemand geen nieuwe inlogpogingen kan doen. Standaard staat dit ingesteld op 15 minuten. Om de beveiliging te verhogen kan je het aantal minuten verhogen. Maar bedenk altijd dat het mes aan twee kanten snijdt. Leden van je website of webshop hebben hierdoor bijvoorbeeld langer geen toegang tot je site terwijl zij geen kwaad in de zin hadden.
Logging
Met deze optie regel je de manier waarop logs van SolidWP worden bijgehouden. Zo kan je instellen hoe lang je de logs wilt opslaan en ook hoe je deze wilt opslaan. Afhankelijk van hoe actief je website is en met hoeveel mensen je eraan werkt, is het soms beter om de logs weg te schrijven in een apart bestand. Doe je dit niet, dan kan je database heel snel vol raken.
UI Tweaks
Als je graag met een opgeruimde admin bar werkt, kies dan om het security menu niet te laten zien. Je doet dit door “Hide Security Menu in Admin Bar” aan te vinken binnen de algemene settings.
Features
Het features tabblad bestaat uit vier delen en je kan hier instellingen regelen op het gebied van het inloggen in de admin omgeving van WordPress, de firewall, monitoring van wijzigingen op je site en utilities.
Privilege Escalation
Binnen de eerste tab “Login Security” zie je de optie “Privilege Escalation”. Hiermee geef je gebruikers tijdelijk extra bevoegdheden en dit is handig bij het installeren van een plugin bijvoorbeeld.
Ban Users
Deze optie en de opties die je hieronder ziet, zijn onderdeel van de instellingen van de firewall en wil je altijd aan hebben staan. Klap de instellingen uit om “Default Ban List” te zien. Dit is een handige optie en zorgt ervoor dat veelvoorkomende bots automatisch geblokkeerd worden.
Firewall Rules Engine
Hiermee stel je het maximaal aantal “misbruik pogingen” in. Deze optie kan je van 10 naar 5 zetten.
Local Brute Force
Met Local Brute Force zorg je ervoor dat loginpogingen met een gebruikersnaam “admin” automatisch geblokkeerd worden. Let op dat je hiervoor wel een andere gebruikersnaam moet hebben dan de standaard “admin” naam.
Ook kan je hier het maximaal aantal loginpogingen instellen en hoe lang dit onthouden moet worden. 5 loginpogingen moet vaak genoeg zijn.
Network Brute Force
Met de Network Brute Force API kan je jouw website beschermen met blokkeerlijsten van andere websites. Dit levert dus extra bescherming voor je website op.
File Change
Je vindt deze optie onder de “Site Check” instellingen. Hiermee kan je in de gaten houden wanneer bestanden gewijzigd worden. Dit is vooral handig als je ziet dat een plugin gewijzigd is, maar je zelf geen wijzigingen hebt aangebracht. Leuk is het niet, want dit kan een signaal zijn dat er iets aan de hand is.
Version Management
Deze instelling is handig als je een website zelf beheert. Bij onze websites zetten we deze optie meestal uit.
Enforce SSL
Deze optie vinden we onder de meest rechter kop “Utilities”. Zorg dat deze optie aanstaat. Hiermee maak je SSL altijd verplicht.
Database Backups
Deze optie zetten wij standaard uit. Het is beter om dit op serverniveau te regelen of met andere plugins zoals BlogVault of UpdraftPlus. Eerder schreven wij hoe je handmatig een back-up maakt van je WordPress website.
Als je toch kiest om een backup te maken via SolidWP, let er dan op dat er alleen een backup wordt gemaakt van de database van je website. En dus niet van de bestanden. Als je website dan volledig hersteld moet worden, dan heb je zonder deze bestanden alsnog niet zo veel aan een backup.
User Groups
Binnen dit menu kan je instellen welke beveiligingsopties gebruikers van je website kunnen aanpassen. Zorg er in ieder geval voor dat de instellingen “Strong Passwords” en “Refuse Compromised Passwords” aanstaan. De andere instellingen kan je achterwege laten. Vergeet niet om de aanpassingen van de instellingen op te slaan.
Notifications
Hiermee kan je instellen welke notificaties je wilt ontvangen en hoe vaak. Je voelt het al aankomen maar dit levert al snel een berg aan e-mails op. Beter is om het aantal mails te beperken. Als je alleen de meldingen voor “Site Scan Results” en “Inactive Users” aanzet, dan zou dat genoeg moeten zijn.
Je krijgt dan alleen een melding als er tijdens de sitescan iets naar voren komt of wanneer gebruikers van je website voor een langere tijd inactief zijn.
Security Digest
Deze optie kan je op wekelijks zetten. Als je liever zo min mogelijk meldingen ontvangt, dan kan je deze optie ook uitzetten.
Site Lockouts
Deze optie kan je ook uitschakelen. Dit scheelt veel e-mails en is er alleen om een melding te geven dat SolidWP zijn werk doet.
Site Scan Results
Deze optie kan je aan laten en geeft je een bericht als er problemen zijn tijdens het uitvoeren van site scans.
Inactive Users
Deze optie kan je op maandelijks zetten en geeft je een overzicht van de gebruikers die langer dan 30 dagen niet ingelogd hebben.
Advanced settings
Binnen de advanced opties staan instellingen om de bestanden binnen je database te beschermen. Vergeet ook hier niet om gemaakte wijzigingen goed op te slaan.
System Tweaks Settings
Deze instellingen kan je het best allemaal aanzetten. De System Tweaks Settings bestaan uit:
File Access
Hieronder vallen “Protect System Files” en “Disable Directory Browsing”. Deze opties houden in dat kwaadwillende niet zomaar bestanden van je website kunnen bekijken zoals de readme.html en wp-config.php files.
PHP Execution
Hiermee kan je PHP uitschakelen bij uploads, plugins en thema’s. Dit zorgt ervoor dat het voor hackers een stuk lastiger wordt om je website schade toe te brengen als deze al malware bevat. En dient dus als extra bescherming laag boven op alle andere maatregelen.
WordPress Tweaks
Onder deze instellingen vallen algemene WordPress aanpassingen.
API Access
Met het aanpassen van de XML-RPC naar “Disable XML-RPC” zorg je dat hackers niet je gebruikersnaam en wachtwoord kunnen “raden” door heel veel login verzoeken naar je website te sturen.
Het kan zijn dat je bij het uitzetten van deze optie meldingen krijgt van externe plugins zoals Jetpack of je koppeling met WordPress.com. Maar het uitschakelen van XML-RPC helpt bij het verbeteren van de beveiliging van je website.
Zorg ook dat je de “REST API” ingesteld hebt op “Restricted Access”. Anders is de lijst van gebruikers van je site zichtbaar voor kwaadwillende en kunnen zij je website helemaal leegtrekken.
Users
We raden aan om “Disable Extra User Archives” aan te vinken. Dit zorgt dat er geen gebruikersprofiel wordt aangemaakt als deze gebruiker nog geen posts heeft gecreëerd binnen WordPress. Als je wil kan je ook de optie “Force Unique Nickname” aanzetten.
Hide Backend
Er is ook nog een optie om het “/wp-admin” deel van je website te verbergen door “Hide Backend” aan te vinken. Bij een goede webhosting provider is dit deel gelukkig al extra beveiligd. Verander je de url van je website, dan maakt dit de beveiliging vaak al niet meer actief. Deze optie gebruiken voegt dus weinig toe en kan je website in veel gevallen zelfs nog een stukje onveiliger maken.
Let er ook op dat het inschakelen van deze optie problemen kan geven met andere plugins. Ook kan je de nieuwe admin-url van je site vergeten. Je loopt dan het risico dat je helemaal niet meer kan inloggen op je website. Het is beter om deze optie dus uit te laten staan.
Site Scans uitvoeren met SolidWP
Het Site Scan dashboard van Solid Security geeft je een handig overzicht van de status van de beveiliging op je website. Zo zie je realtime het aantal uitgevoerde updates en zie je per dag hoeveel aanvallen er geblokkeerd zijn. Ook vind je er een overzicht van aandachtspunten, de status, het type fout en een advies waarbij je de keuze hebt om de plugin te verwijderen of de melding te negeren.
Let er op wanneer je jouw plugins opschoont, je deze programma’s niet alleen deactiveert maar ook verwijdert. Gedeactiveerde plugins vormen namelijk nog steeds een risico voor je site.
Solid Security Pro de beste beveiligings plugin?
Met Solid Security Pro plugin van SolidWP voorkom je dat je een makkelijk doelwit wordt voor kwaadwillende en het biedt dan ook een stukje extra beveiliging voor je website. Let er alleen wel op dat het niet voorkomt dat je helemaal geen risico meer loopt. Dat is simpelweg niet mogelijk.
De belangrijkste basis voor het beveiligen van je WordPress website blijft een goede webhosting, sterke wachtwoorden en het niet zomaar delen van logingegevens. Download ook niet zonder na te denken thema’s en plugins van onbekende bronnen en probeer het aantal plugins zo laag mogelijk te houden.
Dat Solid Security geen waarschuwingsmelding geeft over een plugin of thema, betekent niet dat er helemaal geen updates voor beschikbaar zijn. Bedenk dat deze tool dan ook een prima toevoeging voor je website is, maar geen volledige garantie geeft.
Solid Security Pro en Patchstack
Een mooie extra van Solid Security Pro is dat er een integratie met Patchstack heeft. Je kan het zien als een virtuele extra firewall die je beschermt tegen plugins die een beveiligingslek bevatten, maar plugins die je toch nodig hebt omdat ze essentieel zijn voor de werking van je site. Hiervoor geld wel dat het beter is om een plugin met een lek te verwijderen van de website omdat dit nog steeds een risico vormt.
Je WordPress website goed beveiligen
Ben je klaar voor de volgende stap of heb je na het lezen van onze uitleg nog vragen? Stuur dan een bericht en laat het ons weten. Hulp nodig bij het beveiligen van je WordPress site of het bij het opschonen van een gehackte website? Gebruik het formulier hieronder.