De 10 beste WordPress beveiliging plugins
Je website beveiligen is belangrijk. Met een goede beveiliging van je website zorg je ervoor dat niet alleen jouw business goed beveiligd is, maar dat ook de bezoekers van je website geen veiligheidsrisico lopen.
WordPress biedt op zich wel enige basisbescherming op het gebied van internetbeveiliging. Heb je een blog, e-commerce website of webshop, dan doe je er goed aan deze extra te beveiligen door middel van plug-ins.
WordPress heeft heel veel plug-ins, maar welke zijn nu de beste om te installeren? In dit artikel lichten we toe welke veiligheidsmaatregelen je moet nemen en welke plug-ins daarbij het beste te gebruiken zijn. Overigens, denk niet dat je het veiligst bent wanneer je ze allemaal installeert. Net als met internetbeveiliging, gaan meerdere veiligheid plug-ins ten koste van je snelheid, omdat ze elkaars activiteiten gaan bijhouden.
Woord vooraf: Begin bij de hosting
Wanneer je een boot bouwt van slechte kwaliteit, dan kost het vele malen meer om die drijvend te houden dan wanneer je een kwalitatief zeewaardig schip hebt. Een veilige website begint daarom bij de webhosting die je kiest. Niet iedere hostingprovider levert standaard het zelfde veiligheidspakket. Kies dus niet voor de allergoedkoopste hosting, maar kijk ook wat deze te bieden heeft aan standaard internetbeveiliging. Iedereen kent wel de vertraging op zijn pc bij gebruik van zware beveiligingspakketten als Norton. En als je één ding niet wil, dan is dat wel een trage website. Beveiliging op server niveaus is vaak veel effectiever zonder dat het de snelheid van je eigen website aantast. Ook superhandig wanneer je zelf niet zoveel verstand hebt van instellingen en settingen van plug-ins en het je aan tijd ontbreekt om die ook allemaal zelf te installeren.
Maar goed, niet iedereen heeft de middelen om te kiezen voor de meest beveiligde hosting, en in dat geval heeft WordPress tal van opties. We geven hieronder een lijstje weer die je ook direct toegang geven tot de betreffenden plug-in. Wil je het allemaal zelf uitvinden, dan kun je gelijk op de link klikken en aan de slag gaan. Weet je niet precies welke je moet kiezen, keep reading!
- Sucuri Security
- iThemes Security
- Wordfence Security
- WP fail2ban
- All In One WP Security & Firewall
- Jetpack
- SecuPress
- BulletProof Security
- VaultPress
- Google Authenticator
Kosten van plug-ins
De meest waardevolle plug-ins zijn niet gratis. Toch zitten er ook een aantal plug-ins tussen die basis beveiligingsfuncties gratis aan bieden. Maar voordat we het prijskaartje verder behandelen, gaan we eerst eens kijken naar wat de verschillende plug-ins doen. Op die manier kun jezelf beslissen welke je wilt gaan gebruiken. En wanneer je je handel goed wilt beveiligen, mag dat best wat kosten, nietwaar?
1. Sucuri Security – Auditing, Malware Scanner en Security veiligheidsoptimalisatie
De Sucuri security plug-in heeft zowel een betaalde als gratis versie. Vaak kun je volstaan met de gratis versie. De firewall is bijvoorbeeld een betaalde optie, maar lang niet iedere websitebeheerder vindt een (extra) firewall noodzakelijk.
Gratis opties omvatten onder meer een audit waarmee gekeken wordt hoe goed je website beschermd is. Bestanden worden gemonitord op verdachte zaken en vergeleken met zwarte lijst bestanden. Wanneer verdachte bestanden aangetroffen worden, krijg je een beveiligingswaarschuwing en worden verbetering voorgesteld.
In de betaalde versie is er toegang tot helpdesk en kun je de scanfrequentie zelf bepalen.
Sterke punten
- Verschillende SSL certificaten, hiervoor moet je wel betalen
- Chatten of mailen met klantenservice
- Directe beveiligingsmeldingen
- Geavanceerde DDos beveiliging in betaalde versie (s)
- Gratis versie biedt afdoende bescherming tegen malware, bestandsmonitoring en beveiligingsupdates en –voorstellen
2. iThemes Security
De iThemes Security plug-in is één van de meest uitgebreide beveiligingsplug-in waarmee je je website beveiligt tegen hacks en ander ongewenst bezoek. Het richt zich vooral op het zoeken naar de zwakke plekken in je beveiliging, zoals kwetsbare plug-ins, slechte software en (te) zwakke wachtwoorden.
De gratis versie bevat een aantal van deze beveiligingsopties, maar je doet er goed aan deze te upgraden nar de betaalde versie (ca. €80 per jaar). Hiermee ben je verzekerd van helpdesk, updates en support voor twee websites. Wil je meer websites beschermen dan is er de mogelijkheid je beveiligingsplug-in uit te breiden tegen meerkosten.
Met SecurityPro ben je onder andere verzekerd van sterke wachtwoorden, back-up van je databases, het weren van foute bezoekers, en tweetraps verificatie. Daarnaast zijn er nog veel meer (30) mogelijkheden om je website op professionele wijze te beveiligen.
Sterke punten iThemes beveiliging
- opsporen van bestandswijzigingen, iets wat je als webmaster anders niet snel zult merken
- voegt een extra beschermingsniveau toe aan de login, d.m.v. gebruik van Googles reCAPTCHA functie
- vergelijkt je WordPress bestanden met de huidige WP versie om te checken of er foute dingen in je bestanden terecht zijn gekomen
- update van WP versleuteling zodat je verificatie sleutels nog moeilijker te achterhalen zijn door indringers
- Pauze stand om het dashboard van je website af te sluiten in periodes waarin je weinig updates verricht. Hierdoor kan niemand bewust of onbewust aanpassingen doen.
- Opsporen van 404 foutmeldingen, bescherming tegen inbreuk en verbetering van wachtwoorden e.a.
3. Wordfence Security
Eén van de populairste beveiliging plug-ins, en dat is niet zomaar. Deze plug-in is zowel super eenvoudig als krachtig tegelijk als het gaat om bescherming van je website. Neem de krachtige login beveiligingseigenschappen en de hersteltools waarmee beveiligingslekken kunnen worden afgedicht. Nog mooier is dat je met deze tool inzicht krijgt in algemene bezoektrends en hack pogingen op je website.
Wordfence heeft bovendien een groot aantal gratis opties, van firewall Blocks tot bescherming tegen brute-force aanvallen.
Aan de andere kant kost de premium versie meteen €99 per jaar, per website. Er is wel een staffelkorting wanneer je meerdere websites wilt beveiligen. Wanneer je bijvoorbeeld 25 websites beheert, kost het nog slechts €29 per jaar per website om de premium versie van Wordfence te installeren.
Sterke punten Wordfence beveiliging
- De gratis versie biedt al voldoende beveiliging voor kleine websites
- Developers kunnen veel veld besparen wanneer ze veel websites willen beveiligen
- Complete firewall afdeling met tools voor het blokkeren van landen, handmatige blokkades, bescherming tegen brute-force aanvallen, real time verdediging tegen bedreigingen en een web applicatie firewall.
- De scan zorgt voor detectie en afweer tegen malware, real time bedreigingen en spam
- Monitoring van al het verkeer op je website zoals bijv. Google crawl activiteit, login en loguit acties, menselijke bezoekers en bots.
- Unieke tools zoals inloggen met je mobiel en het checken op veiligheid van wachtwoorden
- Spam filter zodat je die niet apart hoeft te installeren
4. WP fail2ban
WPfail2ban heeft maar één taak maar wel een heel belangrijke: bescherming tegen brute-force aanvallen. Deze plug-in heeft een ietwat andere benadering die door velen als beter en effectiever beoordeeld wordt dan de eerder besproken beveiligingstools.
WP fail2ban beschrijft alle login pogingen, ongeacht de aard en of ze succesvol zijn of niet in de syslog LOG_AUTH. Je kunt een harde of softe ban instellen. Normaal is er meestal maar één manier voor handen.
De WP fail2ban hoef je niet te configureren. Gewoon installeren en het zal aan de slag gaan voor je. Bovendien is deze plug-in helemaal gratis. Voeg dar aan toe dat hij ook nog eens uitstekend werk verricht en je begrijpt waarom deze met kop en schouders boven de andere plug –ins uit steekt.
Sterke punten WP fail2ban
- Keuze tussen softe en harde blokkades
- Integratie met CloudFare en proxy servers
- Log berichten waarmee je spam en schadelijke berichten vermijdt
- Log van spam, pingbacks en lijst van alle gebruikers
- Shortcode optie waarmee je gebruikers kunt blokkeren nog voordat ze kunnen inloggen.
5. All In One WP Security & Firewall
Dit is één van de meest uitgebreide beveiligingsplug-ins, zoals de naam al doet vermoeden en bovendien ook nog grotendeels gratis. Eenvoudig te bedienen en een goede bereikbare klantenservice zonder dat je daarvoor hoeft te betalen. Veiligheidsrisico’s worden letterlijk duidelijk in beeld gebracht met grafiekjes en metertjes zodat ook de leek begrijpt wat hij moet doen om de beveiliging te verbeteren.
De plug-in functies zijn verdeeld over drie werkniveaus: basis, intermediate en geavanceerd. Ook voor gevorderde developers is dit dus een nog bruikbare tool. De belangrijkste manier waarop deze plug-in werkt is dat dat het je gebruikers accounts beschermd, geforceerde loginpogingen blokkeert en de beveiliging verbetert van registratiegegevens van gebruikers. Bovendien omvat de plug-in ook nog database- en bestandsbeveiliging.
Sterke punten van WP Security & Firewall
- Zwarte lijst tool die je zelf kan instellen om een gebruiker te blokkeren.
- Back-up van .htaccept en .wp-config bestanden. Bevat ook een tool om deze bestanden te herstellen wanneer er iets fout loopt.
- Beveiliging van je website wordt grafisch weergegeven in twee verschillende grafieken. De ene geeft aan hoe goed je complete website beveiligd is en de ander doet dat per onderdeel. De gemiddelde gebruiker kan hiermee in één oogopslag zien of alles in orde is.
- Helemaal gratis, op geen enkel moment wordt je verleid tot aankoop van iets anders.
6. Jetpack
Bijna iedereen die WordPress gebruikt, kent Jetpack. Dit komt vooral om dat Jetpack zo veelzijdig is, maar vooral omdat deze plug-in gemaakt is door de mensen van wordpress.com. Jetpack is een plug-in voor ontwerp, marketing en beveiliging. Zo kun je je social media berichten aansturen, de snelheid van je website verbeteren en beschermen tegen spam. Eigenlijk kun je er zoveel mee dat je het gewoon eens moet proberen, als je dat niet al gedaan hebt.
Jetpack bevat ook een aantal beveiligingsopties, waarmee dit een plug-in is voor degene di e letten op de kleintjes en die liefst iets willen met betrouwbare en bewezen reputatie. De beschermingsmodule is gratis en het zorgt ervoor dat verdachte activiteiten worden geblokkeerd. Verder beschermt de basisversie tegen brute-forceaanvallen en kun je een gecontroleerde (witte) lijst aanleggen van gebruikers en websites die je vertrouwt.
De betaalde versies van Jetpack bieden meer beveiligingsopties. Voor €39 per jaar heb je al een persoonlijke versie die dagelijkse back-ups maakt en automatisch spam filtert. Met €99 per jaar beschik je over de Premium versie met een malware scanner, systematische back-ups en herstelopties wanneer er iets fout gaat. Geschikt voor kleine bedrijven. Wil je nog een stapje verder, dan kun je met het €29/maand Professional plan je eigen malwarescans uitvoeren en heb je realtime back-ups voor optimale beveiliging.
Sterke punten Jetpack
- Gratis versie biedt afdoende beveiliging voor kleine websites die je eventueel kan upgraden naar een betaalde premium versie, waarbij je volledige support ontvangt en je ogenblikkelijk beschikt over één van de beste plug-ins die er momenteel is.
- Veilig inloggen met optionele tweetrapsverificatie
- Houdt een logboek bij van alle wijzigingen en updates
- De betaalde versie geeft toegang tot back ups, scannen op beveiligingsrisico en bescherming tegen spam.
- Plug-in updates worden volledig door Jetpack zelf beheerd
- Downtime monitoring
- Snelle ondersteuning van WordPress deskundigen
- Maakt andere plug-ins overbodig. Je kunt er bijvoorbeeld ook emailmarketing mee opzetten en uitvoeren, social media beheren, je website aanpassen naar persoonlijke voorkeur en SEO optimaliseren. Who needs more?
7. SecuPress
Dit is één van de meer recente beveiligingsplug-ins. Het werd in 2016 geïntroduceerd als Fremium, maar groeit nu snel onder de naam SecuPress en is onderdeel van WordPress. Julio Potier is de grondlegger. Hij was één van de oprichters van WP-Media die je wellicht kent van WP Rocket en Imagify.
SecuPress heeft zowel een gratis als een betaalde uitvoering. Ben je op zoek naar een beveiligingsplug-in met een eenvoudige, maar wel complete user interface, dan is SecuPress het proberen waard. Bij de gratis versie heb je wat meer tijd nodig om bijvoorbeeld wekelijks scans te doen, bij de SecuPress gaat dat vanzelf.
De gratis versie geeft toegang tot bescherming tegen brute-force aanvallen, geblokkeerde IP’s en een firewall. Anders dan andere WordPress beveiligingsplug-ins, biedt SecuPress bescherming van je beveiligingssleutels en worden bezoekjes van slechte bots geweerd (voor deze functionaliteit moet je bij andere plug-ins meestal betalen).
Sterke punten SecuPress
- Super gemakkelijk te bedienen, ook voor onervaren gebruikers
- Premium versie bevat scanner die problemen meteen oplost voor je. De beveiligingscheck omvat 35 belangrijke punten in vijf minuten met een duidelijk verslag en een instant verbetering van het beveiligingsniveau van je WP website.
- Malware scan
- Blokkeren van landen op basis van geolocatie
- Optie om je login URL aan te passen zodat bots deze niet kunnen vinden met Move Login plug-in
- Helpt je om thema’s en plug-ins te ontdekken die een risico vormen voor de beveiliging van je website.
- Bevat 2FA (tweetraps verificatie, zo’n beetje een must wanneer het aankomt op beveiliging)
- Security rapportage in PDF formaat
- Bevordert het gebruik van sterke wachtwoorden
8. BulletProof Security
Deze plug-in kun je gratis installeren. Ook zijn er betaalde versies. De premium versie kost nog geen €70 en hiervoor krijg je een zeer complete (misschien wel de meest complete die je kunt vinden op dit moment) beveiligingsplug-in die helemaal up-to date is en gehouden wordt. Vooral geschikt voor de ervaren website ontwikkelaar.
Nadeel is wel dat deze plug-in nog niet in het Nederlands beschikbaar is, waardoor de beginnende gebruiker geen idee zal hebben wat waarvoor dient.
Met deze plug-in ontvang je onder meer mogelijkheden om quarantaines in te stellen, email alerts, anti-spam opties, automatische herstelmogelijkheden en nog veel meer. Misschien een goed idee om te starten met de gratis versie want die biedt al een hele hoop tools:
- Login beveiliging en monitoring
- Database back-up en herstel
- MScan Malware scanner
- Anti-spam en anti-hacking tools
- Een veiligheidslogboek
- Verborgen plug-in folders
- Onderhoudsmodus
- Volledige set-up wizard:
Let wel, dit is zeker niet de meeste gebruiksvriendelijke WordPress beveiligingsplug-in, maar ervaren developers zullen zeker plezier beleven aan de meer geavanceerde en unieke settings en eigenschappen zoals de anti-exploitatie wacht en de online Base64 decoder. De setup wizard voor auto-fix maken het net even eenvoudiger.
Beste punten van BulletProof
- Bevat een aantal van de meest unieke en geavanceerde beveiligingstools van dit moment, zoals ARQ IDPS coderingsoplossingen, evenals geplande crons, cURL-scans, mapvergrendeling en meer.
- De gratis versie biedt ruim voldoende hulpmiddelen voor de gemiddelde website.
- Back-ups van database in gratis versie.
- Mogelijk om individuele plug-in folders te verbergen.
- Onderhoudsmodus is best uniek voor een beveiligingsplug-in.
9. VaultPress
Deze plug-in is vergelijkbaar met iThemes Security Pro en Sucuri Scanner. Je moet hier altijd voor betalen, ongeacht het type bescherming. Met €39 per jaar vallen de kosten mee. Deze versie wordt aanbevolen voor bloggers en kleine websites en webshops. Is dit niet genoeg bescherming, dan kun je upgraden naar €99 of €299 per jaar. Vaultpress is inmiddels opgegaan in JetPack.
Meest in het oog springend zijn de dagelijkse en real time back-ups. Op een kalender kun je aangeven wanneer je wilt dat deze uitgevoerd worden. Prettig is ook dat je met een enkele muisklik een complet website kunt herstellen en je de herstelde bestanden op je dashboard kunt terugvinden. Omdat er meerdere bestanden worden bewaard, kun je zelf aangeven welk bestand je wilt terugzetten. Het mooiste van VaultPress is dat de back-ups incrementeel zijn. Dat wil zeggen dat de prestaties en de dus de snelheid van je website er niet onder te lijden hebben.
De beveiligingstool let op verdachte activiteiten op je website en heeft een apart tabje waarop je de historie kunt bekijken. Verder kun je vanaf het dashboard statistieken bekijken en de algehele veiligheid van je website in de gaten houden.
Sterke punten Vault Press:
- Relatief goedkoop in vergelijking met andere premium versies van beveiligingsplug-ins.
- Plannen van back-ups of deze onmiddellijk draaien met behulp van de kalender
- Eenvoudig te begrijpen, overzichtelijk dashboard
- Geeft ook informatie over de tijdstippen dat je site het drukst bezocht wordt, en inzicht in de bedreigingen die op die tijdstippen voor kwamen.
- Direct contact met deskundigen van Vault Press wanneer je hulp nodig hebt bij het herstellen van je website of bij het maken van back-ups.
10. Google Authenticator – Tweestaps Verificatie
Als je bedenkt dat 81% van de datadiefstallen veroorzaakt worden door gestolen of zwakke wachtwoorden, is het beveiligen van inloggen met een tweetraps verificatie de toekomst. Want waar gebruikers baat hebben bij eenvoudig te onthouden wachtwoorden, hebben internet criminelen dat ook. De oplossing hiervoor is de Google Authenticator.
Dit is één van de weinige plug-ins met enkelvoudige beschermingsfunctie waarvan het zin heeft die afzonderlijk te installeren, want deze functie vind je eigenlijk in geen enkele andere security plug-in, op SecuPress en iThemes na.
De Google Verificatie voegt een tweede beschermingsniveau toe aan het login proces. Zoals al is gezegd, is dit super belangrijk, omdat de meeste hacks plaats vinden tijdens het inloggen.
Om te kunnen inloggen heb je dan niet genoeg aan een gebruikersnaam en een wachtwoord. Deze plug-in stuurt een extra pushbericht naar bijvoorbeeld je mobiel of andere vorm van verificatie zoals bijvoorbeeld een QR code of door het stellen van een veiligheidsvraag. Denk maar aan het inloggen met DigID waarbij je kunt kiezen uit een sms bericht of inloggen met gebruik van de app.
Door deze tweede beveiligingsschil is het veel lastiger om misbruik te maken van je account, omdat die elementen bevat waar alleen jij toegang toe hebt, zoals bijvoorbeeld je mobiel (een reden temeer om extra zuinig te zijn en ook die goed te beveiligen J).
Het fijne van deze plug-in is dat hij volledig gratis en heel makkelijk is te installeren. Je kunt kiezen wat voor type verificatie je wenst en bovendien aangeven welk type gebruiker van deze verificatie gebruik moet maken. Je kunt bijvoorbeeld de admin gebruiker een makkelijke (lees snelle) toegang geven, en auteurs en andere gebruikers de tweestaps verificatie laten doorlopen.
Wat wel lastig is, wanneer je deze plug-in installeert, is het inloggen vanaf mobiele apparatuur. Dat wordt namelijk een stuk moeilijker hierdoor.
Sterke punten Google Authenticator
- Zorgt ervoor dat de login omgeving optimaal beveiligd is
- Je bepaalt zelf welke verificatie bij je past
- Je kunt de beveiliging aanpassen aan de rol van de gebruiker
- Bevat een shortcode voor gebruik op custom login pagina’s
Tot slot: Welke plug-in past het beste bij jou?
Nu we de beste tien plug-ins hebben besproken is het zaak te bepalen welke je nodig hebt. Let er als eerste op wat je host te bieden heeft aan beveiligingsopties. Daarnaast is het afhankelijk van wat je wil en wat je er voor over hebt.
- Ga je alleen voor de beste; kies dan Sucuri Security, SecuPress, Jetpack of iThemes security
- Ga je voor gratis; kies dan Wp Security@Firewall, Sucuri Security (gratis versie uiteraard) of Wordfence Security (gratis scanfunctie!).
- Ga je voor eenvoud en gemak, kies de All-in One WP SecurityFirewall
- Ga je voor geavanceerde beveiliging tegen brute-force aanvallen, kies WP fail2ban
- Ben je op zoek naar tweestaps verificatie om het inloggen te beveiligen, kies Google Authenticator- Tweestaps verificatie.
- Ga je voor het uiterlijk, kies dan SecuPress of VaultPress, allebei met een prachtige interface.
Zoals we al eerder aan gaven is meer niet perse beter. Maar met een slimme combinatie van bijvoorbeeld de gratis versie van iThemes met de gratis scan functie van Wordfence kom je een heel eind.
Uiteraard zijn er nog veel meer beveiligingsplugins te vinden voor WordPress. De bovenstaande hebben we gekozen uit onze eigen ervaring met gebruikers. Mocht er eentje ontbreken waarvan je denkt dat hij een plaatsje verdient in deze top 10, laat het ons dan weten.
Wist je dat Webcare4all ook een onderhoudscontract aanbied aan zijn klanten? Hierbij heb je zelf totaal geen omkijken meer naar de beveiliging en updates van je website? Klik hier voor het WordPress onderhoudscontract.