Beschrijving
Met de zorgvuldig geselecteerde en eenvoudig te configureren functies biedt de SiteGround Security plugin alles wat je nodig hebt om je site te beveiligen en enkele bedreigingen te voorkomen, zoals brute force aanvallen, gecompromitteerde login, datalekken en meer.
Login instellingen
Hier kun je de gereedschappen gebruiken die we hebben ontwikkeld om je inlog pagina te beschermen tegen onbevoegde bezoekers, bots en ander kwaadaardig gedrag.
Aangepaste inlog URL
Wijzig de standaard inlog URL om aanvallen te voorkomen en een gemakkelijk te onthouden inlog URL te hebben. Je kunt ook de standaard aanmelding URL wijzigen als je die optie hebt ingeschakeld voor je site.
Belangrijk!
Je kunt terugkeren naar het standaard login type met behulp van het volgende samenvatting.
add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
update_option( 'sg_security_login_type', 'default' );
}
Login toegang
Met Login Access kun je de toegang van de login pagina beperken tot een specifiek IP adres of een reeks IP’s om kwaadaardige login pogingen of brute force aanvallen te voorkomen.
Belangrijk!
Als je je zelf buitensluit van je beheerders paneel, kun je de volgende optie toevoegen aan de functie van je theme.php, de site opnieuw laden en vervolgens verwijderen zodra je toegang hebt gekregen. Houd er rekening mee dat dit ook alle IP’s verwijdert die toegang hebben tot de inlog pagina en dat een herconfiguratie nodig is:
add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
update_option( 'sg_login_access', array() );
}
Twee-factor authenticatie
Twee-factor authenticatie voor beheerder gebruiker dwingt alle beheerders om een token op te geven dat is gegenereerd vanuit de Google Authentication applicatie wanneer ze zich aanmelden.
Belangrijk!
Je kunt andere rollen dwingen om ook de twee-factor authenticatie te gebruiken. Eenmaal ingeschakeld, kun je je filter als volgt toevoegen.
add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
$roles[] = 'your_role';
return $roles;
}
Je kunt de locatie van het 2FA coderings sleutel bestand wijzigen met behulp van SGS_ENCRYPTION_KEY_FILE_PATH constante die is gedefinieerd in wp-config.php-bestand. Zorg ervoor dat je het volledige pad naar het bestand gebruikt. Voorbeeld:
// Custom path to SG Security Encryption key file.
define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');
Algemene gebruikers namen uitschakelen
Het gebruik van veelgebruikte gebruikers namen zoals ‘admin’ is een beveiligingsbedreiging die vaak leidt tot ongeautoriseerde toegang. Door deze optie in te schakelen, schakelen we het maken van gebruikelijke gebruikers namen uit en als je al een of meer gebruikers met een zwakke gebruikers naam hebt, vragen we je om nieuwe gebruikers te leveren.
Beperk login pogingen
Met beperken Login Attempts kun je aangeven hoe vaak gebruikers mogen proberen in te loggen met onjuiste gegevens. Als ze een bepaalde beperking bereiken, wordt het IP waarvandaan ze proberen in te loggen een uur lang geblokkeerd. Als ze doorgaan met mislukte pogingen, worden ze 24 uur en daarna 7 dagen geblokkeerd.
Belangrijk!
Als je je zelf buitensluit van je beheerders paneel, kun je de volgende optie toevoegen aan de functie van je theme.php, de site opnieuw laden en vervolgens verwijderen zodra je toegang hebt gekregen. Houd er rekening mee dat dit ook het blokkeren van mislukte pogingen voor alle IP’s zal verwijderen:
add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
update_option( 'sg_security_unsuccessful_login', array() );
}
Site beveiliging
Met deze gereedschappen set kun je je WordPress applicatie verharden en beschermen tegen malware, exploits en andere kwaadaardige acties.
Systeem mappen vergrendelen en beveiligen
Met Lock and Protect System mappen kun je alle kwaadaardige of ongeautoriseerde scripts blokkeren die moeten worden uitgevoerd in de systeem mappen van je applicaties.
Als de optie systeem mappen vergrendelen en beveiligen een specifiek script blokkeert dat door een andere plugin op de site wordt gebruikt, kun je het specifieke script eenvoudig op de witte lijst zetten met behulp van de onderstaande samenvattingen.
Gebruik dit om een bestand in de map wp_includes op de lijst toegestaan te zetten:
add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Gebruik dit om een bestand in de map wp_uploads op de lijst toegestaan te zetten:
add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Gebruik dit om een bestand in de map wp_content op de lijst toegestaan te zetten:
add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Verberg WordPress versie
Bij het gebruik van Hide WordPress Version kun je voorkomen dat het wordt gemarkeerd voor massale aanvallen vanwege versie specifieke kwetsbaarheden.
Uitschakelen thema’s & plugins editor
Schakel thema’s & plugins editor uit in de WordPress beheerder om mogelijke codeerfouten of ongeautoriseerde toegang via de WordPress editor te voorkomen.
XML RPC uitschakelen
Je kunt het XML RPC protocol uitschakelen dat kortgeleden werd gebruikt in enkele exploits. Houd er rekening mee dat wanneer het is uitgeschakeld, het voorkomt dat WordPress communiceert met systemen van derden. We raden aan om dit te gebruiken, tenzij je het specifiek nodig hebt.
RSS- en ATOM feeds uitschakelen
Schakel RSS en ATOM feeds uit om inhoud scraping en specifieke aanvallen op je site te voorkomen. Het is aan te raden om dit altijd te gebruiken, tenzij je lezers hebt die je site gebruiken via RSS lezers.
Geavanceerde XSS bescherming
Door Advanced XSS Protection in te schakelen, kun je een extra beschermings laag tegen XSS aanvallen toevoegen.
Verwijder het standaard readme.txt
Wanneer je de standaard readme.txt verwijderd dat informatie over je site bevat, verklein je de kans dat het eindigt in een potentieel kwetsbare site lijst, gebruikt door hackers.
Activiteiten log
Hier kun je de activiteit van geregistreerde, onbekende en geblokkeerde bezoekers tot in detail volgen. Als je site wordt gehackt, een gebruiker of een plugin is gecompromitteerd, kun je altijd de snelle gereedschappen gebruiken om hun toekomstige acties te blokkeren.
Belangrijk!
Je kunt een aangepaste levensduur van het log instellen (in dagen), met behulp van het volgende filter dat we voor dat doel hebben geleverd.
add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
return 'your-custom-log-lifetime-in-days';
}
Als je het activiteiten log moet uitschakelen, kun je het volgende filter gebruiken. Houd er rekening mee dat hiermee ook de wekelijkse e-mails met activiteiten logs worden uitgeschakeld.
add_action( 'init', 'deactivate_activity_log' );
function deactivate_activity_log() {
update_option( 'sg_security_disable_activity_log', 1 );
}
Acties na de hack
Installeer alle gratis plugins opnieuw
Als je site is gehackt, kun je altijd proberen de schade te verminderen door gebruik te maken van Reinstall All Free plugins. Hiermee worden alle gratis plugins van je opnieuw geïnstalleerd, waardoor de kans op een andere exploit of het hergebruik van kwaadaardige code wordt verkleind.
Alle gebruikers uitloggen
Je kunt alle gebruikers uitloggen om verdere acties door hen of gebruik te voorkomen.
Wachtwoord opnieuw instellen afdwingen
Forceer wachtwoord reset om alle gebruikers te dwingen hun wachtwoord te wijzigen bij hun volgende login. Hiermee worden ook alle huidige gebruikers onmiddellijk uitgelogd.
WP-CLI ondersteuning
In versie 1.0.2 Hebben we volledige WP CLI ondersteuning toegevoegd voor alle plugin opties en functionaliteiten.
wp sg limit-login-attempts 0|3|5
– beperkt de login pogingen tot 3, 5 of 0 om deze uit te schakelenwp sg login-access add IP
– geeft alleen specifieke IP(‘s) toegang tot de backend van de sitewp sg login-access list all
– geeft een overzicht van de IP adressen op de lijst toegestaanwp sg login-access remove IP
– verwijdert IP van de lijst toegestaanwp sg login-access remove all
– verwijdert alle IP adressen op de lijst toegestaanwp sg secure protect-system-folders enable|disable
– schakelt de optie systeem mappen beveiligen in of uitwp sg secure hide-WordPress-version enable|disable
– schakelt de optie WordPress versie verbergen in of uitwp sg secure plugins-themes-editor enable|disable
– schakelt plugin en thema editor in of uitwp sg secure xml-rpc enable|disable
– schakelt XML RPC in of uitwp sg secure rss-atom feed enable|disable
– schakelt RSS- en ATOM feeds in of uitwp sg secure xss-protection enable|disable
– xss beveiliging in- of uitschakeltwp sg secure 2fa enable|disable
– schakelt twee factor authenticatie in of uitwp sg secure disable-admin-user enable|disable
– schakelt het gebruik van “admin” als gebruikersnaam in of uitwp sg log ip add|remove|list <name> --ip=<ip>
– toevoegen/lijst/verwijderen door de gebruiker gedefinieerde ping bots in het activiteiten log per IPwp sg log ua add|remove|list <name>
– toevoegen/lijst/verwijderen van door de gebruiker gedefinieerde bots die in het activiteiten log worden vermeld door de user agentwp sg list log-unknown|log-registered|log-blocked --days=<days>
– lijst specifiek toegang log voor een specifieke periodewp sg 2fa reset id|username|all ID|username
– reset de 2fa instelling voor de gebruiker ID, gebruikersnaam of alle gebruikers.wp sg custom-login status|disable
– toont de status of schakelt de aangepaste login URL functionaliteit uit.
Eigenschappen
- WordPress 4,7
- PHP 7,0
- Werkend .htaccess bestand
Installatie
Automatische installatie
- Ga naar Plugins -> Nieuwe toevoegen
- Zoek naar “SiteGround Security”
- Klik op de knop installeren onder de SiteGround Security plugin
- Zodra de plugin is geïnstalleerd, klik je op de link plugin activeren
Handmatige installatie
- Login op je WordPress beheer paneel en ga naar plugins -> Nieuwe toevoegen
- Selecteer het “Uploaden” menu
- Klik op de knop ‘Bestand kiezen’ en wijs je browser naar het sg-security.zip bestand dat je hebt gedownload
- Klik op de knop ‘Nu installeren’
- Ga naar plugins -> geinstalleerde plugins en klik op de link ‘Activeren’ onder de WordPress SiteGround security lijst
Beoordelingen
Bijdragers & ontwikkelaars
“SiteGround Security” is open source software. De volgende personen hebben bijgedragen aan deze plugin.
Bijdragers“SiteGround Security” is vertaald in 7 talen. Dank voor de vertalers voor hun bijdragen.
Vertaal “SiteGround Security” naar jouw taal.
Interesse in ontwikkeling?
Bekijk de code, haal de SVN repository op, of abonneer je op het ontwikkellog via RSS.
Changelog
Version 1.4.1
Releasedatum: 23 feb 2023
- Interne configuratie verbeteringen
Version 1.4.0
Releasedatum: 1 feb 2023
- Interne configuratie wijzigingen
Version 1.3.9
Releasedatum: 25 januari 2023
- Verbeterde Foogra thema ondersteuning
Version 1.3.8
Releasedatum: 6 dec 2022
- Verbeterde reactie
- Verbeterde controles op de pagina instellingen
- Verbeterde uitschakelen thema’s & plugins editor
Version 1.3.7
Releasedatum: 15 nov 2022
- SG Security Dashboard bug fix
- Verbeterde 2FA codering sleutel validatie
- Verbeterde validatie van aangepaste login-/register URL’s
- Verbeterde LiteSpeed Cache ondersteuning
- Optie om aangepaste 2FA codering sleutel bestand pad te gebruiken
Version 1.3.6
Releasedatum: 8 nov 2022
- Verbeterde 2FA beveiliging met encryptie
- Verbeterde filters voor toegang logs
- Nieuwe WP CLI opdracht: reset alle gebruikers 2FA instelling
Version 1.3.5
Releasedatum: 18 okt 2022
- Verbeterde aangepaste login URL
- Verbeterd activiteiten log
Version 1.3.4
Releasedatum: 10 okt 2022
- Service correctie installeren
Version 1.3.3
Releasedatum: 10 okt 2022
- Nieuwe optie activiteiten log beheren
- Nieuw filter – Activiteiten log uitschakelen
- Verbeterde aangepaste login URL
- Verbeterde WP CLI ondersteuning
- Verbeterde Jetpack plugin ondersteuning
- Verbeterde fout afhandeling
- Kleine bugfixes
- Verouderde code verwijderd
Version 1.3.2
Releasedatum: 21 september 2022
- 2FA Back-up codes beveiliging versterken
Version 1.3.1
Releasedatum: 13 september 2022
- 2FA Authenticatie beveiliging versterken
- IP adres detectie beveiliging versterken
Version 1.3.0
Releasedatum: 14 juli 2022
- Gloednieuw ontwerp
- Verbeterde compatibiliteit met 2FA authenticatie met Elementor aangepaste login pagina’s
- Verbeterde gegevens verzameling
- Kleine oplossingen
Version 1.2.9
Releasedatum: 20 juni 2022
- NIEUW Filters voor “Systeem mappen vergrendelen en beveiligen” uitsluiten
- Verbeterde ondersteuning voor IP bereiken
- Verbeterde lijst met geblokkeerde IP adressen
- Verbeterde verwijder de standaard readme.html
- Verbeterde validatie van 2FA Authentication
- Verbeterde ondersteuning voor 2FA Authentication voor login op “Mijn account”
- Verbeterde gegevens verzameling
- Kleine oplossingen
Version 1.2.8
Releasedatum: 18 mei 2022
- Verbeterde beveiliging van plugins
Version 1.2.7
Releasedatum: 8 april 2022
- Kleine bugfixes
Version 1.2.6
Releasedatum: 7 april 2022
- 2FA Refactoring
Version 1.2.5
Releasedatum: 6 april 2022
- 2FA Authentication refactoring
- Verbeterde wekelijkse e-mails
- HTST service verouderd
Version 1.2.4
Releasedatum: 16 maart 2022
- Verbeterde wekelijkse e-mails
- Verbeterde WooCommerce betalingen plugin ondersteuning
- 2FA Authenticatie beveiliging versterken
Version 1.2.3
Releasedatum: 11 maart 2022
- 2FA Authenticatie beveiliging versterken
Version 1.2.2
Releasedatum: 11 maart 2022
- 2FA Authenticatie beveiliging versterken
Version 1.2.1
Releasedatum: 9 maart 2022
- Verbeterde wekelijkse rapporten
- Verbeterde HTTP headers service
- Code refactoring
Version 1.2.0
Releasedatum: 28 februari 2022
- NIEUW – Wekelijkse rapporten
- Code refactoring en algemene verbeteringen
- Verbeterde ondersteuning voor 2FA gebruiker rollen
- Verbeterde fout afhandeling
- Verbeterde ondersteuning voor LIMIT LOGIN IP bereik
- Verbeterd evenement log
- Verbeterde Phlox thema ondersteuning
- Kleine oplossingen
- Verbeterde WP CLI ondersteuning
- Toestemming voor het verzamelen van omgeving gegevens toegevoegd
Version 1.1.3
Releasedatum: 1 oktober 2021
* Verbeterde Hide WP versie functionaliteit
Version 1.1.2
Releasedatum: 20 augustus 2021
* Verbeterde aangepaste login URL functionaliteit
* Verbeterde 2FA
* Verbeterde succes/fout berichten
Version 1.1.1
Releasedatum: 12 augustus 2021
* Verbeterde 2FA
* Verbeterde uitlog functionaliteit
Version 1.1.0
Releasedatum: 27 juli 2021
*NIEUW! 2FA back-up codes toegevoegd aan de profiel bewerking pagina
*NIEUW! Aangepaste aanmeldings- en registratie URL’s
*NIEUW! Automatische generatie HSTS headers toegevoegd
* Verbeterde functie algemene gebruikersnamen uitschakelen
* Verbeterde massa afmelding service
* Verbeterde activiteit logging en aangepaste labeling toegevoegd
* Verbeterde functionaliteit voor het opnieuw instellen van wachtwoorden
Version 1.0.4
- Verbeterde beperking login pogingen
Version 1.0.3
- Waardering box bug opgelost in Safari
- Verbeterde RSS & ATOM Feed Disabler service
Version 1.0.2
- Filter toegevoegd om de levensduur van het log te configureren
- WP CLI ondersteuning toegevoegd
- Verbeterde strings
Version 1.0.1
- Standaard waarden toegevoegd bij installatie
- Verbeterde ondersteuning voor vertalingen
- Opschoning toegevoegd bij het verwijderen
Version 1.0.0
- Eerste stabiele release.
Version 0.1
- Eerst uitgave.