Clearsite Security

Clearsite Security is een WordPress plugin welke geïnstalleerd wordt op elke website gehost bij Clearsite.

Clearsite Security kent 4 verschillende licentie-niveaus;

  1. Index-Only
    In deze modus wordt de website enkel in de gaten gehouden, geen van onderstaande features zijn beschikbaar.
  2. Lite
    Het standaard niveau; alle features met [LITE] zijn beschikbaar
  3. Full
    Bij afname van een Security-SLA; alle features met [LITE] en [FULL] zijn beschikbaar
  4. Expert
    Voor speciale gevallen 😉 ; alle features met [LITE], [FULL] en [EXPERT] zijn beschikbaar

Clearsite Security biedt o.a. de volgende beschermingen/beveiligingen:

  • Blokkeert/beperkt toegang tot kritische delen van WordPress [LITE]
    • Interne bestanden, API-koppelingen, bestanden die kritische informatie vrijgeven etc. worden afgeschermd
    • inlog-venster wordt beschermd tegen Brute-Force aanvallen
    • inlog-venster wordt gelimiteerd tot een in te stellen reeks IP adressen, zowel IPv4 als IPv6 worden ondersteund.
  • Beschermd tegen ophalen van kritische gegevens
    • Gebruikersnamen kunnen niet meer geautomatiseerd worden opgezocht [LITE]
    • Versie-informatie wordt geblokkeerd [FULL]
  • Beperkt mogelijkheden binnen WordPress
    • Directe-bestands toegang wordt gelimiteerd/geblokkeerd; mocht een hacker zich onverhoopt toch toegang hebben kunnen verschaffen tot het WordPress Admin paneel heeft deze niet direct toegang tot de rest van de WordPress installatie. [LITE]
    • Thema- en Pluginbewerker zijn uitgeschakeld om te voorkomen dat een kwaadwillend persoon schadelijke code injecteert. [LITE]
  • Je kunt het wp-admin paneel op een andere URL zetten zodat hackers niet direct je admin paneel kunnen vinden. [FULL]

    • Tevens is hier de optie om deze enkel via SSL te laten werken
  • Zet belangrijke browser-security-opties aan; [FULL]
    • HSTS, X-XSS-Protection, X-Frame-Ancestors, X-Content-Type-Options etc
  • Two-Factor authentication; [FULL]
    • Gebruik Google Authenticator (of compatible) app op je smartphone als tweede inlog-factor
  • Login by E-mail; [FULL]
    • Gebruik e-mail als tweede inlog-factor; na invoeren inloggegevens krijg je een email met verdere inlog instructies. Je email account is de tweede inlog-factor.

Hieronder vind je een uitgebreide lijst met (mogelijkerwijs tè) technische terminologie.

  • [LITE] De WP-REST-API v2, geïntroduceerd in WordPress 4.7 is lek in versies 4.7 en 4.7.1. WP 4.7.2 is veilig op dit punt. Clearsite Security geeft de optie om de REST-API te blokkeren, alleen toe te staan voor ingelogde gebruikers, alleen toe te staan via een IP WhiteList. Test de kwetsbaarheid van je site met http://www.jesite.nl/wp-json/wp/v2/posts
    Andere REST routes worden niet geblokkeerd, er zijn nog geen onveilige plugin-REST-routes bij ons bekend.
  • [LITE] Username enumeration wordt geblokkeerd De gebruikersnamen kunnen niet afgeleid worden, hackers missen daardoor opstapje nummer 1 Test de kwetsbaarheid met http://www.jesite.nl/?author=1 Als je wordt omgeleid naar http://www.jesite.nl/author/jegebruikersnaam is daar je username te zien en hebben hackers enkel nog je wachtwoord nodig.
  • [LITE] Veelvuldige inlogpogingen worden gemonitord Bij detectie van veelvuldige inlogpogingen – mislukte pogingen – word het IP-adres op de blacklist geplaatst voor een redelijke tijd (meestal 1 uur). Hierdoor wordt het inlogscherm geblokkeerd. Bij detectie van veelvuldige inlogpogingen buiten het inlogscherm om (dus direct op de WordPress core) wordt het IP-adres permanent van je website geblokkeerd.
  • [FULL] Caching op 404-responses van je website; een brute-force aanval op een niet bestaande pagina kan het systeem lam leggen doordat er door WordPress flink in de database gespit wordt om een pagina te vinden bij de opgegeven URL. Het kortstondig te cachen van deze 404-response verlaagt de serverload aanzienlijk en voorkomt daarmee een 404DoS.
  • [LITE] Beperkte direct-bestands-toegang WordPress kan op veel web-servers direct bij het bestands-systeem. Bij installatie van een gecompromitteerde plugin of thema is dit een potentieel risico. Direct-bestands-toegang en de thema/plugin editor worden uitgeschakeld
  • [LITE] Toegang door WordPress, -plugins en -thema naar externe websites kan worden gelimiteerd om phone-home te voorkomen.
  • [LITE] Include-only files worden geblokkeerd voor toegang van buitenaf.
  • [LITE] Verzoeken zonder User-Agent-String — een tekenreeks waarin behoort te staan welke browser verbinding probeert te maken — worden geblokkeerd.
  • [LITE] POST-verzoeken naar het XMLRPC en comment systeem worden geblokkeerd als bepaald wordt dat deze niet valide zijn. XMLRPC is geheel te blokkeren dan wel open te stellen via IP Whitelisting.
  • [LITE] Acunetix, een gerenommeerd Penetration-testing software pakket, wordt in gehackte vorm misbruikt om je site te doorzoeken op zwakheden en deze uit te buiten. Zwakheden zullen ze — als het goed is — niet vinden, maar het is wel een enorme performance-hit waardoor je website zelfs tijdelijk off-line kan zijn. Daarom worden verzoeken middels Acunetix software geblokkeerd. Wanneer nodig kan deze blokkade tijdelijk uitgezet worden.
  • [LITE] Blokkeer toegang tot verborgen bestanden; In standaard configuratie blokkeert Apache — de webserver software — toegang tot verborgen bestanden. Clearsite Security voegt extra blokkade regels toe om daar zeker van te zijn, in het geval de Apache configuratie per abuis toegang tot verborgen bestanden toe mocht laten.
  • [FULL] Geeft de optie om het admin paneel op een andere URL te zetten
  • [FULL] Geeft de optie om de nieuwe admin-url alleen te laten functioneren op SSL, indien de site op SSL beschikbaar is.
  • [FULL] IP-Whitelist: Geeft de mogelijkheid om toegang tot de site, of delen ervan, te beperken tot een serie IP-adressen, IP-adres-reeksen of IP-adres-maskers (CIDR-notatie). Heeft beperkte ondersteuning voor IPv6.
    • Gekozen kan worden tussen: gehele site blokkeren (test-sites), alleen wp-admin blokkeren, of niets blokkeren.
    • Optioneel kan het registratie-venster, de XMLRPC connector, de REST-API, het comment-systeem en/of een Piwik installatie worden geblokkeerd.
    • Alle geblokkeerde delen zijn alleen bereikbaar als de verbinding tot stand komt met een IP-adres dat op de white-list staat.
  • [LITE] IP-Blacklist:
    • Wanneer een aanvaller door de algehele beveiliging op wever-niveau komt en een brute-force aanval op de WordPress installatie weet te doen wordt deze op de black-list gezet.
    • Alle IP-adressen welke zijn gedetecteerd als hack-poging van alle sites voorzien van de Clearsite Security plugin worden op al deze aangesloten sites geblokkeerd voor een periode van 3 maanden. Een hack-poging op site A geeft de hacker dus geen mogelijkheden om sites B t/m Z en meer te proberen te hacken.
  • [FULL] Onveilige uploads:
    • PHP en Javascript bestanden kunnen niet via WordPress geupload worden. Wanneer een hacker het voor elkaar krijgt een dergelijk bestand te uploaden word de toegang ertoe geblokkeerd.
    • Afbeeldingen worden gecontroleerd op EXIF-informatie waar mogelijk schadelijke software in zit. Omdat het chirurgisch verwijderen van de schadelijke software, het bewerken van de EXIF-informatie, niet mogelijk is wordt deze EXIF-informatie in het geheel vernietigd.
    • SVG bestanden worden ontdaan van SCRIPT tags.
  • [LITE] Onveilige bestanden:
    • SQL en TXT files worden altijd geblokkeerd. Deze files bevatten gegevens welke niet bedoeld zijn voor het grote publiek.
    • Indien nodig zijn specifieke SQL en/of TXT files te whitelisten zodat deze wèl kunnen worden gedownload.
    • Mogelijkheid van opgeven van een dummy bestand, voor als je je hackers lekker bezig wilt houden.
    • ROBOTS.txt is permanent ge-whitelist; deze is noodzakelijk voor search-engines.
  • [FULL] Dead-lock URLs:
    • Bij aanroepen van bekende aanval-vectoren wordt het IP direct geblokkeerd voor niet-gewhiteliste adressen. Deze lijst is aan te vullen via het beheer.
  • [FULL] Geeft makkelijke configuratie voor veiligheid, snelheid en compatibiliteit opties;
    • Forceer het gebruik van www.domein.nl indien deze ingesteld is
    • Forceer het gebruik van SSL middels redirect
    • Forceer het gebruik van SSL middels HSTS: HTTP Strict Transport Security
    • Gebruik Apache/2 Keep-Alive voor optimaal bandbreedte gebruik
    • Forceer browsers niet te vertrouwen op de inhoud van bestanden, maar op de type-informatie die de server opgeeft (X-Content-Type-Options: “nosniff”)
    • Blokkeer cross-site-scripting (X-XSS-Protection: 1; mode=block)
    • Blokkeer HTTP_REFERER bij onveilige doorverwijzing middels Content-Referrer-Policy
    • Blokkeer embedding van website in 3e partij websites en voorkomt daarmee click-jacking
      • X-Frame-Options header voor browsers die er naar luisteren
      • Javascript “in-frame” detectie voor alle andere browsers
    • Bescherm afbeeldingen tegen deep-link
    • Bescherm website tegen embedding in iFrames
    • Forceer gebruik van GZIP/Deflate compressie voor snellere website
    • Forceer gebruik UTF-8
    • Bescherm serveren van de website op incorrecte host-names
      • Dit beschermd tegen Host en X-Forwarded-Host header injection
      • Multi-site compatible
  • [FULL] Robots.txt is binnen WordPress een virtueel bestand; de informatie in deze wordt voorzien van zeer precieze regels om robots enkel die bestanden te laten indexeren waar volgens bovenstaande regels toegang tot is.
  • [EXPERT] Veiligheidslekken: Onze database voorziet aangesloten websites van actuele veiligheidslekken relevant voor de betreffende website. Indien veiligheidslekken gedetecteerd zijn in één van de plugins, zullen deze weergegeven worden in het plugins-paneel.
    ( Deze functie is aanwezig in [LITE], maar informatievoorziening beperkt tot medewerkers van Clearsite, in [EXPERT] mode is deze informatie voor alle beheerders beschikbaar )
  • [EXPERT] Sub-Resource Integrity beheer
  • [LITE] Onze medewerkers worden op de hoogte gebracht als de WordPress installatie een fout maakt waarbij de .htaccess file beschadigd raakt.
    • Een auto-reparatie wordt getracht (en faalt in slechts 0.2% van alle gevallen)
    • Er is mogelijkheid om alle voorgaande .htaccess files in te zien. (debug functie)

De volgende features staan op de roadmap:

  • CSP-manager
    • Beheer de Content-Security-Policy via een makkelijk beheer-paneel
  • File-Change monitor/rapportage
    • In de plugin lijst is te zien of en zo ja welke bestanden zijn aangepast sinds de installatie/update van een plugin
    • Bij wijziging van een bestand wordt de beheerder op de hoogte gesteld.

Clearsite Security is alléén beschikbaar voor klanten van Clearsite in geval hosting door Clearsite. Ben je geïnteresseerd in Clearsite Security, maar ben je (nog) geen klant van Clearsite, informeer dan naar onze hosting mogelijkheden en update-abonnementen; voor een laag bedrag per maand*1*2 houden wij je website up-to-date. Voor meer informatie: zie Security/Updates SLA, Onderhoudsovereenkomst. *1) Eerste update geschiedt op nacalculatie op basis van ons standaard uurtarief i.v.m. uitzoeken welke software er exact aanwezig is in de website, of deze geüpdatet kan worden en welke afhankelijkheden er zijn. *2) Het tarief per maand wordt bepaald in overleg en is gebaseerd op complexiteit en omvang van de website.

[Laatst bijgewerkt op: 15 juni 2021]

Was dit artikel nuttig?

Gerelateerde artikelen

Reactie achterlaten?