Onze aanvullende beveiligingsdiensten zijn sinds begin 2018 aangevuld met extra mogelijkheden. Ons Security Plus pakket, met de standaard externe scans en WHOIS en SSL controles, bevat nu ook een Web Application Firewall (WAF) en extra beveiligingsmogelijkheden en rapportages. In dit artikel belichten we de extra mogelijkheden en het installatieproces. 


Belangrijk om te weten: de WAF kan alleen per domein worden ingesteld! Als jouw site meerdere domein extensies gebruikt (multisites of multilanguage) dan moeten voor al deze domeinen pakketten worden afgenomen. Redirects kunnen wel in hetzelfde pakket opgenomen worden.


Te ondernemen stappen

Na deze samenvatting leggen we alles nog in wat meer detail uit.

  1. Vraag het Security Plus pakket aan via ons bestellingen systeem.
  2. Je ontvangt een mail met ons intakeformulier (zoals verderop te vinden is). Op dit punt adviseren we je ook om de Time To Live (TTL) van je domeinnamen aan te passen.
  3. Zodra je op het intakeformulier hebt gereageerd zullen we de antwoorden bekijken en verwerken in de dienst die we vanaf dat moment activeren.
  4. Zodra de dienst live is zullen we je per mail informeren met het IP adres dat in de DNS opgenomen moet worden.
  5. Je dient nu de DNS van je domein aan te passen zodat deze naar de WAF verwijst.
  6. Alles zou nu moeten werken zoals het deed, met de aanvullende beveiliging. Wij controleren nog een laatste keer de basis functionaliteit van de website, maar we adviseren je sterk om alle functionaliteiten van je site goed te controleren op eventuele fouten.


Intake en installatie

Het Security Plus pakket wordt per jaar afgenomen, dit komt omdat het instellen van de dienst een hoop handwerk vereist. Zodra je het pakket aanvraagt zal je het volgende intakeformulier ontvangen.


## Verplichte gegevens:
1. Domeinnaam: 
2. Savvii systeemnaam: 
3. E-mailadres waar rapportages naartoe mogen:

## Aanvullende vragen voor extra beveiliging (niet verplicht):
1. Vanaf welk(e) IP-adres(sen) bewerk je vaak de site?
2. Gebruik je een eigen SSL-certificaat?
3. Gebruik je een CDN zoals Cloudflare of MaxCDN?
4. Hebben gebruikers op je site de mogelijkheid om reacties achter te laten?
5. In welke landen zitten de doelgroepen van je site en welke talen spreken deze?

## Aanvullende wensen (niet verplicht):
1. Zijn er specifieke mappen of URLs die je wil beveiligen? Wil je hier een reCaptcha of IP-beveiliging op?
2. Heb je nog aanvullende wensen?


Een aantal van deze vragen zullen door onze support vooraf al ingevuld worden. We hebben deze vragen zo opgesteld dat we ook voor onze minder-technische klanten wat nuttige functies in kunnen schakelen. Samen met dit intakeformulier zullen we je ook vragen om de TTL van je domeinnaam omlaag te zetten. Hierdoor kan de overgang in de DNS makkelijker verlopen.


Zodra je het formulier ingevuld terug hebt gestuurd zullen we de nodige diensten aanmaken. Let er op dat je je DNS records moet wijzigen om gebruik te maken van de WAF! Nadat we de diensten hebben aangemaakt ontvang je van ons een e-mail met het IP adres van de WAF. Hier moet je je DNS naar om zetten. De DNS wijziging kan je het beste maken op een tijdstip dat je weinig bezoekers hebt op je website, denk aan middernacht. We raden dit aan omdat de WAF eerst een certificaat moet aanmaken en dit kan pas als de DNS goed staat. Hoe korter de TTL van je DNS staat, hoe sneller dit certificaat aangemaakt kan worden.


Zodra de DNS is omgezet zou je site zonder problemen moeten blijven werken. Laat het ons weten als je nog vreemde zaken tegen komt op je site na het over zetten. Het kan zijn dat we de beveiligingsinstellingen nog wat aan moeten passen. 


Beveiligingsmogelijkheden

Hieronder volgt een lijst met het grootste deel van de eigenschappen van ons Security Plus pakket. Laat het ons weten als je zaken van deze lijst ingeschakeld wil hebben.


Standaard beveiliging (geen DNS aanpassingen nodig)


Malware scans (elke 12 uur)


Sucuri scant de inhoud van je website elke 12 uur. Om deze scan goed uit te kunnen voeren staat er een bestand in de root van je website met de naam sucuri-###########.php. Dit bestand is nodig voor de scans, verwijder deze dus niet. 
DNS / WHOIS controle (elke 12 uur)
De DNS en WHOIS van je domein worden in de gaten gehouden en we zullen je informeren bij vreemde wijzigingen.
Web Application Firewall (DNS wijzigingen nodig)

Blacklist IP adressen
Deze IP adressen mogen de site niet bezoeken.
Blokkeer IP adressen uit bepaalde landenDeze optie geeft je de mogelijkheid om complete landen (bij benadering) te blokkeren voor je site. De minder agressieve vorm van blokkeren zorgt er voor dat deze landen de site wel kunnen zien, maar geen berichten kunnen achter laten of gebruikers kunnen registreren.
Blokkeer user-agents, cookies of referrers
Blokkeer bezoekers gebaseerd op browser (user-agent), cookies of verwijzende websites.
Beperk de toegang tot wp-admin voor specifieke IP adressenAlleen de gebruikers vanaf deze IP adressen mogen de wp-admin pagina van je site bezoeken.
Blokkeer XMLRPC, trackbacks en reacties
Schakel XMLRPC (Wordpress API), trackbacks en reacties uit. Dit limiteert je site aanzienlijk in de mogelijkheid om dynamische inhoud weer te geven. Deze optie is alleen bedoeld voor de meer statische sites (en in combinatie met IP whitelisting)
Blokkeer het uploaden van PHP en andere uitvoerbare bestanden
Blokkeer de mogelijkheid tot het uploaden van PHP bestanden en andere bestanden die op de server uitgevoerd zouden kunnen worden.
Beperk de mogelijkheden op je site voor de top 3 "gevaarlijke" landen (Rusland, China en Turkije) en geanonimiseerde proxies.
Deze optie limiteert de bezoekers van de genoemde bronnen tot het bekijken van je site. Ze kunnen geen reacties achter laten of gebruikers registreren.
Agressiever bot folter
Deze optie blokkeert verzoeken aan je site die gebruik maken van opvallende / vreemde user agents. Dit zijn vaak scans en malafide bots.
Beveiliging per paginaJe kan pagina's van je site laten beschermen middels een authenticator (2-staps verificatie), reCaptcha of op basis van IP adres.
Caching en CDN mogelijkheden
Sucuri heeft een wereldwijd netwerk aan servers voor hun WAF. Dit geeft je de mogelijkheid tot het gebruiken van een vrij simpel Content Delivery Network en caching. Deze optie staat standaard aan.
Rapportages
Je ontvangt een maandelijkse rapportage vanuit de WAF met statistieken over bezoekersaantallen en de hoeveelheid geblokkeerd verkeer.


Al deze opties kunnen andere effecten hebben op verschillende websites. Geen enkele website is wat dat betreft hetzelfde, daarom is het instellen hiervan ook maatwerk. Zodra Security Plus is ingeschakeld, en de DNS verwijst naar de WAF, is het belangrijk dat je controleert of de gehele site nog werkt. Het kan zijn dat we nog wat instellingen moeten aanpassen. Laat het ons ook even weten als je nog specifieke beveiligingswensen hebt, hier kunnen we in mee denken.