Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > Sucuri – Website Security Review

Sucuri – Website Security Review


Soms bekijken we hardware, soms reviewen we software en vandaag reviewen we de SaaS dienst, Sucuri. Sucuri is een Software-as-a-Service online dienst welke bedoeld is voor het beveiligen van je website. Ongeacht welke CMS je draait, wat voor dienst je hebt, Sucuri biedt de tools die je nodig hebt om je website veilig te houden. Als ik klanten adviseer welke hun website beveiliging naar een hoger niveau willen tillen zonder hier veel resources aan te willen spenderen en voor een (naar mijn mening) zeer nette pricing dan is Sucuri de eerste optie die ik noem. In deze post laat ik je zien wat Sucuri zo uniek en goed maakt.

DISCLAIMER: Deze post is op geen enkele manier gesponsord door Sucuri. Dit betekend dat deze post 100% onpartijdig en volledig gebaseerd is op mijn eigen ervaringen. Zoals altijd raad ik alleen services aan die ik persoonlijk gebruik en waarvan ik geloof dat ze een meerwaarde bieden voor mijn lezers!

Het was in de lente van 2013 dat ik voor het eerst in aanraking kwam met Sucuri. Als mede-eigenaar van het toenmalige Q5 Internetbureau was ik verantwoordelijk voor de beveiliging van onze websites. Onze klanten waren hoofdzakelijk afkomstig uit het MKB segment en website hacking en vooral de preventie tegen website hacking stond meestal niet hoog op de agenda. Preventie kost geld en in die tijd (en nu nog steeds veel te weinig) had geen enkele website developer “Website Sucurity” als dienst in het portfolio. Het standaard antwoord was altijd: “Wij leveren beveiliging als gratis dienst erbij, daar ziet de klant niks van” of “Wij bouwen onze websites zo veilig dat er geen additionele diensten nodig zijn”. Dat is een prima verweer die werkt tot de eerste keer iemand gehackt wordt. En eerlijk is eerlijk, qua beveiliging waren de meeste websites echt onder de maat. Wanneer er vragen gesteld werden wisten de meeste bouwers helemaal niks van beveiliging. Het standaard verweer was dan meestal “We zijn niet verantwoordelijk voor de lekken die in een CMS systeem zitten, daar kunnen we niks aan doen”. Meestal waren het ook de open-source WordPress, Joomla en Drupal website die gehackt werken. En daar begon voor mij de interesse in website hacking. Hoe kunnen ze je website hacken? Hoe komen ze binnen? Kunnen we achterhalen welk lek ze misbruikt hebben. Hoe meer die interesse groeide des te banger ik werd. De meeste websites waren met een beetje moeite vrij eenvoudig te hacken. SQL Injections deden het meestal goed. Maar XSS, phishing en brute force waren vaak net zo gemakkelijk toe te passen. Daar moest een oplossing voor komen.

Allereerst zorgde we dat er veilige off-site backups gemaakt worden en vervolgens zorgde we dat de meest gebruikte aanvallen nutteloos werden. V.a. dat moment maakte we alleen nog maar gebruik van WordPress en deze optimaliseerde we bij iedere release om deze zo veilig mogelijk te maken. Ons product werkte zo goed dat we dit niet alleen wilde aanbieden aan onze klanten maar hier wilde we een speciale WordPress Sucurity dienst van maken. Pas toen we gingen kijken of er misschien concurrentie was kwamen we Sucuri tegen. Dit was exact wat we wilde ontwikkelen. Een SaaS dienst. Sucuri paste echter zijn dienst toe op alle soorten websites en was niet beperkt tot WordPress. Ook was de dienst geavanceerder. Toen we Sucuri bekeken zagen we onze toekomstplannen al gerealiseerd in een ander product. Dat was op zijn zachtst gezegd een domper. In de lente van 2013 zijn we gaan testen met Sucuri en wat we zagen beviel ons uitstekend. Vanaf dat moment konden we onze klanten een compleet pakket bieden. Een goed beveiligingspakket met 24/7 monitoring en filtering en on-site Sucuritytweaks voor maximale beveiliging. Sinds deze samenwerking zijn er ruim 150 klanten gebruik gaan maken van onze dienst en dus ook van Sucuri. Sindsdien is er slechts 1 klant geweest waarbij de website alsnog gehackt (defaced) was maar dit was een beetje zijn eigen schuld. Het online zetten van je FTP gegevens is meestal niet heel handig :-). Het is jammer dat we ons pakket niet verder ontwikkeld hebben maar we hebben met Sucuri heel veel klanten blij gemaakt en veilig gehouden. Tot op de dag van vandaag gebruik ik Sucuri nog steeds. Sucuri neemt heel veel beveiliging uit handen. Geen wondermiddel, want dat bestaat niet in de Sucuritybranche. Maar wel een fantastisch goede pleister die echt 95% van alle beveiligingsissues afvangt.

Mooi verhaal, maar wat is Sucuri nu precies?

https://sucuri.net is een SaaS dienst welke bestaat uit een aantal losse diensten. Sucuri is een cloud dienst welke niet geïnstalleerd hoeft te worden en op 99% van alle website toegepast kan worden. In feite is Sucuri een cloud-based WAF (Web Application Firewall) welke websites monitored, problemen detecteert, aanvallen blokkeert, back-ups regelt en daarnaast de website nog sneller maak. Daarnaast schoont Sucuri besmette websites op en zorgt Sucuri er ook voor dat eventuele Google (Website Is Onveilig) meldingen verdwijnen.

Sucuri is opgericht in 2010 door Daniel Cid en Tony Perez en bestaat nu uit meer dan 125 man personeel en is actief in meer dan 27 verschillende landen.

Ik schrijf meestal Sucuri de eerste keer fout. Ik schrijf meestal “Securi”. De naam Sucuri heeft een speciale betekenis. “Sucuri” is het Braziliaanse-Portugese woord voor “anaconda”. Een anaconda is groot en gevaarlijk en domineert zijn habitat. “Sucuri” was ook de naam van een Braziliaanse tankvernietiger in de jaren 1980, namelijk de EE-18 Sucuri. De familie van Daniel is ontzettend actief is in het Braziliaanse leger. De naam Sucuri is verzonnen door de grootvader van Daniel die voor deze krachtige tool geen passendere naam kon bedenken dan Sucuri. “Deze naam is een eerbetoon aan die geschiedenis en herinnert ons aan waar en hoe dit bedrijf is gebouwd”, aldus Daniel.

Sucuri beschikt over 3 verschillende hoofdproducten, namelijk:

  • Website Security Platform
  • Website Firewall (WAF)
  • Website Backup

Al deze diensten kunnen per stuk afgenomen worden. Des te meer producten je afneemt des te groter de korting word. Uiteraard bieden ze ook een “Agency” plan ofwel een reseller plan waarbij je als reseller een kleine marge krijgt van ieder verkocht product.

Laten we de 3 producten eens nader bekijken:

Website Security Platform

Het “Website Security Platform” is feitelijk de complete security suite incl. de WAF module maar excl. de back-up module. Omdat de WAF module ook separaat afgenomen kan worden beschrijven we deze als “los product”. In dit onderdeel kijken we dus alleen naar de karakteristieke eigenschappen van het Website Security Platform.

Het Website Security Platform biedt een grote variëteit van oplossingen. De website wordt continue in de gaten gehouden en vreemde activiteiten worden gelogd. Ook kun je een alert ontvangen als er iets “raars” gebeurt. Als malware zich op de website bevind of als de website op een andere manier gehackt is dan wordt deze door de support crew weer opgeschoond. Mocht je ondertussen op een blacklist staan dan zorgt de support crew er ook voor dat je van deze blacklist verwijderd wordt.

Wat het Website Security Platform dus bovenop de WAF module biedt is een stukje monitoring, scanning & reporting incl. de mogelijkheid om gratis gebruik te maken van de malware / hack en blacklist removal service.

Als er een kijkje gaan nemen in de configuratie dan ziet deze er als volgt uit:

Hierboven is een algemeen overzicht met de status van verschillende website. Zoals je ziet wordt duidelijk aangegeven wanneer er problemen gevonden zijn. Gevonden malware wordt in het rood aangegeven, een scanerror (warning) in het oranje en een informatieve melding (Site is Outdated) in het wit. Vanuit het overzicht kun je gemakkelijk doorklikken naar de site om de instellingen aan te passen en de errors te bekijken.

De overzichtspagina geeft je de mogelijkheid om de “Uptime Scanner” te activeren en om de algemene status te bekijken.

Op de settings pagina heb je de mogelijkheid om de scanners aan te passen en de tijdsinterval die tussen elke scan zit. Je kunt scannen op malware, blacklist notificaties, DNS changes, SSL changes en uiteraard op uptime.

Op de “Email Reports” tab kun je instellen of, en zo ja hoe vaak je e-mail updates wilt ontvangen.

De Server Side Scanner moet geactiveerd worden. Activatie doe je door je FTP credentials op te geven of door handmatig een bestand te uploaden naar je website. Dit is om te verifieren dat je werkelijk de eigenaar bent van de website. Als de Server Side Scanner is geactiveerd kan Sucuri veel grondiger scannen en “vreemd gedrag” of “file changes” ontdekken. Uiteraard kun je ook paden whitelisten van de Server Side Scanner. Deze worden niet door de scanner gemonitored.

Tenslotte mag je na het instellen van Sucuri een aantal “Trust Seals” gebruiken op je website. Je bent niet verplicht deze te plaatsen maar door ze wel te plaatsen laat je in ieder geval aan je bezoekers zien dat jij beveiliging serieus neemt.

Dat is alles. Het Website Security Platform is een zeer krachtig hulpmiddel welke snel geactiveerd en geconfigureerd is.

Website Firewall (WAF)

In tegenstelling tot het (basis) Website Security Platform heeft de WAF module wat meer instellingen. De Website Firewall is een DNS based beveiliging. Je kunt de Website Firewall alleen activeren door een DNS record aan te passen. Als het DNS record is aangepast wordt verkeer eerst naar het “Global Analyst Network” van Sucuri gestuurd waar de Website Firewall (WAF) en het Intrusion Prevention System (IPS) actief zijn. Op dit netwerk wordt alle het verkeer geanalyseerd door diverse systemen. Malafide verkeer wordt gestopt en legitiem verkeer wordt doorgestuurd naar de originele host.

Deze cloud-based WAF is vele malen krachtiger dan die van het Website Security Platform omdat al het verkeer hier door de geavanceerde apparatuur van Sucuri gescand kan worden. Hackers worden meteen geblokkeerd, DDoS aanvallen, zelfs grote DDoS aanvallen worden tegengehouden en zelfs Zero Day Exploits vormen geen gevaar meer.

Securi biedt een WAF basispakket met wat minder opties dan de pro en business pakketten. Zo geeft het basis pakket wel layer7 DDoS bescherming (zoals flooding) maar geen layer 3 en 4 bescherming. De duurdere pakketten beschermen hier wel tegen. Daarnaast biedt de WAF module een CDN (Content Delivery Network) waardoor mediabestanden op het CDN netwerk gehost kunnen worden. De mediabestanden kunnen vervolgens synchroon gedownload worden waardoor de paginasnelheid tot 80% kan verbeteren.

De duurder varianten (pro & business) ondersteunen reeds bestaande SSL certificaten en elk pakket is voorzien van een gratis “LetsEncrypt” SSL certificaat. De duurdere pakketten zijn ook voorzien van een gratis GoDaddy SSL certificaat.

De WAF biedt dus de feitelijke DDoS bescherming, hack bescherming, virtual patching, SSL mogelijkheden en toegang tot het CDN netwerk.

Als we gaan kijken in de backend ziet dit er als volgt uit:

De overzichtspagina geeft een algemeen beeld van de status, het IP adres van de firewall en het IP adres van de werkelijke host. Het bovenste menu geeft toegang tot de instellingen van de verschillende onderdelen en het linker menu geeft toegang tot alle instellingen van het betreffende onderdeel. Zo kun je onder “General” zelf een ander hosting IP opgeven, timeouts managen, upload formaten beperken, aliassen aanmaken en een externe CDN toevoegen (als je de Sucuri CDN niet wilt gebruiken). Uiteraard kun je ook je website verwijderen van de firewall. Denk er wel om dat je zelf het DNS record weer aanpast. Je www records moet dan weer verwijzen naar je eigen hosting server en niet meer naar de Sucuri firewall.

Onder “Access Control” kun je adressen whitelisten en blacklisten. Ook kun je bepaalde onderdelen van je website whitelisten (dit gedeelte wordt niet gecontroleerd) en blacklisten (deze gedeeltes zijn geblokkeerd). Zo kun je ook specifieke bots, cookies en http referers blokkeren. Je kunt zelfs geografische gebieden blokkeren. Tenslotte kun je onderdelen van je website beveiligen met een additioneel wachtwoord, two factor authentication, captcha of op basis van IP.

De “Security” pagina geeft je een groot scala beveiligingsopties op basis van je CMS zoals b.v. het blokkeren van XMLRPC comments & trackbacks, blokkade van het admin panel, upload restricties en bepaalde http methods. Deze settings kun je handmatig configureren of middels voorgeprogrammeerde templates inschakelen.

Via de HTTP/SSL setting kunnen SSL certificaten beheerd worden en settings worden afgedwongen. Zo kun je SSL forceren en HTTP/2 afdwingen.

De “Performance” setting geeft je alle opties binnen het CDN netwerk van Sucuri. Zo kun je caching inschakelen, de cache legen, compressie inschakelen en Brotli compressie inschakelen welke nog beter werkt maar alleen gebruikt kan worden als je hosting provider dit ondersteund.

De DNS Manager kan geactiveerd worden zodat Sucuri de mogelijkheid krijgt om jou site DNS settings te beheren. Op die manier kunnen ze bepaalde diensten beter optimaliseren zoals de GEO routing module en de failover modules. Tenslotte heb je toegang tot de Sucuri API zodat je diverse taken kunt uitvoeren v.a. een remote locatie. Denk dan aan b.v. het leegmaken van de WAF cache of het whitelisten van een specifiek IP adres.

Kortom, voldoende opties om de veiligheid en snelheid van je website te optimaliseren.

Website Backup

De Sucuri “Website Backup” module is altijd een separate module en zit dus niet inbegrepen in de vorige pakketten. De Sucuri Website Backup kan zowel de bestanden als de database van je website back-uppen. De tijden dat de back-ups gemaakt worden kun je zelf specificeren. Je kunt ook instellen of je een melding wilt ontvangen van geslaagde back-ups of alleen wanneer er iets mis gegaan is. De back-up overview ziet er als volgt uit:

Je ziet hier duidelijk de websites waarvan een back-up gemaakt wordt, de status van de laatste back-up, het formaat van de back-up en wanneer de volgende back-up draait. De kosten voor de Website Backup dienst zijn overigens formaat onafhankelijk. Het is een one-price-fits-all constructie dus een website van 2 MB kost net zoveel als een website van 20 GB.

Zoals al gezegd zijn de instellingen beperkt tot het opgeven van de juiste FTP gegevens, het selecteren van je database (auto-detect werkt meestal prima) en het instellen van de back-up tijden en notificatiegegevens.

De Sucuri back-ups hebben een retentie van ongeveer 3 weken en elke back-up kan met een simpele druk op de knop hersteld worden.

Support

Sucuri biedt alleen ticket-based support. De duurdere pakketten hebben ook live-chat support. Beide varianten heb ik al vaker gebruikt en altijd is de support behulpzaam, vaardig en snel. Kort samengevat is de support van Sucuri fantastisch! Of je nu een technische vraag, financiele vraag of malware removal request hebt, bovenstaande kenmerken zijn altijd van toepassing.

Support is 24/7/365 beschikbaar. Op sommige momenten duurt het iets langer maar ik heb nog nooit meegemaakt dat een vraag langer dan 6 uur onbeantwoord blijft. Meestal zijn mijn vragen binnen een uur opgepakt en binnen een halve dag verholpen.

Binnen de support afdeling heb je 2 soorten tickets, Product Support en Malware Removal Requests. Bij een Malware Removal Request moet je meer technische gegevens invullen zodat de support staff meteen voor je aan de slag kan. Afgesloten tickets blijven beschikbaar zodat je deze later nog eens na kunt lezen. Door gebruik te maken van het Sucuri Support Ticket Systeem blijft alle communicatie ook veilig op de servers van Sucuri. Uiteraard krijg je wel een notificatie per e-mail wanneer er een ticket update is.

Kortom: De support is net als het product fantastisch. Hier kunnen veel leveranciers nog wat van leren.

Conclusie

In een wereld waar het internet bijna een eerste levensbehoefte is en waar iedereen zich online profileert is het fijn om een gedegen partij te hebben om je veiligheid te waarborgen. Je website is bij Sucuri in uitstekende handen. In al de jaren dat ik veelvoudig met het product werk heb ik geen enkele klacht over het functioneren van de dienst, de support en de GUI. Het is jammer dat Sucuri ons net voor was met de dienst die ze bieden. Maar ze doen het als de beste en daarom durf ik gerust te stellen dat je website beveiligen door Sucuri misschien wel de beste investering is die je voor je website kunt doen. Punt!

Vond je dit bericht leuk en/of interessant laat dan s.v.p. even een berichtje achter of like / deel deze post. Hoe meer feedback des te meer zin ik blijf houden om deze posts te maken!

Wil je Sucuri aanschaffen en mij een beetje sponsoren, gebruik dan s.v.p. onderstaande banner om Sucuri te kopen. Dit kost je niets extra’s maar ik ontvang dan een hele kleine bijdrage van de verkoop. Super bedankt!!

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top