CDN en Shield
In het kort
Elke SuperSpace-site zit achter een edge-laag aangedreven door Bunny. Die heeft twee onderdelen:
- CDN — cachet de bestanden van je site op edge-locaties over de hele wereld zodat bezoekers pagina's sneller laden en je origin minder verkeer verwerkt.
- Shield — een beveiligingslaag (Web Application Firewall, DDoS-mitigatie, botdetectie en rate limiting) die kwaadaardig verkeer filtert voordat het je site ooit bereikt.
Je beheert beide vanuit het dashboard van je site, onder de secties CDN en Shield in de linkerzijbalk.
Deze pagina legt uit wat de edge-laag doet en wat je kunt regelen. Volg voor de stapsgewijze taken de gelinkte how-to-handleidingen.
De edge-laag
Wanneer iemand je site bezoekt, bereikt hun verzoek eerst de edge van Bunny — een wereldwijd netwerk van servers dicht bij je bezoekers — voordat het ooit de server raakt waarop je WordPress-site draait (de origin). De CDN cachet en serveert content vanaf de edge; Shield inspecteert en filtert verkeer op diezelfde edge.
CDN is automatisch; Shield hangt af van je abonnement
De CDN wordt automatisch ingeschakeld op basis van je hostingabonnement — er is niets om aan te zetten. Shield is inbegrepen bij abonnementen die het aanbieden; bij abonnementen die dat niet doen, toont de Shield-sectie een "Shield isn't included in your plan"-kaart met in plaats van de bedieningselementen een Upgrade plan-link.
CDN (caching)
Open een site en open dan in de linkerzijbalk CDN. Die heeft twee tabbladen: Caching en Edge Rules.
Op het tabblad Caching stem je af hoe de CDN je bestanden opslaat en serveert. De knop Purge Cache rechtsboven wist de hele gecachte kopie voor de site in één keer — handig na een grote contentwijziging. Purgen betekent dat bezoekers even je origin kunnen raken terwijl de cache opnieuw wordt opgebouwd.
Als de CDN nog niet actief is
Als de CDN van een site nog niet is geprovisiond, toont het tabblad Caching een "CDN is not active for this site"-bericht. De CDN wordt automatisch ingeschakeld op basis van je hostingabonnement, dus dit lost zich meestal vanzelf op zodra de provisioning is voltooid.
Het tabblad Caching groepeert instellingen in drie kaarten:
| Kaart | Wat het regelt |
|---|---|
| General | Smart Cache (cachet verzoeken op bestandstype voor volledige siteversnelling), Cache expiration time (hoelang de edge bestanden bewaart voordat hij ze opnieuw ophaalt van je origin), Browser cache expiration time (hoelang de browsers van bezoekers bestanden bewaren), Query string sort en Cache error response. |
| Vary Cache | Welke verzoekattributen hun eigen aparte gecachte kopie opslaan — bijvoorbeeld browserondersteuning voor WebP/AVIF, Cookie value, Desktop / Mobile, Request hostname, URL query string en User country code. Bevat ook Strip response cookies en Optimize for large object delivery. |
| Stale Cache | Een verouderde gecachte kopie serveren While origin offline (wanneer je server onbereikbaar is) en While updating (de oude kopie serveren terwijl op de achtergrond een nieuwe wordt opgehaald). |
Vary cache vermenigvuldigt je gecachte kopieën
Elk attribuut dat je onder Vary Cache inschakelt, wordt onderdeel van de cachesleutel, dus elke combinatie slaat zijn eigen gecachte bestand op. Schakel alleen in waar je content daadwerkelijk op varieert — meer aanzetten dan je nodig hebt, verlaagt je cache hit rate.
Voorinstellingen voor vervaltijd
Cache- en browservervaltijd worden gekozen uit voorinstellingen die variëren van 1 minute tot 1 year. De standaard cachevervaltijd, "Respect origin Cache-Control", respecteert de cachingheaders die je site al verzendt; de browserstandaard, "Match server cache expiration", spiegelt de edge-instelling.
Edge rules
Op het tabblad Edge Rules kun je aangepaste regels definiëren die op verzoeken inwerken op de edge — bijvoorbeeld HTTPS afdwingen, URL's omleiden of cachegedrag overschrijven voor specifieke paden. Zie Edge rules beheren voor hoe je ze aanmaakt en ordent.
Aangepaste domeinen via de CDN
Wanneer je een aangepast domein aan een site koppelt, voegt SuperSpace het toe als hostname op de Bunny pull zone van de site, zodat verkeer voor dat domein via dezelfde CDN wordt geserveerd. Er wordt dan automatisch een gratis SSL-certificaat voor de hostname uitgegeven zodra de DNS ervan naar SuperSpace wijst, en HTTPS wordt ervoor afgedwongen.
Zie Een domein aan een site toevoegen voor de stapsgewijze stroom.
Shield (beveiliging)
Open een site en open dan in de linkerzijbalk Shield. De sectie heeft deze pagina's:
| Pagina | Wat het doet |
|---|---|
| Overview | Toont de Shield-status, de huidige WAF mode (Block of Log only) en een grafiek van activiteit over de Last 28 Days. Dit is ook waar je Activate Shield voor een site of Deactivate Shield kiest. |
| WAF | De Web Application Firewall: zet hem aan/uit, kies de uitvoeringsmodus, stem de rule sensitivity af, beheer toegestane protocollen, en beheer regels (zie hieronder). |
| Bot Detection | Detecteer geautomatiseerd verkeer en daag het uit. |
| Rate Limits | Beperk hoeveel verzoeken een bezoeker binnen een bepaald venster kan doen. |
| Access Lists | Je eigen allow/block-lijsten, plus Bunny's samengestelde dreigingslijsten. |
| Security Events | Een log van wat Shield heeft geblokkeerd, uitgedaagd of gelogd. |
Voor de veelvoorkomende taken op deze pagina's, zie de Shield-handleidingen.
Shield activeren
Op een abonnement dat Shield bevat, toont een nieuwe site "Shield isn't active for this site" met een Activate Shield-knop. Het activeren ervan zet WAF-, DDoS-, bot- en rate-limit-bescherming aan op de edge. Shield deactiveren (vanaf de Overview-pagina) verwijdert al die bescherming.
De WAF
De WAF-pagina (Web Application Firewall) is het hart van Shield. Een paar dingen zijn het begrijpen waard:
- Execution mode bepaalt wat de WAF doet wanneer een regel matcht. Log only legt de treffer vast zonder de bezoeker te beïnvloeden — handig terwijl je regels afstemt — terwijl Block het verzoek daadwerkelijk stopt. De huidige modus wordt ook getoond op de Overview-pagina.
- Rule sensitivity wordt gekozen uit voorinstellingen — Low, Medium, High, Extreme — of je kunt Custom-niveaus kiezen. Hogere gevoeligheid vangt meer maar markeert eerder legitiem verkeer.
- De WAF-pagina heeft twee regeltabbladen: Managed Rules (Bunny's ingebouwde regelsets, die je op uitgeschakeld of log-only kunt zetten) en Custom Rules (je eigen regels, die je kunt aanmaken, bewerken en verwijderen).
Begin met Log only bij het afstemmen
Als je je zorgen maakt over het blokkeren van echte bezoekers, draai de WAF dan eerst in de modus Log only, bekijk de Security Events-pagina om te zien wat er geblokkeerd zou zijn, en schakel dan over naar Block zodra je er zeker van bent.
Access lists
Shield heeft twee soorten lijsten, en ze werken verschillend:
- Access lists zijn lijsten die jij aanmaakt om verkeer toe te staan of te blokkeren. Elke lijst bevat entries — op IP, CIDR-bereik, ASN, land, organisatie of JA4-fingerprint — en je kiest welke actie erop van toepassing is.
- Curated lists zijn dreigingscatalogi die door Bunny worden onderhouden (zoals VPN-providers, datacenters, TOR-exitnodes en botnets). Je kunt de inhoud ervan niet bewerken; je kiest alleen of elk is ingeschakeld en welke actie er moet worden ondernomen. Het Curated-tabblad is zichtbaar op elke Shield-tier, maar individuele lijsten zijn afhankelijk van de tier: een lijst die beschikbaar is op je huidige tier is interactief, terwijl een lijst die een hogere tier vereist wordt getoond als een vergrendelde rij met een upgradeprompt.
Rate limits
Rate-limit-regels begrenzen hoeveel verzoeken een bezoeker binnen een tijdvenster kan doen voordat ze worden geblokkeerd. Ze worden aangemaakt en bewerkt op de Rate Limits-pagina.
Tijdsbeperkingen hangen af van je Shield-tier
Op de lagere Shield-tier is het tijdvenster voor rate limiting begrensd (een langer venster wordt geweigerd). Als een rate-limit-opslag geen effect heeft, brengt het dashboard de reden naar voren — doorgaans een prompt om te upgraden voor langere tijdvensters.
Functies die alleen premium zijn
Sommige Shield-functies vereisen de hogere (premium) Shield-tier. Op abonnementen zonder deze tier verschijnen ze als een uitgeschakeld bedieningselement of een upgradeprompt in plaats van werkende instellingen:
- Bot Detection
- Realtime Threat Intelligence (een WAF-instelling)
De samengestelde dreigingslijsten van een hogere tier onder Access Lists worden ook op deze manier afgeschermd — die individuele lijsten worden getoond als vergrendelde rijen met een upgradeprompt totdat je op een tier zit die ze bevat (zie Access lists hierboven).
Bekijken wat Shield deed
De Overview-pagina vat de afgelopen 28 dagen samen: gemitigeerde DDoS-aanvallen, geactiveerde WAF-regels en botactiviteit. Voor de details somt de Security Events-pagina individuele gebeurtenissen op in een tabel met kolommen voor Time, Severity (Critical, Warning of Notice), Rule ID, Country, Method en Status.
Een false positive opsporen
Als legitiem verkeer wordt geblokkeerd, is de Security Events-pagina de plek waar je de schuldige regel identificeert aan zijn Rule ID. Zodra je weet welke regel het is, pas je hem aan op het tabblad Managed Rules of Custom Rules — schakel hem uit of zet hem op log-only.
De edge programmatisch beheren
Alles hierboven is ook beschikbaar via de SuperSpace REST API, zodat je caching- en beveiligingsconfiguratie kunt automatiseren. Zie de referenties CDN API en Shield API.
Een verzoek om de huidige cacheconfiguratie te lezen ziet er zo uit:
curl -H "Authorization: Bearer $SUPERSPACE_TOKEN" -H "X-Auth-Account: $ACCOUNT_ID" \
https://control.superspace.nl/api/sites/$SITE_ID/cdn/caching
Shield-API-toegang volgt dezelfde abonnementsbeperking
De Shield API is onderworpen aan dezelfde tier-beperking per abonnement als het dashboard — premiumfuncties en een inactieve Shield-zone gedragen zich via de API hetzelfde als in de UI.