Shield: WAF, DDoS en botbescherming
Shield is de edge-beveiligingslaag van SuperSpace. Het staat vóór je site en filtert verkeer voordat het ooit WordPress bereikt, en combineert een Web Application Firewall (WAF), DDoS-mitigatie, botdetectie en snelheidsbeperking. Deze pagina legt uit wat Shield doet, hoe je het inschakelt, welke abonnementen het bevatten en waar je de beveiligingsgebeurtenissen kunt bekijken die het vastlegt.
Voordat je begint
- Een ingerichte site die ONLINE is en al via de CDN van SuperSpace wordt geserveerd
- Een abonnement dat Shield bevat — als jouw abonnement dat niet doet, toont de Shield-sectie een upgradekaart in plaats van de instellingen (zie Abonnementen en gating)
- Rechten om de site te beheren
Shield is per site
Shield wordt per site afzonderlijk ingeschakeld, geconfigureerd en gefactureerd. Het inschakelen voor één site heeft geen invloed op andere sites in je account.
Waartegen Shield beschermt
Shield bundelt verschillende edge-beveiligingsfuncties, elk beheerd op een eigen pagina binnen de Shield-sectie:
| Functie | Wat het doet |
|---|---|
| WAF | Inspecteert binnenkomende requests en blokkeert of logt de requests die overeenkomen met bekende aanvalspatronen. Je stelt de WAF-modus, gevoeligheid en toegestane protocollen in, en kunt afzonderlijke regels uitschakelen of alleen loggen. Zie WAF-regels. |
| Botdetectie | Identificeert en daagt geautomatiseerd verkeer uit. Premiumfunctie — zie Botbescherming. |
| Snelheidslimieten | Beperkt hoeveel requests een client binnen een bepaald tijdvenster kan doen. Zie Snelheidsbeperking. |
| Toegangslijsten | Je eigen toelaat-/blokkeerlijsten op basis van IP, CIDR, ASN, land, organisatie of JA4-fingerprint, plus de samengestelde dreigingscatalogi van Bunny. Zie Toegangslijsten. |
| DDoS-mitigatie | Absorbeert en filtert grootschalig floodverkeer aan de edge. Altijd actief zolang Shield aan staat; er zijn geen instellingen per regel te beheren. |
Voor de conceptuele relatie tussen Shield en de CDN waarop het draait, zie CDN en Shield.
Shield inschakelen
Shield draait aan de CDN-edge, dus de site moet al via de CDN van SuperSpace worden geserveerd voordat Shield geactiveerd kan worden.
-
Open de Shield-sectie van de site. Open in de linkerzijbalk Mijn sites en selecteer de site. Vouw binnen de site Shield in de zijbalk uit en kies Overview.
-
Activeer Shield. Als Shield nog niet actief is, toont de Overview een kaart met de titel "Shield isn't active for this site". Klik op Activate Shield.
-
Bevestig dat het actief is. Zodra de activering klaar is, toont de Overview een Shield status-kaart met een Active-badge en een WAF mode-kaart. Shield begint de site direct te beschermen met de standaardinstellingen.
De Overview-pagina is het knooppunt van de sectie. De twee statuskaarten bovenaan tonen Shield status (Active / Inactive) en WAF mode (Block of Log only), gevolgd door de grafiek Shield Overview over de Last 28 Days. Gebruik de tabbladen bovenaan — Overview, WAF, Bot Detection, Rate Limits, Access Lists en Security Events — om elke functie te bereiken.
Dezelfde Shield-instellingen zijn beschikbaar via de REST API (en de MCP-server), onderhevig aan dezelfde abonnementsgating. Controleer de huidige Shield-status:
curl -H "Authorization: Bearer $SUPERSPACE_TOKEN" -H "X-Auth-Account: $ACCOUNT_ID" \
https://control.superspace.nl/api/sites/$SITE_ID/shield
Zie de Shield API-referentie voor activering, configuratie en het events-endpoint.
WAF-modus: Block versus Log only
Wanneer je Shield voor het eerst inschakelt op een live site, overweeg dan de WAF een tijdje in de modus Log only te draaien. Shield legt vast wat het zou hebben geblokkeerd zonder het daadwerkelijk te blokkeren, zodat je kunt bevestigen dat legitiem verkeer niet wordt gepakt voordat je overschakelt naar Block. Je stelt de modus in op de WAF-pagina — zie WAF-regels.
Abonnementen en gating
Shield wordt gegated door het abonnement van je site, en de Shield-sectie gedraagt zich anders afhankelijk van het niveau:
| Niveau | Beschikbaarheid van Shield |
|---|---|
| Niet inbegrepen | De Shield-sectie is zichtbaar, maar elke pagina toont een kaart "Shield isn't included in your plan" met een knop Upgrade plan. Er zijn geen instellingen beschikbaar. |
| Base (Basic) | Shield is beschikbaar: WAF, snelheidslimieten, toegangslijsten en het gebeurtenissenlogboek. Bot Detection en Realtime Threat Intelligence zijn niet inbegrepen en tonen een upgradeprompt. |
| Premium (Advanced) | Alle Shield-functies, inclusief Bot Detection en Realtime Threat Intelligence. |
Functies alleen voor Premium
Bot Detection (de hele pagina) en Realtime Threat Intelligence (een schakelaar in de WAF-instellingen) vereisen het premium Shield-niveau. Op een abonnement op het base-niveau tonen deze een upgradeprompt in plaats van de instellingen. Hogere Bunny-niveaus zoals Business en Enterprise worden niet verkocht door SuperSpace, dus elke functie die deze zou vereisen wordt verborgen in plaats van getoond als een permanent vergrendelde optie.
Sommige abonnementslimieten komen pas bij het opslaan naar boven
Een paar instellingen worden begrensd per niveau — op het Basic-niveau is het tijdvenster voor snelheidsbeperking bijvoorbeeld beperkt tot 10 seconden. Als je probeert een waarde boven de limiet op te slaan, wordt de wijziging geweigerd en toont het dashboard de reden. Als een Shield-wijziging geen effect lijkt te hebben, controleer dan het bericht dat na het opslaan wordt getoond — meestal is het een limiet van het abonnementsniveau. Zie Snelheidsbeperking.
Als een API- of MCP-client een 403 met shield_not_in_plan krijgt, bevat het
abonnement van de site geen Shield; een 403 met shield_premium_required betekent dat
de actie het premiumniveau vereist. Beide worden opgelost met een abonnementsupgrade,
niet met een wijziging van de authenticatie — zie de Shield API-referentie.
Beveiligingsgebeurtenissen bekijken
Shield legt het verkeer vast waarop het handelt, zodat je kunt zien wat zijn regels heeft geactiveerd.
-
Shield Overview-grafiek. De Overview-pagina toont een Last 28 Days-samenvatting met grafieken voor DDoS Attacks, WAF Triggers en botactiviteit. Deze statistieken worden gecachet en worden ongeveer eens per uur bijgewerkt, dus heel recente activiteit verschijnt mogelijk niet meteen.
-
Security Events-logboek. Het tabblad Security Events toont een per dag gepagineerde lijst van afzonderlijke gebeurtenissen. De tabelkolommen zijn Time, Severity (Critical, Warning of Notice), Rule ID, Country, Method en Status. Kies de datum die je wilt bekijken om de gebeurtenissen van die dag te laden.
Wordt legitiem verkeer geblokkeerd?
Open Security Events voor de betreffende dag en zoek de bijbehorende vermelding — de kolom Rule ID identificeert de regel die werd geactiveerd. Pas die regel dan aan: schakel hem uit of zet hem op log only op de pagina WAF-regels, of controleer of een van je toegangslijsten verantwoordelijk is.
Shield uitschakelen
Om Shield op een site te stoppen, open je de pagina Overview en klik je op Deactivate Shield. Je wordt gevraagd dit te bevestigen.
Warning
Het deactiveren van Shield verwijdert de WAF-, DDoS-, bot- en snelheidsbeperkingsbescherming van de site. Je eigen regels en lijsten worden niet meer afgedwongen zolang Shield uit staat.
Volgende stappen
- Stem je WAF-regels af en stel de WAF-modus in
- Stel snelheidsbeperking in voor login- en API-endpoints
- Maak toegangslijsten om specifieke clients toe te laten of te blokkeren
- Configureer op een premiumabonnement botbescherming
- Lees hoe Shield zich verhoudt tot de CDN in CDN en Shield