iThemes Security review: beginner-vriendelijke WordPress beveiliging

iThemes Security is een gebruiksvriendelijke WordPress security plugin die je site beschermt met 50+ security features. De plugin was voorheen bekend als iThemes Security Pro en is sinds de overname door SolidWP geherbranded naar Solid Security. Met meer dan 1 miljoen actieve installaties is het een populaire keuze voor site owners die security willen zonder technische complexiteit.

Het grote verschil met technische plugins zoals Wordfence is de beginner-vriendelijke aanpak. iThemes Security gebruikt duidelijke taal en toggle switches in plaats van technisch jargon. Elke instelling heeft een heldere uitleg over wat het doet en waarom het belangrijk is. Dit maakt security toegankelijk voor niet-technische WordPress gebruikers.

De gratis versie biedt basis bescherming met login security, ban management, en security hardening. iThemes Security Pro kost €99 per jaar en voegt tweefactorauthenticatie, scheduled malware scanning, password management, en version control toe. De Pro versie is de investering waard voor professionele sites die uitgebreide bescherming nodig hebben.

Wat is iThemes Security precies?

iThemes Security is een comprehensive security plugin die je WordPress site beveiligt op meerdere gebieden: brute force bescherming, malware detection, login security, database backups, en security hardening. De plugin scant je site op kwetsbaarheden en biedt one-click fixes voor veel voorkomende security problemen.

De plugin organiseert features in categorieën: Site Security, User Security, Advanced Security, en Notifications. Binnen elke categorie vind je toggle switches om features aan of uit te zetten. Dit modulaire systeem laat je precies kiezen welke beschermingslagen je wilt zonder overweldigd te worden.

iThemes heeft een Security Check dashboard dat je huidige security level toont met een score. Elke aanbeveling heeft een impact indicator (hoog, medium, laag) zodat je weet welke fixes het belangrijkst zijn. Dit gamification element motiveert gebruikers om hun security te verbeteren.

Dashboard en gebruiksgemak

Het iThemes Security dashboard is overzichtelijker dan concurrenten. De hoofdpagina toont je security score, recente lockouts, en belangrijke waarschuwingen. In plaats van technische logs zie je begrijpelijke samenvattingen. Een groene checkmark betekent alles OK, oranje waarschuwing vereist aandacht, rood is kritiek.

De Settings pagina is georganiseerd met collapsible secties per feature groep. Je hoeft niet door eindeloze tabs te navigeren zoals bij Wordfence. Elke setting heeft een info icon die uitlegt wat het doet, waarom het belangrijk is, en wat de impact is op je site.

iThemes integreert natuurlijk met de WordPress admin. Er zijn geen separate dashboards of externe services nodig. Alles gebeurt binnen je eigen WordPress installatie. Dit maakt het intuïtief – als je WordPress begrijpt, begrijp je iThemes Security.

Installatie en eerste setup

Installeren gaat via Plugins > Nieuwe plugin toevoegen in WordPress. Zoek op "iThemes Security" of "Solid Security" (beide namen werken) en klik Installeren en Activeren. De gratis versie installeert standaard. Voor Pro versie koop je een licentie op ithemes.com en voer je de license key in.

Na activering start iThemes een Security Check wizard. Deze scant je site op configuratieproblemen en laat bekende issues zien. Denk aan: admin username die nog "admin" is, bestandspermissies te ruim, WordPress versie outdated, of geen SSL certificaat.

Wizard guided setup

De wizard biedt quick fixes voor gevonden problemen. Met één klik kun je veilige bestandspermissies instellen, de admin username wijzigen, XML-RPC uitschakelen, en database tabellen prefixes wijzigen. Elke actie heeft een beschrijving wat het doet en waarom het helpt.

Voor niet-destructieve fixes zoals het blokkeren van auteur enumeratie kun je gewoon klikken. Voor impactvolle wijzigingen zoals het veranderen van database prefixes vraagt iThemes bevestiging en adviseert een backup. Deze voorzichtigheid voorkomt dat beginners hun site breken.

Na de wizard krijg je een security score. Dit is een percentage van aanbevolen features die je hebt geactiveerd. De meeste sites starten rond 40-60%. Door aanbevelingen te implementeren verhoog je de score naar 80-90%. Een perfecte 100% is vaak niet nodig en kan gebruiksvriendelijkheid negatief beïnvloeden.

Essentiële eerste instellingen

Ga naar Security > Settings en activeer Local Brute Force Protection. Dit beperkt login pogingen per IP adres. Stel het in op 5 pogingen in 15 minuten. Strengere settings kunnen legitieme gebruikers buitensluiten. iThemes slaat gebannte IPs op in je database.

Schakel Change Content Directory in. Dit hernoemt de wp-content directory naar iThemes-content-* met een random string. Hackers verwachten de standaard WordPress directory structuur. Door deze te wijzigen maak je automated attack scripts ineffectief. Let op: dit kan compatibiliteitsproblemen veroorzaken met sommige plugins.

Activeer File Change Detection voor Pro gebruikers. Dit monitort je core WordPress files, plugins en themes op ongeautoriseerde wijzigingen. Als een hacker een backdoor injecteert, detecteert iThemes dit en stuurt een alert. Gratis gebruikers missen deze feature helaas.

Brute force bescherming

Brute force aanvallen proberen in te loggen door duizenden username/wachtwoord combinaties af. iThemes Security blokkeert deze aanvallen door login pogingen te limiteren en verdachte IPs te bannen. Dit is de meest voorkomende WordPress aanval en de eerste verdedigingslinie.

Login limiting en lockouts

Local Brute Force Protection telt foute login pogingen per IP adres. Na het opgegeven maximum (standaard 10 in 5 minuten) wordt dat IP tijdelijk gebanned. De ban duurt standaard 15 minuten maar is configureerbaar tot permanent.

iThemes toont gelockout IPs in een overzicht met timestamp, username die ze probeerden, en hoeveel pogingen ze deden. Je kunt handmatig IPs whitelisten of blacklisten. Whitelisting is handig voor je eigen kantoor IP als je vaak wachtwoorden vergeet.

Network Brute Force Protection (Pro) synchroniseert met iThemes' cloud database van kwaadaardige IPs. Als een IP adres aanvallen uitvoert op het iThemes netwerk, wordt het automatisch gebanned op jouw site ook. Dit geeft je crowd-sourced bescherming tegen distributed aanvallen.

Login page aanpassingen

iThemes kan je login URL wijzigen van de standaard /wp-admin en /wp-login.php naar een custom slug zoals /mysecurelogin. Hackers die de standaard URLs targeten krijgen een 404 error. Dit is security through obscurity maar helpt wel tegen automatische scanners.

Let op: als je je custom login URL vergeet, ben je buitengesloten. iThemes biedt een noodoplossing via het toevoegen van een specifieke bestand via FTP die de login URL reset. Documenteer je custom URL goed.

CAPTCHA integratie (Pro) voegt Google reCAPTCHA toe aan je login formulier. Bots kunnen de CAPTCHA niet oplossen en worden geblokkeerd. Dit voorkomt automated brute force scripts effectief. De trade-off is extra friction voor legitieme gebruikers.

Tweefactorauthenticatie (Pro feature)

iThemes Security Pro biedt ingebouwde 2FA zonder extra plugins. Tweefactorauthenticatie vereist een tweede verificatiestap na je wachtwoord: een code uit een authenticator app. Zelfs als je wachtwoord gelekt is, kunnen hackers niet inloggen zonder je telefoon.

2FA implementatie

Gebruikers kunnen 2FA activeren in hun WordPress profiel. iThemes toont een QR code die je scant met Google Authenticator, Authy, Microsoft Authenticator, of andere TOTP apps. De app genereert elke 30 seconden een nieuwe 6-cijfer code.

Bij login voer je eerst je username en wachtwoord in. Als die correct zijn, vraagt iThemes om je 2FA code. Je opent je authenticator app, leest de code, en voert deze in. Na verificatie ben je ingelogd. Dit proces voegt 5-10 seconden toe aan login maar verhoogt security dramatisch.

Admins kunnen 2FA verplichten voor specifieke user roles. Dit is essentieel voor administrators en editors met veel rechten. Authors en subscribers kunnen optioneel 2FA gebruiken. Forced 2FA voorkomt dat gebruikers het negeren.

Recovery en backup codes

Bij 2FA setup genereert iThemes recovery codes. Dit zijn eenmalige codes die je kunt gebruiken als je je telefoon verliest. Bewaar deze codes veilig in een password manager of print ze en bewaar fysiek.

Als je zonder telefoon en zonder recovery codes zit, moet je 2FA uitschakelen via database access of FTP. Dit vereist technische kennis. Zorg dus dat je recovery codes veilig bewaart voordat je 2FA activeert.

iThemes ondersteunt ook email-based 2FA als fallback. In plaats van een authenticator app stuurt het een code naar je email. Dit is minder veilig (emails kunnen geïntercepteerd worden) maar beter dan geen 2FA.

Password management (Pro)

iThemes Security Pro scant alle user accounts op zwakke wachtwoorden. Het kan password policies afdwingen waarbij gebruikers verplicht sterke wachtwoorden met minimum lengte, special characters, en nummers moeten gebruiken.

Password strength enforcement

De plugin kan minimum wachtwoord lengtes instellen per user role. Bijvoorbeeld: administrators minimaal 14 karakters, editors 12, authors 10. Zwakke wachtwoorden zoals "password123" worden automatisch afgewezen.

Password age limits dwingen gebruikers periodiek hun wachtwoord te wijzigen. Je kunt instellen dat wachtwoorden elke 90 dagen expired. Dit is best practice voor high-security omgevingen maar kan irritant zijn voor kleine teams.

iThemes integreert met de Have I Been Pwned (HIBP) database. Dit is een collectie van miljarden gelekte passwords uit data breaches. Als een gebruiker een wachtwoord probeert te gebruiken dat in HIBP voorkomt, weigert iThemes dit en waarschuwt dat het wachtwoord gecompromitteerd is.

User session management

Sessie timeouts loggen gebruikers automatisch uit na een periode van inactiviteit. Dit voorkomt dat onbeheerde computers ingelogd blijven en misbruikt worden. Je kunt verschillende timeouts instellen per user role: admins na 15 minuten, editors na 30 minuten.

iThemes kan ook gelijktijdige logins beperken. Standaard kan dezelfde user account vanaf meerdere locaties tegelijk ingelogd zijn. Door concurrent sessions te blokkeren voorkom je account sharing of credential theft. Als iemand elders inlogt met jouw account, word jij automatisch uitgelogd.

File change detection en monitoring (Pro)

File Change Detection is een krachtige Pro feature die alle bestanden in je WordPress installatie monitort op wijzigingen. Als een hacker een backdoor injecteert of een plugin compromitteert, detecteert iThemes dit en waarschuwt je.

Hoe werkt file monitoring?

Bij activering scant iThemes alle bestanden en maakt checksums (hashes). Deze baseline wordt opgeslagen. Bij volgende scans vergelijkt iThemes nieuwe checksums met de baseline. Als een bestand gewijzigd is, zie je een waarschuwing.

Je krijgt gedetailleerde informatie: welk bestand wijzigde, wanneer, en wat er veranderde. Voor tekst bestanden kan iThemes een diff tonen (wat er toegevoegd of verwijderd is). Dit helpt je onderscheiden of een wijziging legitiem is (je update een plugin) of kwaadaardig (hacker injecteert code).

Scheduled scanning draait dagelijks of wekelijks op een gekozen tijdstip. Real-time monitoring is niet beschikbaar – scans zijn batch jobs die CPU gebruiken. Op shared hosting kun je scans beter 's nachts laten draaien.

Excludes en false positives

Sommige legitieme files wijzigen frequent: cache bestanden, log files, uploads. iThemes laat je directories excluden van monitoring. Standaard zijn common cache en uploads directories al uitgesloten. Je kunt custom exclusions toevoegen om false positives te reduceren.

Na een plugin update verwacht je dat die plugin's bestanden wijzigen. iThemes weet dit niet automatisch, dus je krijgt waarschuwingen. Je moet deze waarschuwingen reviewen en als "legitimate" markeren om de nieuwe baseline te accepteren.

Voor sites met veel plugins en frequent updates kan dit tedious worden. Het is echter de trade-off voor early detection van compromises. Een enkele backdoor detectie rechtvaardigt de effort van periodic review.

Database backups (gratis feature)

iThemes Security bevat ingebouwde database backup functionaliteit. Dit is ongewoon voor een security plugin – backup is typically een aparte plugin zoals UpdraftPlus. iThemes voegt het toe als extra beveiligingslaag.

Backup scheduling en opslag

Je kunt automatische database backups schedulen: dagelijks, wekelijks, of maandelijks. Backups worden standaard lokaal op je server opgeslagen in een beschermde directory. Je kunt ze ook naar email versturen of via FTP naar een externe locatie synchroniseren.

Let op: iThemes backt alleen je database, niet je bestanden (uploads, themes, plugins). Voor complete site backups heb je een aparte backup plugin nodig. De database bevat echter je content, settings, en user data – het belangrijkste om te beveiligen.

Retention settings bepalen hoeveel backups bewaard worden. Standaard zijn dit de laatste 10 backups. Oude backups worden automatisch verwijderd om diskspace te besparen. Voor sites met veel transacties (zoals webshops) kan 10 backups snel verouderd zijn.

Restore process

Restoren van een backup moet via phpMyAdmin of andere database tools. iThemes heeft geen one-click restore functie. Je moet de backup SQL file downloaden en handmatig importeren. Dit vereist technische kennis.

Voor niet-technische gebruikers is dit een nadeel. Dedicated backup plugins zoals UpdraftPlus hebben one-click restore. iThemes' backup feature is meer een emergency fallback dan een complete backup oplossing.

Gratis vs Pro features

iThemes Security gratis biedt solide basisbescherming. Je krijgt brute force protection, ban management, database backups, file permissions hardening, en WordPress security hardening. Voor kleine sites en blogs is de gratis versie voldoende.

iThemes Security Pro kost €99 per jaar voor één site. Dit voegt kritische features toe die gratis mist: tweefactorauthenticatie, scheduled malware scanning, file change detection, password management, en user activity logging. Voor professionele sites is Pro een must-have.

Pro exclusive features samenvatting

Tweefactorauthenticatie: Verplicht 2FA voor alle of specifieke user roles. Ondersteunt TOTP authenticator apps en email-based codes. Gratis versie heeft geen 2FA, je moet een aparte plugin gebruiken.

Site Scanner: Scheduled malware scans zoeken naar bekende malware signatures, backdoors, en compromised bestanden. Gratis versie heeft geen scanning capabilities. Scans draaien via iThemes' cloud service.

File Change Detection: Monitort alle bestanden op ongeautoriseerde wijzigingen. Detecteert injected backdoors en modified core files. Essentieel voor vroege detectie van hacks.

Password Security: Enforced password policies, HIBP integration, password age limits. Scant alle users op zwakke credentials en dwingt sterkere passwords.

User Logging: Detailed audit logs van alle user acties: logins, file uploads, post edits, settings wijzigingen. Onbetaalbaar voor forensics na een incident.

Trusted Devices: Herken devices die je gebruikt en skip 2FA voor trusted devices. Balance tussen security en convenience. Nieuwe devices vereisen 2FA verificatie.

Version Management: Rollback plugins en themes naar vorige versies direct vanuit WordPress admin. Handig als een update iets breekt of een security issue introduceert.

Dashboard Widget: Customizable widget op je WordPress dashboard met realtime security status. Zie in één oogopslag lockouts, scans, en alerts.

Kosten-baten analyse

Voor €99 per jaar krijg je enterprise-level features die meestal separate plugins zouden vereisen. Een dedicated 2FA plugin kost €30-50. Malware scanning services zoals MalCare starten vanaf €99. File monitoring plugins zijn €40+. iThemes bundelt dit alles.

Voor professionele sites die omzet genereren is €99 per jaar verwaarloosbaar. Een enkele dag downtime door een hack kost meer. De Pro features verkleinen risico aanzienlijk. ROI is positief vanaf een site die je inkomen geeft.

Hobby sites en persoonlijke blogs kunnen prima uit de voeten met de gratis versie. Combineer het met goede hosting security en regelmatige updates en je bent redelijk beschermd.

Voor- en nadelen

Voordelen:

Beginner-vriendelijk: iThemes gebruikt duidelijke taal en simpele toggle switches. Elke setting heeft uitleg. Dit maakt security toegankelijk voor niet-technische site owners. Wordfence daarentegen bombardeert je met technische details.

Modulair systeem: Je kunt exact kiezen welke features je wilt zonder alles te activeren. Dit voorkomt feature bloat en reduceert performance impact. Andere plugins dwingen je een all-or-nothing approach.

One-click fixes: De Security Check wizard biedt quick fixes voor common issues. Geen handmatig bewerken van wp-config.php of .htaccess. iThemes doet het voor je met duidelijke bevestigingen.

Pro features waardevol: 2FA, file monitoring, password management, en scanning in één pakket voor €99 is goed geprijsd. Je hoeft geen meerdere plugins te stapelen voor complete security coverage.

Active development: SolidWP (voorheen iThemes) onderhoudt de plugin actief met regelmatige updates. Support is responsive. De community is actief met goede documentatie en tutorials.

Geen cloud dependency voor basics: Anders dan Sucuri draait iThemes volledig lokaal. Je hoeft geen DNS te wijzigen of externe services te vertrouwen. Dit geeft controle en privacy.

Database backups included: Gratis versie heeft al database backups. Dit is uniek voor security plugins. Handig als extra zekerheid, al is het geen volledige backup oplossing.

Nadelen:

Gratis versie beperkt: Cruciale features zoals 2FA en malware scanning zijn Pro-only. Gratis gebruikers hebben incomplete bescherming. Concurrenten zoals All In One WP Security bieden meer gratis.

Geen realtime threat intelligence: iThemes mist een threat feed zoals Wordfence heeft. Het blokkeert geen bekende kwaadaardige IPs automatisch. Je bent afhankelijk van eigen lockout mechanismes.

Scanning basic: Pro scanning detecteert bekende malware maar is niet zo geavanceerd als dedicated security services. Geen behavioral analysis of zero-day detection. Sucuri en MalCare scannen dieper.

File change detection can be noisy: Bij frequent plugin updates krijg je veel waarschuwingen. Je moet handmatig legitimate changes accepteren. Dit wordt tedious voor sites met veel plugins.

Geen post-hack cleanup: iThemes detecteert compromises maar helpt niet met opschonen. Je moet zelf geïnfecteerde bestanden repareren. Sucuri en MalCare bieden cleanup services.

Per-site pricing: €99 per site per jaar is OK voor één site maar schaalt slecht. Voor tien sites betaal je €990. Geen multi-site discount of agency licensing. Dit maakt iThemes duur voor agencies.

Change content directory risky: Het hernoemen van wp-content kan compatibiliteit issues veroorzaken met hardcoded paths in plugins of themes. Geavanceerde feature maar niet zonder risico.

Voor wie is iThemes Security geschikt?

iThemes Security is de ideale keuze voor WordPress gebruikers die goede security willen zonder technische complexiteit. Als je overweldigd raakt door Wordfence's dashboards vol met technische logs, is iThemes' beginner-vriendelijke interface een verademing.

Kleine bedrijven met bedrijfswebsites die geen dedicated tech persoon hebben varen uitstekend bij iThemes Pro. De €99 per jaar geeft je peace of mind dat je site beschermd is zonder dat je security expert hoeft te worden. De guided setup wizard helpt je in 15 minuten een veilige configuratie opzetten.

WordPress beginners die net hun eerste site lanceren profiteren van de gratis versie. Het geeft solide basis bescherming terwijl je WordPress leert kennen. Als je site groeit en belangrijker wordt, upgrade je naar Pro voor de extra features.

Freelancers en consultants die klant sites bouwen waarderen iThemes' gebruiksgemak. Je kunt klanten een veilig geconfigureerde site opleveren zonder uitgebreide security training te geven. De UI is intuïtief genoeg dat klanten zelf basic security tasks kunnen beheren.

Minder geschikt voor

Security professionals en advanced users vinden iThemes mogelijk te simplistisch. Als je diep in firewall regels wilt duiken of custom security policies wilt schrijven, mist iThemes de granularity. Wordfence of dedicated WAFs bieden meer controle.

Sites die al gehackt zijn hebben weinig aan iThemes. Het detecteert mogelijk de infectie via file change detection, maar helpt niet met cleanup. Voor post-hack situaties heb je Sucuri of MalCare nodig met cleanup services.

High-traffic sites met miljoenen pageviews kunnen iThemes' brute force bescherming onvoldoende vinden. De local IP ban mechanisme schaalt niet perfect voor distributed aanvallen. Cloud-based firewalls zoals Sucuri of Cloudflare zijn effectiever voor DDoS scenarios.

Agencies met veel klant sites vinden per-site pricing duur. Voor twintig klant sites betaal je €1980 per jaar. Concurrenten zoals MalCare bieden agency plans met volume korting. iThemes heeft geen multi-site licensing.

Alternatieven voor iThemes Security

iThemes Security positioneert zich als beginner-vriendelijke middle ground tussen gratis basic plugins en dure managed services. Alternatieven bieden meer power (Wordfence), volledig gratis (All In One WP Security), of managed cleanup (Sucuri).

Wordfence

Wordfence is technischer en krachtiger dan iThemes. Het heeft een endpoint firewall, realtime threat intelligence feed, en uitgebreidere scanning. De gratis versie is al zeer compleet. Wordfence Premium kost €119, iets duurder dan iThemes Pro.

Het nadeel: steile leercurve. Wordfence's interface toont veel technische data. Voor security professionals is dit geweldig, voor beginners overweldigend. iThemes is gebruiksvriendelijker maar minder krachtig.

Kies Wordfence als: Je technisch bent, de krachtigste firewall wilt, realtime threat updates nodig hebt, of je niet stoort aan technische interfaces.

All In One WP Security

All In One WP Security is volledig gratis zonder premium versie. Het biedt vergelijkbare features als iThemes gratis: brute force protection, firewall, user account security, database backups. Een security meter visualiseert je security level.

De interface is functioneel maar gedateerd. Performance is goed omdat het lightweight is. Het mist echter Pro features zoals 2FA (moet je aparte plugin voor gebruiken) en scheduled scanning.

Kies All In One WP Security als: Je volledig gratis security wilt, budget hebt, of een eenvoudige no-frills oplossing zoekt zonder premium upsells.

Sucuri

Sucuri is een cloud-based security platform met firewall op DNS niveau. De grote USP is post-hack cleanup services. Als je gehackt wordt, scheept Sucuri je site op. Sucuri Platform kost €299 per jaar, duurder dan iThemes maar inclusief managed cleanup.

Het vereist DNS wijzigingen wat technisch complexer is. Maar je krijgt DDoS bescherming en CDN erbij. Sucuri is voor sites die professionele managed security willen.

Kies Sucuri als: Je post-hack cleanup wilt, DDoS bescherming nodig hebt, een cloud-based oplossing prefereert, of niet-technisch bent en fully managed security wilt.

Veelgestelde vragen

Wat is het verschil tussen iThemes Security en Solid Security?

Het is dezelfde plugin. iThemes Security werd geherbranded naar Solid Security na de overname door SolidWP. Je kunt beide namen gebruiken in de WordPress plugin repository. De functionaliteit is identiek. Bestaande gebruikers hoeven niets te doen – de plugin blijft werken.

Kost iThemes Security per site of kan ik het op meerdere sites gebruiken?

iThemes Security Pro licenties zijn per site. Voor één site betaal je €99 per jaar. Voor vijf sites heb je vijf licenties nodig (5 × €99 = €495). Er is geen multi-site discount. Voor agencies met veel klant sites wordt dit snel duur vergeleken met concurrenten die unlimited site licensing bieden.

Werkt iThemes Security samen met andere security plugins?

Je kunt iThemes combineren met backup plugins zoals UpdraftPlus zonder problemen. Echter, draai nooit twee firewall of brute force plugins tegelijk. iThemes en bijvoorbeeld Wordfence kunnen conflicteren. Kies één security suite en combineer die eventueel met een dedicated backup of CDN service.

Hoe activeer ik tweefactorauthenticatie in iThemes Security?

2FA is alleen beschikbaar in de Pro versie. Na upgrade ga je naar je WordPress profiel en vind je de iThemes Security sectie. Klik "Configure Two-Factor" en scan de QR code met Google Authenticator, Authy, of een andere TOTP authenticator app. Bewaar de recovery codes veilig. Voortaan vereist login je wachtwoord plus de 6-cijfer code uit je app.

Kan iThemes Security mijn gehackte site opschonen?

Nee, iThemes detecteert mogelijk malware via file change detection of site scanning, maar scheept je site niet automatisch op. Je moet zelf geïnfecteerde bestanden verwijderen of een security expert inhuren. Voor post-hack cleanup heb je services zoals Sucuri of MalCare nodig die dit wel aanbieden. iThemes is proactieve bescherming, geen reactieve cleanup.