Veel mensen die het wat minder nauw nemen met de wachtwoordeisen, zeggen dat ze dat doen vanwege gebruikersgemak. Natuurlijk is het vervelend als je bij het invoeren van je favoriete wachtwoord ’123456′ een waarschuwing krijgt dat je verplicht bent een veiliger wachtwoord te kiezen, maar is het niet veel vervelender om te zien dat je website is verminkt omdat iemand je wachtwoord gegokt heeft?

Vier maatregelen voor veilige wachtwoorden in WordPress:

 

1. Enforce Strong Password

Installeer de Enforce Strong Password plugin van Zaantar. Deze wingt alle gebruikers om een sterk wachtwoord hebben wanneer ze het gaan veranderen op hun profielpagina. Als de gebruiker een zwak wachtwoord kiest wordt er een foutmelding wordt weergegeven. Het gebruikt dezelfde algoritme om wachtwoordsterkte bepalen WordPress. Administrators kunnen in de settings aangeven hoe scherp deze beveiliging moet zijn. Als u een password instelt, neem dan niet een al te makkelijk wachtwoord. Het wachtwoord 123 is te eenvoudig en te simpel. Bij een aanval bent u ontzettend kwetsbaar. Gebruik in uw wachtwoord naast letters en cijfers ook gebruik van leestekens als @#$%^&. Deze maken het de aanvaller aanzienlijk moeilijker! Specifiek voor WordPress kunt u gebruik maken van de plugin “Enforce Strong Password“. Deze plugin zorgt ervoor dat uw gebruikers zelf geen slechte passwords meer kunnen aanmaken en gebruiken, het systeem zal dat niet langer accepteren.

2. Limit Login Attempts

Installeer de Limit Login Attempts plugin van Johanee Deze plugin beperk het aantal mogelijke inlogpogingen zowel via de normale login alsmede het gebruik van auth cookies. Standaard in WordPress kun je onbeperkt inlogpogingen hetzij via de login pagina of door het sturen van speciale cookies. Dit maakt het mogelijk wachtwoorden (of hashes) te brute-force gekraakt met relatief gemak te zijn. Limit Login Attempts blokkeert een internetadres en dus het maken van verdere pogingen na een bepaalde limiet op pogingen is bereikt onmogelijk.

3. Maak gebruik van schermnamen

Onder de instellingen Gebruikers>>Profiel vind je de mogelijkheid “schermnaam”. Hier kun je jezelf een naam geven die weergegeven wordt bijvoorbeeld in je nieuwsberichten. Als je deze functie niet gebruikt wordt dus je “login-naam” weergegeven in je nieuwsberichten. De login van WordPress bestaat uit een login-naam en een password. Hoe goed je password ook mag zijn, als je je login-naam op je website toont, geef je dus de helft van je login informatie sowieso al weg! Deze schermnamen mogen van meerdere gebruikers hetzelfde zijn, dat kan ook soms makkelijk zijn zodat de buitenwereld dan niet kan zien wie het bericht geplaatst heeft, dit is vooral handig voor zakelijke doeleinden.

4. Gebruik NOOIT de gebruiker ADMIN

Deze was ooit de standaard gebruiker in WordPress, maar veel mensen vinden de kreet nog “handig”. Natuurlijk is het gebruik van zo’n naam juist niet handig: om toegang te krijgen tot de website heeft u een gebruikersnaam een een password nodig. Als u als gebruikersnaam admin heeft, hoeft de hacker alleen nog maar het password te raden, u geeft 50% van de informatie al op voorhand weg! Maakt u nog gebruik van deze gebruiker admin? Verwijder deze dan onmiddellijk uit uw systeem!