7 Tips : WordPress Websites beveiligen tegen Brute Force Attacks

WordPress Websites zijn afgelopen dagen over de hele wereld aangevallen door “Brute Force Attacks” door een enorme botnet. Siteground geeft aan dat het van invloed was op alle web hosts en de brute force attack is zeer goed georganiseerd en zeer verspreid en meer dan 90.000 IP-adressen lijken betrokken te zijn bij deze aanval. In deze aanval was 1 veel gebruikte plugin de oorzaak van het probleem. Deze bleek een kwaadaardige code te bevatten. De aanval was gericht WordPress Websites die de ‘Admin’ gebruiker gebruiken en probeerde aan de hand van duizenden wachtwoorden om toegang tot de website te vinden.Wij willen u verder niet vervelen met de technische aspecten van deze specifieke aanval maar u tips geven hoe u beter om kunt gaan met uw beveiliging om dit soort zaken te beperken of in ieder geval iets moeilijker te maken.

Een aantal tips om de werking van een “Brute Force Attack” te beperken:

1. Gebruik nooit de gebruiker “Admin”.

   Deze was ooit de standaard gebruiker, maar veel mensen vinden de kreet nog “handig”. Natuurlijk is het gebruik van zo’n naam juist niet handig: om toegang te krijgen tot de website heeft u een gebruikersnaam een een password nodig. Als u als gebruikersnaam admin heeft, hoeft de hacker alleen nog maar het password te raden, u geeft 50% van de informatie al op voorhand weg! Maakt u nog gebruik van deze gebruiker admin? Verwijder deze dan onmiddelijk uit uw systeem!

2. Gebruik goede passwords

   Als u een password instelt, neem dan niet een al te makkelijk wachtwoord. Het wachtwoord 123 is te eenvoudig en te simpel. Bij een aanval bent u ontzettend kwetsbaar. Gebruik in uw wachtwoord naast letters en cijfers ook gebruik van leestekens als @#$%^&. Deze maken het de aanvaller aanzienlijk moeilijker! Specifiek voor WordPress kunt u gebruik maken van de plugin “Enforce Strong Password“. Deze plugin zorgt ervoor dat uw gebruikers zelf geen slechte passwords meer kunnen aanmaken en gebruiken, het systeem zal dat niet langer accepteren.

3. Beperk login-mogelijkheden

   De beveiliging van een standaard wordpress-installatie laat links en rechts nog wat te wensen over. Standaard kunt u passwords blijven raden tot u een ons weegt, wat natuurlijk niet handig is. Wij installeren al jaren standaard de plugin “Limit Login Attempts” welke ervoor zorgt dat dit niet langer mogelijk is. Daarnaast zorgt deze plugin ervoor dat er in het inlog scherm geen (standaard) informatie als “Incorrecte gebruikersnaam” of “Incorrect password” komt te staan maar in het midden laat welke informatie niet goed is. Zo verraad het systeem niet uw gebruikersnaam indien deze correct zou mogen zijn. Tot slot is deze plugin in staat om bij meerdere mislukte inlogpogingen het IP adres van de computer die in probeert te loggen automatisch, voor een in te stellen tijd, gebanned wordt van uw website om verdere pogingen te voorkomen.

4. Log login pogingen

   Meten is weten is wijsheid op dit vlak, als u zelf een website beheert. WordPress voorzien standaard niet een een overzicht met wie-wanneer-vanafwaar inlogt. Erg waardevolle informatie voor de beheerder. Met behulp van een plugin als “Simple Login Log” kunt u (periodiek) monitoren of er ongeautoriseerde login-pogingen zijn. Zo heeft u controle alhoewel hier wel uitzonderingen op mogelijk zijn.

5. Gebruik een Schermnaam

   In wordpress heeft u een gebruikersnaam, daar logt u mee in. Deze naam word standaard weergegeven onder de titel van uw berichten. Wilt u voorkomen dat uw gebruikersnaam (dus uw login-naam) op de website getoond word, maak dan gebruik van een schermnaam. Deze kunt u wijzigen in uw profiel onder gebruikers.

6. Cloudflare

   Maak minstens gebruik van het gratis pakket bij CloudFlare. Deze blokkeert automatisch login pogingen welke de handtekening van de brute-force aanval te dragen. De technologie van Cloudflare detecteert een aanval automatisch die ontstaat ​​tegen elke website in zijn netwerk. CloudFlare begint de aanval automatisch te blokkeren voor zowel de specifieke website als de hele gemeenschap. Dit betekent ook dat hoe langer je op CloudFlare, hoe beter de bescherming wordt!

7. Update uw WordPress en Plugins tijdig

   Een van de belangrijkste tips! Voor iedere professionele webmaster zou dit totaal overbodig moeten zijn maar toch… regelmatig lezen we in het nieuws dat er honderden, dan wel niet duizenden WordPress Websites onderuit gehaald zijn maar in de meeste gevallen word daar dan toch gesproken over aanvallen op oude WordPress versies of verouderde plugins. WordPress laat u aan alle kanten zien dat als er updates zijn en natuurlijk niet voor niets!