Een brute force attack, de naam zegt het al, is een aanval met “grof geweld”. Hackers proberen toegang tot een beveiligde omgeving te krijgen door geautomatiseerd achter elkaar verschillende combinaties van gebruikersnaam en wachtwoord uit te proberen. Dit gebeurt met een script en gaat net zolang door totdat toegang verkregen is of tot het systeem het stopt.
Brute force attack en WordPress
Vooral open source website CMS-en hebben last van brute force attacks. Zo ook WordPress. Dit komt omdat de hackers de structuur van de website weten en omdat er in oudere versies van WordPress bugs zitten. Niet elke website eigenaar werkt zijn systeem op tijd bij en dit maakt het kwetsbaar voor zulke aanvallen. Gelukkig kun je je WordPress website eenvoudig tegen brute force attacks beschermen.
Tips om WordPress tegen een brute force attack te beschermen
Maak gebruik van een beveiligings plugin
Er zijn diverse gratis/ freemium plugins verkrijgbaar die helpen om jouw WordPress website beter te beveiligen. Met deze plugins kun je ook brute force attacks voorkomen. Dit gebeurt door op ip-adres de toegang tot de website te blokkeren na een vooraf ingesteld aantal mislukte inlog pogingen. Als er van een bepaald ip-adres bijvoorbeeld 4 keer foutief is geprobeerd in te loggen, wordt de toegang voor een half uur geweigerd. Er kan dan een half uur niet meer vanaf het ip-adres ingelogd worden op de website. Dit is vaak al voldoende om hackers af te schrikken.
Plugins om brute force attacks tegen te gaan:
- Limit login attempts reloaded; een nieuwe versie van een oude, simpele plugin die er alleen maar voor zorgt dat gebruikers geblokkeerd worden na een aantal mislukte inlog pogingen. Je kunt ook de originele plugin Limit login attempts gebruiken.
- Wordfence Security; dé populairste plugin om je WordPress website te beveiliigen. Naast het stoppen van brute force attacks,heeft deze plugin nog veel meer beveiligings opties.
- Sucuri Security; een concurrent van Wordfence. Ook een gratis plugin met vele beschermings mogelijkheden naast het stoppen van brute force attacks.
Gebruik altijd een sterk wachtwoord
Bij een brute force attack wordt vaak gebruik gemaakt van een lijst met de meest voorkomende zwakke wachtwoorden. Heel veel gebruikers kiezen een makkelijk te onthouden wachtwoord zoals 123456 of qwerty. Dit zijn de wachtwoorden die als eerste gebruikt worden bij een brute force attack. Kies daarom voor een sterk wachtwoord. Een sterk wachtwoord bestaat uit minimaal 12 karakters en gebruik je éénmalig.
Met een wachtwoord manager is het makkelijker om een sterk wachtwoord te onthouden.
Verwijder de standaard WordPress gebruiker “Admin”
Standaard maakt WordPress de gebruiker met de naam “Admin” aan. Dit is ook de eerste gebruiker die hackers zullen uitproberen. Verwijder deze dus meteen na installatie.
Verander de naam van het WordPress dashboard
De standaard URL van het WordPress dashboard is: www.websitenaam.tld/wp-config. Hackers weten dit ook en zullen hier als eerste proberen binnen te komen. Door deze URL (naam) aan te passen, maak je het moeilijker voor kwaadwillenden om een brute force attack uit te voeren. Een andere URL voor je dashboard kun je eenvoudig realiseren met de plugin WPS Hide Login.
Beveilig het WordPress dashboard met een wachtwoord
Een extra beveiliging voor je WordPress dashboard kun je toevoegen door een extra schil in de vorm van een wachtwoord toe te voegen. Dit kun je realiseren door het in te stellen via het controle paneel van je website of door een aanpassing in je .htaccess file.
Limiteer de toegang tot WordPress met een ip-adres restrictie
Wil je nog een stapje verdergaan dan kun je de toegang tot het WordPress dashboard beperken door alleen bepaalde ip-adressen toegang te geven. Een nadeel hiervan is dat je niet meer overal kunt inloggen. Een voorwaarde is ook dat je een vast ip-adres moet hebben.
