WPherstel.nl Logo

Is uw WordPress site gehackt?

Uw website snel weer online!

Help! Brute Force aanvallen op mijn WordPress site!

Help! Brute Force aanvallen op mijn WordPress site!

Gepubliceerd op 10 april 2018

Er zijn twee manieren die hackers het meeste gebruiken om jouw WordPress website proberen binnen te dringen: lekken in de code van WordPress en plugins, of de Brute Force methode. Dat laatste gaat dit blog artikel over.

Wat is de Brute Force Methode
Vertaald in het Nederlands betekent het de Brute Kracht methode. Met brute kracht proberen hackers om in te loggen op jouw WordPress dashboard. Door met veel voorkomende gebruikersnamen en wachtwoorden achter elkaar in proberen te loggen, hoopt de hacker zichzelf uiteindelijk toegang te kunnen verschaffen tot jouw website om deze vervolgens te gaan misbruiken. Zoals WordPress dit zelf omschrijft in het artikel over Brute Foce Attacks: het is, kort gezegd, een aanval op de zwakste schakel: jij. Jij bent namelijk degene die de gebruikersnaam en het wachtwoord kiest en wanneer dit te makkelijk te raden is, komt een hacker gemakkelijk binnen. Om dit nu te voorkomen, volgen hier een aantal tips op de zwakste schakel minder zwak te maken:

Schakel het admin account uit
Elke brute force hacker begint altijd met de gebruikersnaam admin. Heb jij een WordPress account waarvan de gebruikersnaam admin is, maak dan een nieuw account aan met volledige beheerdersrechten en pas de rol van het admin account aan naar “Geen rol voor deze website”, of verwijder het account helemaal. Je kunt namelijk de gebruikersnaam van een WordPress account niet aanpassen.

schakel het admin account uit

Gebruik een email adres en gebruikersnaam dat je nergens anders voor gebruikt
Je moet het onmogelijk maken voor een brute force hacker om te kunnen raden wat jouw inloggegevens zijn. Dit begint niet alleen bij het wachtwoord, ook je gebruikersnaam en email adres spelen hier een rol in. Zo hebben we bij de vorige tip het admin account uitgeschakeld, nu gaan we een goede login kiezen. Gebruik daarom voor WordPress een email adres en een gebruikersnaam dat je nergens anders voor gebruikt, zodat het niet te raden valt.

Heb je een Gmail adres? Wist je dat je iets extra’s aan je email adres kunt toevoegen en daar nog steeds emails op ontvangt? Is jouw email adres bijvoorbeeld jack123@gmail.com, dan kun je voor je WordPress account het email adres jack123+wordpress@gmail.com gebruiken. Op deze manier kun je een uniek email adres invullen, terwijl je de emails van WordPress kunt blijven ontvangen. Er kan ook voor gekozen worden een geheel nieuw email adres aan te maken, mocht je geen Gmail gebruiken.

Ook kan er voor gekozen worden om het inloggen in WordPress met een email adres volledig uit te schakelen. Zo kun je alleen nog met je gebruikersnaam inloggen en hoef je je geen zorgen te maken over dit probleem. Installeer daar voor de plugin No Login by Email Address. Wij hebben deze plugin getest en gecontroleerd en achten deze als veilig.

Je kunt bij het aanmaken van een WordPress account een gebruikersnaam en een weergave naam kiezen. Zorg er altijd voor dat je gebruikersnaam en weergave naam anders zijn, omdat je weergave naam open en bloot op jouw website wordt getoond bij elke blogpost die je schrijft. Als je een unieke gebruikersnaam hebben, kunnen ze deze in ieder geval niet raden.

Een goed wachtwoord
Het laatste wat je nodig hebt is een goed wachtwoord. Veel mensen hebben geleerd dat een goed wachtwoord hoofdletters, kleine letters, cijfers en symbolen zijn. Niets is minder waar, want het belangrijkste van een goed wachtwoord dat deze lang en uniek is. Daarom raden wij aan in plaats van een wachtwoord een wachtzin in te stellen. Dit is namelijk veel minder snel te raden dan een wachtwoord en is makkelijker voor jou om te onthouden. Een wachtwoord “A@rdb3i!” voldoet aan de door de meeste bedrijven gestelde minimumvereisten voor een wachtwoord: acht tekens, een hoofdletter, kleine letters, cijfers en symbolen. Hier voor zou een computer ongeveer 9 uur voor nodig hebben om dit te raden. Dat terwijl voor een wachtwoord als “aardbeienzijnlekker” volgens een wachtwoordtester 607 miljoen jaar nodig is om deze te raden.

En als je dan een unieke gebruikersnaam en een uniek, sterk wachtwoord hebt, dan ben jij de brute force hackers te slim af!

Resumerend (tl;dr)

– Zorg dat je geen account met de gebruikersnaam ‘admin’ actief hebt,
– Gebruik een uniek email adres of schakel het inloggen met een email adres helemaal uit,
– Gebruik een lang en uniek wachtwoord dat je nergens anders gebruikt.

Terug naar nieuwsberichten

WPherstel.nl Logo