Heb je een WordPress website? Voorkom dan op een simpele manier dat je website gehackt wordt.
Hoe voorkom je dat er virussen op je WordPress website geplaatst worden?
(uitleg overslaan? Je kunt hier direct naar de oplossing)
Sinds een paar weken is het aantal brute force attacks op WordPress websites wereldwijd enorm gestegen. Dat wil zeggen dat kwaadwillenden proberen om je inlognaam en wachtwoord te raden, zodat ze virussen, spam en andere ellende op je website kunnen plaatsen. (meer uitleg) Als ze dat lukt, worden nietsvermoedende bezoekers door je site geïnfecteerd. Dat wil je natuurlijk niet!
Wat gebeurt er?
Het zijn meestal geen mensen, maar bots die proberen je wachtwoord te raden. Dat is software die automatisch het ene na het andere wachtwoord uitprobeert, soms wel duizenden woorden per minuut. Net zo lang totdat ze een keer goed raden, ze met jouw rechten op je site zitten, en daar alles kunnen veranderen wat ze willen.
Ik ben groot fan van WordPress, maar een minpunt van WP is dat als je een verkeerd wachtwoord invoert om in te loggen, je dat net zo vaak opnieuw mag proberen als je wil. Dat maakt brute force attacks mogelijk.
De reden dat de laatste tijd het aantal inlog attacks op WP websites zo is gestegen, is waarschijnlijk dat criminelen hebben ontdekt hoe populair WordPress is geworden. Er draaien miljoenen websites op WP, juist omdat dit CMS zo goed en makkelijk werkt. Daardoor is het voor criminelen de moeite geworden om hackerssoftware te schrijven.
Heb je een heel kleine website, waar nauwelijks bezoekers op komen? Ook dan loop je serieus gevaar.
Mijn kleinste website (een archief waar ik eigenlijk niets meer mee doe) trekt momenteel 2 bezoekers per maand, en brute force attacks van maar liefst 30 verschillende IP adressen per dag.
Het is voor elke WordPress gebruiker dus zaak om zich onmiddellijk te beschermen.
Ik heb het hieronder over user/gebruiker en administrator/beheerder. De één heeft immers een Engelstalige WordPress installatie (dan is het user en administrator), de ander een Nederlandstalige installatie (gebruiker en beheerder).
Hoe bescherm je je website?
Je kunt je heel makkelijk beschermen tegen brute force attacks. Dat doe je in twee stappen:
1. Login naam
Heb je als inlognaam “admin” of “administrator”? Dat is de standaard gebruikersnaam als je WP installeert.
De bots moeten om in te loggen niet alleen je wachtwoord raden, maar ook je gebruikersnaam. En omdat de bots weten dat “admin” de standaard inlognaam is, proberen ze die als eerste (en meestal zelfs als enige).
De remedie is simpel: wijzig je gebruikersnaam.
Dat doe je zo:
- Log in met administratorrechten op je WP website. (als admin dus)
- Ga op je WP dashboard naar “users” of “gebruikers”.
- Ga naar de user/gebruiker “admin” en verander je mailadres. Het maakt niet veel uit waarin.
- Maak nu een nieuwe gebruiker aan. Geef die een andere naam dan “admin”, graag iets wat niet makkelijk te raden is. Op dit moment proberen bots (haast) alleen de gebruikersnaam “admin” uit, maar over een tijdje worden ze vast slimmer. Zorg dus dat je nieuwe username/gebruikersnaam niet makkelijk te raden is, ook niet als ik de naam van je website ken of naar je sociale media kijk.
- Geef deze nieuwe user/gebruiker administrator/beheerders rechten.
- Vul als mailadres het mailadres in wat eerst bij admin stond.
Okay! - Log nu uit als admin, en log in met je nieuwe gebruikersnaam.
- Ga opnieuw naar users/gebruikers.
Verwijder nu de user/gebruiker admin. Gewoon deleten!
(Wil je echt zeker zijn dat er niets misgaat? Maak dan eerst een backup van je website) - Heb je als admin blogposts/berichten geplaatst? Geen probleem. Zodra je op delete klikt, vraagt WordPress wat er met die posts moet gebeuren. Je wil ze niet verwijderen natuurlijk. Gelukkig kun je ze ook toewijzen aan je nieuwe gebruikersnaam. Zo worden alle teksten die je als admin hebt geschreven, automatisch op je nieuwe naam gezet. Opgelost!
Nu kan niemand meer inloggen als admin, maak je het bots veel moeilijker om je site te hacken, en is er niets van je site verloren gegaan.
2. Plugin
Toch ben je nog niet klaar. We gaan ook nog zorgen dat niemand meer eindeloze pogingen kan doen om je gebruikersnaam en wachtwoord te raden.
Dat gaan we doen door een plugin te installeren.
Er zijn meerdere plugins die het werk doen. Een simpele die het werk prima doet, is Limit Login Attempts.
Hoe?
- Login met je nieuwe gebruikersnaam.
- Ga naar plugins – nieuwe plugin
- Zoek op limit login attempts
- Installeer en activeer.
Je kunt nog finetunen in de instellingen als je wilt, maar de standaard instellingen zijn okay.
Het is fijn om een kruisje te zetten bij “Log IP adres”.
Deze plugin zorgt dat als je een keer je wachtwoord verkeerd invult, je het gewoon opnieuw kunt proberen. Maar na 3x (of een ander aantal als je de instellingen verandert) moet je 20 minuten wachten voor je het opnieuw mag proberen. Gaat het weer mis? Dan mag je het 24 uur niet proberen.
Zodoende heeft het geen zin meer om vanaf 1 computer een brute force attack te doen. Met een beetje fatsoenlijk wachtwoord duurt het immers honderden tot duizenden jaren voor iemand je wachtwoord kan raden als hij maar eens per dag een gok mag doen.
De plugin houdt de IP adressen bij, waarvandaan een mislukte login poging wordt gedaan. En kan je zelfs een mailtje sturen bij elke door de plugin tegengehouden poging!
Zo zie je hoe vaak het wordt geprobeerd en met welke gebruikersnamen. (vrijwel altijd admin).
Ben je al klant bij mij, en heb je een onderhoudscontract met me voor je WP site?
Dan hoef je je nergens zorgen over te maken. Ik heb bovenstaande veiligheidsmaatregelen natuurlijk al tijden geleden op je website geïnstalleerd.
Hmm. Dan heb je dit dus allemaal voor niks gelezen, dat is nou ook niet klantvriendelijk van me! 😉
Wil je graag het veiligheidsonderhoud van je WordPress website uitbesteden? Dat kan al vanaf 16,50 ex BTW per maand (niet voor webshops).
Neem dan alsjeblieft contact op!
Jaja, drie maanden verder, en eindelijk is nu.nl er ook achter: botnet-probeert-massaal-in-loggen-op-wordpress-sites
(Of moeten we toen.nl zeggen? ;))
Zo blijkt maar weer eens dat je belangrijke zaken beter in handen kunt leggen van iemand die er verstand van heeft. Als je moet wachten tot iets in de krant staat, ben je vaak al te laat.
Daarmee wil ik niet zeggen dat ik nu naast mijn schoenen wil lopen, maar wel dat het besmetten van de bezoekers van je website met virussen wel het laatste is wat je wil.
Is je WordPress website nog niet beveiligd? Neem dan nu contact op!
Sinds vandaag zie ik eindelijk op grote schaal brute force attacks waarbij er educated guesses naar je gebruikersnaam worden gedaan.
Ze vullen dus niet meer alleen standaard “admin” in als gebruikersnaam, en raden dan naar je wachtwoord, maar doen ook geautomatiseerde gokken naar je gebruikersnaam als die niet “admin” blijkt te zijn.
Dat doen ze tot dusver aan de hand van de tekst van je website. Ik krijg nu bijvoorbeeld pogingen met de gebruikersnaam “akadesign” en met woorden die veel op de tekst van mijn website voorkomen.
Gelukkig had ik dat al voorzien zoals je hierboven kunt lezen bij 1.4.