Raden van namen via wp-login.php tegengaan

Inhoudsopgave van: Raden van namen via wp-login.php tegengaan

Categorie: Veiligheid | Tags: beveiliging, bruteforce, login, raden, username

Goed nieuws! Vanaf nu (14 juli 2016 red.) hebben we de meldingen die je ziet bij het inloggen aangepast. Het is daarmee niet meer mogelijk om via een normale login poging (door het invullen van gebruikersnaam en wachtwoord) een gebruikersnaam te raden.

Uiteraard had je al de plugin Limit login attempts in gebruik, die blokkeert pogingen om in te loggen na een paar foute inlogs, zodat het lastiger wordt om binnen hele korte tijd wachtwoorden te raden en in te tikken. En daarnaast ben je bij ons ook verzekerd van onze 2 factor login. Zelfs als iemand je gebruikersnaam en wachtwoord weet moet die persoon (of geinfecteerde computer) het token hebben.

Hoe werkt het?

We nemen een werkend voorbeeld van http://blogs.mathworks.com/ , de mensen achter Matlab. We bezoeken het blog van schrijfster Loren op http://blogs.mathworks.com/loren/ en vervolgens gaan we naar http://blogs.mathworks.com/wp-login.php

Vervolgens proberen we of 'loren' en bestaande inlognaam is, we vullen 'loren' in als gebruikersnaam en 'test' als wachtwoord. Laten we hopen dat die ons niet meteen laat inloggen in de wp-admin ..

Login poging om te zien of loren als gebruikersnaam bestaat

Na het klikken op Log in zien we de volgende melding:

Loren is een correcte login naam

Oftewel, loren is een correcte login naam 🙂 Nu was dat in dit geval niet extreem lastig, maar je zou een hele lijst van veelgebruikte gebruikersnamen kunnen proberen. Dat we het wachtwoord nu niet weten is niet erg, dat is iets voor een stukje cybercrime of social engineering. Daar gaan we hier niet op in.

Hoe werkt het bij ManagedWPHosting.nl

Wij hebben een kleine wijziging in de tekst die je ziet. Ik laat het hierbij zien op een testdomein.

Eerst maken we een nieuwe WordPress gebruiker aan, met naam 'tester' en een mooi aangemaakt wachtwoord.

Nieuwe WordPress gebruiker aanmaken

Vervolgens loggen we uit en gaan we naar de login pagina. Hier gaan we kijken of we kunnen zien of 'tester' een juiste loginnaam is, net zoals we dat net bij Loren deden.

Inlogpoging met Tester als gebruikersnaam

We klikken op Log in en voila! -> geen enkele bevestiging dat 'tester' een bestaande gebruikersnaam is. Dat zet een aanvaller op een verkeerd spoor.

Geen lek van de gebruikersnaam

Ik wil ook een betere beveiliging in mijn inloggen!

Allereerst: Goed dat je je inloggen wil beschermen. Ben je al klant bij ons, dan hoef je niets te doen, het staat al op je site, inclusief onze 2 factor login en checks of je gebruikersnaam wel sterk is.

Nog geen klant? Haast je dan naar onze WordPress hostingpakketten en richt je op core business, dan doen wij de rest.

Schrijf je in voor onze nieuwsbrief

Ontvang ook onze laatste handige tips en WordPress nieuwtjes.

  • Maximaal 1x per week
  • Makkelijk uitschrijven

Schrijf je in voor onze nieuwsbrief

Een ogenblikje

Bedankt voor je inschrijving!

 

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *


Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook lezen!

Ervaringen van anderen