Inhoudsopgave van: Bruteforce login beveiliging voor WordPress
Categorie: Veiligheid | Tags: bruteforce, login
WordPress is een populair CMS, op het web zijn voldoende statistieken te zien dat van alle CMS- sites WordPress een aandeel van tussen de 20 en 25% heeft. Dat is dus erg veel. WordPress is simpel op te zetten, maar vanwege deze populariteit is het ook bekend wat de loginpagina url is, namelijk /wp-login.php. En daar maken spambots gretig gebruik van.
De werkwijze van spambots
Spambots proberen in te loggen op uw site (en dat is doorgaans pure willekeur) om zo berichten te kunnen plaatsen (of spam-commentaren te plaatsen, daarover gaat dit artikel niet).
Hoe komen ze aan je WordPress login naam?
- Standaard gebruikersnamen zoals admin, webmaster, WordPress, username etc..
- Uitlezen van een post_author in een bericht
- Een zoekactie in WordPress (dit is standaard functionaliteit, maar is door ons uitgeschakeld op ons platform)
- Hacks op plugins of bijvoorbeeld thema's
- "Dictionary" attacks, oftewel, ga het hele woordenboek (of persoons voornamen/achternamen lijst) na
- Raden, start met a, dan aa, dan ab etc..
Hoe komen ze aan je WordPress wachtwoord?
- Lijsten gebruiken van veelgebruikte wachtwoorden zoals password, wachtwoord, 1234, admin, letmein etc..
- Hacks op plugins of bijvoorbeeld thema's
- "Dictionary" attacks, oftewel, ga het hele woordenboek (of persoons voornamen/achternamen lijst) na
- Raden, start met a, dan aa, dan ab etc..
Wat is er zelf aan te doen?
Bijhouden wie er inlogt en als het te vaak misgaat (tijdelijk) blokkeren. Sterke gebruikersnamen en goede wachtwoorden.
Er zijn een reeks beveiligingsplugins die dit kunnen, bijvoorbeeld BruteProtect en Limit Login Attempts. Er zijn ook plugins die de wp-login.php kunnen hernoemen of met cookies werken als extra beveiligingslaag.
Bruteprotect
Simpel in te stellen, maar lijkt heel slecht om te gaan met opslag (transients) waardoor uw site zeer zeer traag kan worden en zelf niet meer kan laden omdat hij bij ieder request veel data inlaadt waardoor het PHP geheugen compleet vol loopt.
Limit Login Attempts
Simpel in te stellen, ook support voor varnish remote-proxy cache. Ondanks dat de plugin op het moment van schrijven meer dan 3 jaar oud is (en niet bijgewerkt) functioneert hij nogsteeds naar behoren. We hebben de code nagelopen, is helemaal in orde. Absolute aanrader!
Kies ook voor veilige WordPress hosting
Wat doen wij als extra Managed WordPress dienst?
We hebben IPS firewalling en WAF firewalling, zo houden we al een paar zaken bij en blokkeren we aanvallers al bij de deur.
Daarnaast maken we gebruik van blacklists op onder andere het inlogscherm en blokkeren we het zoeken op gebruikersnamen.
En .. zodra u klant bij ons wordt zetten we standaard al de plugin Limit Login Attempts klaar en WP Audit log, daarmee kunt u door de tijd zien wat er in uw site is gebeurd.
Ook is het niet mogelijk een nieuwe site aan te maken met een zwakke gebruikersnaam.
Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook lezen!