Bruteforce login beveiliging voor WordPress

Categorie: Veiligheid
Tags: bruteforce, login

Inhoudsopgave van: Bruteforce login beveiliging voor WordPress

WordPress is een populair CMS, op het web zijn voldoende statistieken te zien dat van alle CMS- sites WordPress een aandeel van tussen de 20 en 25% heeft. Dat is dus erg veel. WordPress is simpel op te zetten, maar vanwege deze populariteit is het ook bekend wat de loginpagina url is, namelijk /wp-login.php. En daar maken spambots gretig gebruik van.

 De werkwijze van spambots

Spambots proberen in te loggen op uw site (en dat is doorgaans pure willekeur) om zo berichten te kunnen plaatsen (of spam-commentaren te plaatsen, daarover gaat dit artikel niet).

Hoe komen ze aan je WordPress login naam?

Hoe komen ze aan je WordPress wachtwoord?

Wat is er zelf aan te doen?

Bijhouden wie er inlogt en als het te vaak misgaat (tijdelijk) blokkeren. Sterke gebruikersnamen en goede wachtwoorden.
Er zijn een reeks beveiligingsplugins die dit kunnen, bijvoorbeeld BruteProtect en Limit Login Attempts. Er zijn ook plugins die de wp-login.php kunnen hernoemen of met cookies werken als extra beveiligingslaag.

Bruteprotect

Simpel in te stellen, maar lijkt heel slecht om te gaan met opslag (transients) waardoor uw site zeer zeer traag kan worden en zelf niet meer kan laden omdat hij bij ieder request veel data inlaadt waardoor het PHP geheugen compleet vol loopt.

Limit Login Attempts

Simpel in te stellen, ook support voor varnish remote-proxy cache. Ondanks dat de plugin op het moment van schrijven meer dan 3 jaar oud is (en niet bijgewerkt) functioneert hij nogsteeds naar behoren. We hebben de code nagelopen, is helemaal in orde. Absolute aanrader!

Kies ook voor veilige WordPress hosting

Wat doen wij als extra Managed WordPress dienst?

We hebben IPS firewalling en WAF firewalling, zo houden we al een paar zaken bij en blokkeren we aanvallers al bij de deur.
Daarnaast maken we gebruik van blacklists op onder andere het inlogscherm en blokkeren we het zoeken op gebruikersnamen.
En .. zodra u klant bij ons wordt zetten we standaard al de plugin Limit Login Attempts klaar en WP Audit log, daarmee kunt u door de tijd zien wat er in uw site is gebeurd.
Ook is het niet mogelijk een nieuwe site aan te maken met een zwakke gebruikersnaam.


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *



Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook het lezen!


Ervaringen van anderen

?>