Beveilig WordPress

Posted By | 0 comments


De laatste tijd zijn banken negatief in het nieuws doordat hun dienstverlening in het gevaar komt bij grootschalige DDos aanvallen.
Hierachter zitten vermoedelijk kwaadwillende figuren, die zich toegang willen verschaffen tot de server om daar rekeninggegevens vanaf te plukken.

Onlangs (11 april 2013) werd geconstateerd dat er een grootscheepse ‘brute force’ aanval werd gedaan op WordPress sites. Bron: Cloudflare

Het doel van deze aanval is uiteraard niet het leegplukken van rekeninggegevens, maar waarschijnlijk om toegang te krijgen tot de servers waarop je WordPress site draait, zodat die server gebruikt kan worden om een botnet op te bouwen. Bron: Arstechnica
De methode die wordt gebruikt is dat met een botnet wordt gezocht naar WordPress installaties die als gebruikersnaam admin hebben en vervolgens met een lijst met veelgebruikte wachtwoorden proberen in te breken. Dat botnet gebruikt wisselende ip adressen, over de hele wereld en is daardoor bijzonder moeilijk te stoppen.

Admin is de standaard gebruikersnaam die als suggestie wordt gegeven door WorPress op het moment dat je WordPress installeert op een server (en ook nog eens het beheerdersaccount).
Als je dat niet hebt gewijzigd, heeft de aanvaller dus al de helft van je login te pakken, en hoeft alleen het wachtwoord nog maar te worden gekraakt.
En omdat admin vaak alle rechten heeft, kun je als kwaadwillende iemands hele site overhoop halen.

Wat kan je doen om inbraak in je site te voorkomen?

Natuurlijk is het van belang om altijd zo snel mogelijk WordPress te updaten zodra er een nieuwe versie beschikbaar is, maar dat is in dit geval geen oplossing.
De beste oplossing is om ervoor te zorgen dat op jouw site de gebruikersnaam van het beheerders account (of van andere accounts) niet admin is.

Als dat wel zo is, is het aan te raden om dat aan te passen. Dat doe je als volgt:
1). In WordPress kun je een gebruikersnaam niet aanpassen, er is dus een omweg nodig om dit goed te regelen.
2). Login met je admin account, en maak een nieuwe gebruiker aan, met een andere gebruikersnaam dan admin.
Bij voorkeur een gebruikersnaam met daarin bijzondere leestekens, een handige tool daarvoor die ik veel gebruik is de Random Password Generator. Die kun je gebruiken om een veilige gebruikersnaam mee te genereren, en daarna om een nog veiliger wachtwoord aan te maken.
3). Zorg ervoor dat je dat nieuwe account beheerdersrechten geeft.
4). Je kunt in WordPress niet twee keer hetzelfde e-mail adres gebruiken voor een login, gebruik dus een ander e-mail adres (je kunt dat later wel weer veranderen, daar kom ik zo op).
5). Loguit met het admin account, en login met je nieuwe, veilige account.
6). Verander het e-mail adres van je nieuwe, veilige account en stel een normaal leesbare ‘nickname’ in. Dat is het alias waaronder je berichten plaatst, en wat dus zichtbaar is op je site.
7). Verwijder het admin account.

Gefeliciteerd, het is nu stukken moeilijker om je site te hacken!

As aanvullende maatregel kun je deze plugin installeren: WordfenceDeze plugin zorgt voor een extra laag van veiligheid, en je kunt er ook mee controleren of je site al is geinfecteerd.

Na installatie verschijnt er een kopje Wordfence onderaan in je menu, via dat kopje kun je naar de opties van de plugin navigeren.
Je kunt een scan laten uitvoeren, Wordfence vergelijkt dan alle bestanden in je installatie met die zoals ze origineel horen te zijn. Als er een bestand wordt gevonden dat afwijkt van het originele installatie bestand wordt dat gerapporteerd en kun je actie ondernemen.

Overigens gebruik ik altijd op alle sites die ik bouw een veilige loginnaam, en een achterlijk lang hexadecimaal wachtwoord (ik heb wel eens het woord paranoïde horen vallen zelfs), omdat WordPress zo populair is dat veel hackers hun talent erop loslaten. En je kunt beter voorkomen dan genezen…