Ooit gehoord van dieven die een afgesloten huis proberen binnen te komen door een heleboel verschillende sleutels uit te proberen? Dat is ongeveer hoe een brute kracht aanval op WordPress websites werkt. Aanvallers richten zich op gebruikers met zwakke beheerderswachtwoorden om zich met brute kracht een weg naar binnen te banen. Als u zich afvraagt hoe het zover heeft kunnen komen, laten we het even op een rijtje zetten. Een aantal versies geleden gebruikte WordPress een standaard gebruikersnaam genaamd 'admin' voor zijn gebruikers. Aanvallers maakten misbruik van deze accounts door verschillende wachtwoorden te gebruiken voor dezelfde gebruikersnaam en zo toegang te krijgen tot alles wat hen toegang gaf.
Hoe Brute Force aanvallen tegen WordPress voorkomen?
- De eerste stap zou zijn om uw gebruikersnaam te veranderen als u nog steeds 'admin' gebruikt en in plaats daarvan iets uniekers te gebruiken. Dit elimineert de mogelijkheid dat je in de kwetsbare categorie zit waar aanvallers automatisch naar proberen te kijken. Het is ook de krachtigste stap die je kunt nemen om jezelf tegen deze aanval te beschermen.
- Gebruik geen zwakke wachtwoorden! Zeker, '123456' is makkelijk te onthouden, maar het lijkt ook op het idee om je huissleutels aan een bekende dief te geven. Als u niet aan iets moeilijks kunt denken, gebruik dan wachtwoordgeneratoren om iets sterks te bedenken dat niet gemakkelijk te raden is. WordPress maakt het ook eenvoudiger om te begrijpen hoe sterk uw wachtwoorden zijn met een meter die verschijnt wanneer u er een probeert te maken.
- Houd uw WordPress en computersoftware versies bijgewerkt en zorg ervoor dat u 'twee-factor authenticatie' inschakelt als u WP.com gebruikt. Dit zou je een signaal geven als een poging afkomstig is van een ander apparaat/regio dan het jouwe.
- Bel uw hosting provider als u het gevoel dat uw admin pagina's zijn geworden moeilijk in te loggen en lijken te zijn traag. Zij zouden u in de juiste richting moeten kunnen sturen.
- Gebruik een extra tool of een plugin die het aantal inlogpogingen beperkt. Als uw website niet vereist dat meerdere mensen inloggen, kunt u zelfs plugins toevoegen die alle pogingen blokkeren (andere dan de uwe) om toegang te krijgen tot wp-admin.
- Als u in het verleden slachtoffer bent geweest van dit soort aanvallen en een patroon hebt opgemerkt van IP-adressen of regio's waar de aanvallen vandaan komen, kunt u een extra beschermingslaag toevoegen. Dit kunt u doen door een 'blocklist' te maken van IP-adressen die vanuit die regio's toegang proberen te krijgen tot uw website. Helaas blokkeert u op die manier ook een aantal echte gebruikers die uw website willen bezoeken.
