Maak jouw WordPress site en blog in 5 stappen veilig tegen brute kracht aanvallen

Door Erno Hannink | WordPress blog

apr 15

Stel je voor je bent hacker of beter een crimineel en je wilt bepaalde zwaar beveiligde sites aanvallen. Dan kun je dit het beste doen vanaf zo veel mogelijk locaties op het internet.

Wil je vanaf heel veel locaties een aanval plegen, dan maak je gebruik van populaire systemen en oplossingen. Je maakt ook gebruik van de zwakste schakel in het systeem, de mens.

danger-site-entrance-ell-r-brown-4315021178-580

Alle beveiligingen die worden bedacht worden door de mens eenvoudig om zeep geholpen. Bijvoorbeeld bij het downloaden voor gratis software voor de PC, en tegenwoordig ook steeds meer voor de Mac.

Als crimineel kun je zo gebruik maken van allemaal losse PCs op het moment dat ze met het internet verbonden zijn.

Je denkt net als een ondernemer (crimineel), groots. Je wilt zo veel mogelijk. Waar je voorheen dacht aan individuele computers die toegang hebben tot het internet, denk je nu aan servers. Servers staan altijd en direct in verbinding met het internet.

WordPress als ingang

Als je dan gebruikt maakt van de meest populaire software voor websites die op deze servers staan, dan kom je al snel bij WordPress. Vooral dus omdat het populair is en de eigenaar van de site lang altijd niet de risico’s kent.

De makers van WordPress werken continue aan verbeteringen van de software voor de veiligheid. Ze moeten wel want de criminelen zitten ook niet stil.

MAARRRRR De veiligheid van iedere site kan door de beheerder eenvoudig om zeep worden geholpen door bijvoorbeeld wachtwoorden te gebruiken die bijna iedereen kan raden.

Voor WordPress 3.0 werd automatisch gebruik gemaakt van ‘admin’ als gebruikersnaam van de beheerder. Starte je een nieuwe site dan was je eerste gebruiker dus ‘admin’ en deze gebruiker is beheerder.

Tegenwoordig is dat niet meer het geval en moet je direct zelf een gebruikersnaam kiezen. Er zijn nog veel sites waar ‘admin’ de beheerder is omdat ze een site hebben geïnstalleerd voor versie 3.0 en dit niet hebben aangepast.

Een ‘Brute Force’ (brute kracht) aanval betekent niets meer dan proberen de gebruikersnaam en wachtwoord te raden door heel heel heel vaak te testen.

De meest eenvoudige oplossingen worden als eerste getest, vandaar ‘admin’ en de simpele wachtwoorden als ‘password’ of ‘qwerty’ of alle woorden in het woordenboek, om er een paar te noemen.

Nog een ingang

Als bouwer en beheerder van een site of meerdere sites maak je vaak gebruik van SFTP/FTP-software. Dit is software om de files van je computer op de server op te kopiëren.

Tot voor kort negeerde ik ook de waarschuwingen om de wachtwoorden te bewaren in de SFTP/FTP-software. Het is veel gemakkelijker en sneller om deze wel op te slaan, met één klik heb je toegang tot de bestanden op de server.

Na een interessante en tijdverslindende ervaring weet ik beter. Het bewaren van wachtwoorden, gebruiken van eenvoudige wachtwoorden, lang gebruik maken van dezelfde wachtwoorden kan je uiteindelijk veel meer tijd (en geld) kosten. Als je bijvoorbeeld een gehackte site weer moet opruimen.

Geen paniek

Ih heb een hekel aan werken vanuit angst. Het heeft dan ook geen zin paniek te zaaien. De veiligheid van WordPress is onveranderd.

Goede wachtwoorden gebruiken en deze regelmatig vernieuwen is gewoon slim. Hiervoor kun je gelukkig ook weer gebruik maken van handige middelen.

WordPress, plugins en thema’s bijhouden zodat je altijd de laatste versie hebt is ook slim.

Als je onderstaande stappen al in orde hebt is er weinig aan de hand.

Wat te doen

1. Altijd nieuwste versie WordPress

Lanceert WordPress een nieuwe versie dan kun je even wachten tot de kleine bugs er uit zijn, maar naar een paar weken moet je WordPress bijwerken.

Zorg er altijd voor dat je de plugins en je thema’s ook bijhoud. Dit zijn de gevoelige plekken van je site.

Werk nu jouw WordPress, plugins en thema’s bij naar de laatste versie. Verwijder plugins en thema’s die je niet (meer) gebruikt.

2. “Admin” gebruiker aanpassen

Kijk bij de ‘Gebruikers’ of er nog steeds een gebruiker “admin” op jouw site is. Pas deze vandaag aan naar een andere gebruikersnaam.

Met de WP Security Scan plugin kun je dit zien en snel aanpassen. De plugin laat je ook nog andere eventuele gevoelige punten van je WordPress installatie zien.

Met WP Security Scan kun je ook de database prefix “wp_” veranderen naar een meer unieke prefix. Je kunt daarnaast ook nog zien of je directories goed zijn afgeschermd. Een paar maatregelen waarmee je de bescherming van je site verder opvoert.

3. WordPress wachtwoord aanpassen

Verander nu, ik bedoel echt nu, waar wacht je nog op?, jouw wachtwoord voor je WordPress site.

Niet goed in het bedenken van een goed en veilig wachtwoord? (wie is dat wel) Gebruik dan een oplossing als deze, Wachtwoord generator.

wachtwoord generator
Let er op dat je Include Punctuation aanvinkt.

Een wachtwoord hier en een wachtwoord daar. Pff. Hoe onthoud je dat allemaal? Maak gebruik van de techniek, een wachtwoord manager.

De meest veilige wachtwoord managers vind je bijvoorbeeld in dit artikel op Lifehacker Which Password Manager Is The Most Secure?
Lifehacking.nl noemt 1Password

Matt Mullenweg zegt over stap 1 t/m 3:

“Do this and you’ll be ahead of 99% of sites out there and probably never have a problem.”

4 Beveilig en scan je site

Scan je site om te zien of er al iets aan de hand is. Mogelijk is je site al gehacked zoals ik dat twee geleden bij een aantal van mijn sites ontdekte.

Met de plugin Wordfence Security kun je een WordPress site te scannen.

Deze kun je in ieder geval installeren. Het is een zeer uitgebreide plugin en kan dus daardoor ook wat verwarrend zijn. In het ‘Options’ gedeelte van het Wordfence submenu ga je naar ‘Scans to include’ kies je alles behalve de ‘Paid members only’.

Klik dan op Scan in Wordfence en klik dan op de knop ‘Start a Wordfence Scan’.

Wordfence gaat nu jouw hele site controleren, waarbij alle bestanden worden vergeleken met de originele installatiebestanden van WordPress.org. Als jouw bestanden anders zijn dan het origineel krijg je een melding.

De belangrijkste, om direct op te reageren, worden weergegeven met een groot rood kruis.

Als je zelf dit niet kunt oplossen, laat dan je webbouwer of een andere WordPress-expert ernaar kijken. Verwijder direct eventuele infecties of hacks.

5. Maak een backup

Zorg voor een backup van je site. Dit helpt je op het moment dat het onverhoopt toch misgaat. Dan kun je in ieder geval de laatste versie terugzetten.

Een goede plugin hiervoor is BackWPup. Je kunt een hiermee een backup plaatsen in je dropbox of bijvoorbeeld op Amazon S3.

Bonus: SFTP/FTP wachtwoord aanpassen

Voor het plaatsen van de files op de server maak je gebruik van SFTP/FTP-software. De oplossing die ik ik gebruik op Windows is FileZilla (Win / Linux / Mac OS X).

Voor meer SFTP/FTP-oplossingen kijk je op Five solid FTP clients that also happen to be free

Om toegang tot je server te krijgen gebruik je ook een wachtwoord. Pas ook dit wachtwoord nu aan. Nu dus. 🙂

Verander dit wachtwoord ook regelmatig en gebruik bijvoorbeeld LastPass om je wachtwoorden te beheren.

Voor de duidelijkheid: het wachtwoord voor jouw server in het SFTP/FTP-programma moet je daar nooit bewaren (opslaan). Iedere keer als je aanmeld opnieuw het wachtwoord invullen.

Als je het wachtwoord wel opslaat in je SFTP/FTP-programma, kunnen hackers daar vaak redelijk eenvoudig weer bij.

Wil je veiliger werken dan is het gebruik van SFTP aan te bevelen boven FTP.

Bronnen

Voor dit artikel heb ik onderzoek gedaan en onder andere onderstaande artikelen gebruikt:
Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen
E-mail van Sandi Krakowski: “WordPress Hacking Running Rampant- THIS Will Secure You!”
WordPress.org codex: Brute Force Attacks
Post Matt Mullenweg Passwords and brute force
VPS.net (hosting) [Important] Secure Your WordPress Password Immediately – Global WordPress Brute Force Attack
Venture Beat WordPress admin accounts target of botnet attacks (updated)

Follow

About the Author

Erno is de Business Coach voor ondernemers met 5-25 medewerkers. Ik help ondernemers bij zelfzuchtige beslissingen voor meer vrijheid. Mijn unieke eigenschap is om lastige vragen te stellen en je richting actie te duwen. Erno is auteur van 7 boeken, 1000+ artikelen en host van de podcast de Erno Hannink Show. Lees meer over Erno

Leave a Comment:

(10) reacties

Ruben Woudsma 15 april 2013

Prima artikel, maar mis de keuzemogelijkheden. Primair volstaat het wijzigen van je gebruiker met de naam ‘admin’. Hiervoor kan je gemakkelijk een update statement uitvoeren. Verder zijn er veel plugins, maar welke gebruik ik nu waarvoor?

Voor wat betreft de bonustip, let dan ook op het volgende wanneer je gebruik maakt van FileZilla: http://rubenwoudsma.nl/filezilla-slaat-wachtwoorden-op-in-platte-tekst/

Reply
    stef 15 april 2013

    Hoi Ruben, Als je Wordfence gebruikt kom je echt al een heel eind. Echter moet je wel een veilige WordPress installatie hebben gedaan, wat veel mensen niet weten. ook de wp-config handmatig aanpassen.

    Groeten, Stephen.

    Reply
    Erno Hannink 16 april 2013

    @Ruben Ik heb de lijst van plugins die WordPress.org zelf noemde verwijderd om het overzichtelijker te maken.

    @stef hoe heb jij de wp-config beschermd?

    Reply
      stef 16 april 2013

      Hoi Erno,
      Als je met een .htaccess bestand werkt in de root van je server moet je het volgende toevoegen:

      order allow,deny
      deny from all

      Daarnaast kan je de wp-config (Als je een WordPress installatie hebt gedaan in de root zoals public_html en niet in een submap) verplaatsen naar één niveau boven de root. Deze moet je dan CHMOD-den naar 400 of 440. WordPress is slim genoeg om de wp-config daar te vinden.

      De rest van de aanpassingen blijven hetzelfde voor een veiligere installatie.

      Je kunt wp-config ook op een willekeurige plek neerzetten, maar dat is een heel ander verhaal!

      Reply
stef 15 april 2013

Hoi Erno,

Goed initiatief van je om hier een stuk over te schrijven. Ik schat zelf in dat dit nog maar het begin is, aangezien steeds meer mensen online gaan en WordPress toch wel heel gemakkelijk is. Voor het beveiligen van WordPress heb ik zelf een stuk geschreven. Het betreft de beste beveiligingsplugins voor WordPress van 2013. Alleen met een beveiligingsplugin zijn we er niet natuurlijk. Als WordPress expert vind ik het belangrijk dat men ook weet hoe je een veilige WordPress installatie doet. Dat is wellicht nog veel belangrijker. Succes verder aan alle lezers.

Stephen.

Reply
Peter Luit 16 april 2013

Weet dat veel van de zogenaamde ‘security’ plugin die de gebruikersnaam ‘admin’ zouden kunnen veranderen, veelal niet werken op multisites. Dat geldt ook voor het veranderen van de database pre-fix. Dus let op met het gebruik van deze gereedschappen in dergelijke omgevingen.

Reply
    Erno Hannink 16 april 2013

    Dank je wel voor de aanvulling Peter. Ken je een plugin die wel goed werkt in een multi site omgeving?

    Reply
maaike 16 april 2013

dank voor de tips!
ik ga ze vlug toepassen 🙂

Reply

[…] Maak jouw WordPress site en blog in 5 stappen veilig tegen brute kracht aanvallen. […]

Reply
maaike 6 december 2013

Een vraag:

Ik gebruik sinds kort infinitewp.com. Erg prettig omdat ik zodoende plugins in meerdere sites tegelijk kan updaten.

Bij de installatie daarvan moet ik de ftp gegevens invoeren in wp-config.
http://infinitewp.com/knowledge-base/adding-ftp-details-for-auto-update/

Is dat veilig?

Reply
Add Your Reply

Leave a Comment: