10 manieren om WordPress open te zetten voor hackers

10 manieren om WordPress open te zetten voor hackers
datum-geschreven 20 jan 2016

Er zijn 10 dingen die je absoluut niet moet doen als je WordPress veilig wilt houden.

  1. Je gebruikersnaam “admin” laten staan. Hier worden de meeste scripts voor opgezet, om in combinatie met de username admin een brute force attack te doen wat inhoud dat er duizenden wachtwoorden op je admin page worden afgevuurd.
  2. Brengt ons direct bij puntje 2, je admin op de wp-admin link laten staan zonder een maximaal aantal login pogingen in te stellen. Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.
  3. Je gebruikersnaam boven elk bericht zetten. Kies voor het publiceren van berichten een andere naam!
  4. Je comment area open laten staan zonder anti-spam plugin. Als je de comments niet gebruikt of er reageert haast niemand, sluit die dan af!
  5. Je inlog gebruikersnaam of wachtwoord hetzelfde noemen als de website naam. Wordt door scripts als eerste geprobeerd!
  6. Tientallen plugins inzetten. Hoe meer plugins hoe groter de kans dat er 1 tussen zit die een lek heeft. Via een lek in 1 van je plugins is het gemakkelijk om een MySql injectie te doen of bestanden op de server aan te maken.
  7. Je versie nummer van WordPress in de broncode laten staan. Dit zorgt ervoor dat een hack script direct de exploits (lekken) van die versie op kan zoeken.
  8. WordPress 3 jaar niet updaten. Dit kon nog toen WordPress net enkele jaren uit was, maar door de populariteit van WordPress gaat het niet meer. Er zijn tegenwoordig veel meer scripts voor geschreven die het internet afzoeken op WordPress sites.
  9. Illegaal plugins en premium themes downloaden en gebruiken.
    Sites die illegaal thema’s aanbieden hebben vaak hun reclame of backdoor in de website gezet. Een simpele lijn code die informatie weergeeft of zelfs doorgeeft aan de hacker.
  10. De goedkoopste hosting gebruiken. De server is ook doelwit van hackers. Via lekke WordPress websites proberen ze de server te bereiken om die aanvallen op andere sites te laten doen. Goedkope webhosts die niet bekend zijn met WordPress en niet veel tijd besteden aan beveiliging hebben vaak vertraagde servers waardoor je website traag laadt.

Dit waren ze alweer, de 10 punten die je kunt veranderen zodat de hackers het wat moeilijker hebben om je WordPress website te hacken.

Of.. je laat WPbeveiligen je WordPress preventief beveiligen waarbij deze 10 en nog 30+ andere punten worden aangepakt!

Meer WordPress: , , ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
4 Reacties
Inline Feedbacks
Bekijk alle reacties
Jarno

“Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.” Ik kan dit nergens vinden bij de instellingen van WordPress. Zoek ik niet goed of moet ik dan een plugin installeren?

Lennard

Van de week kreeg ik een mail van de webhoster waarin stond dat er ook problemen kunnen ontstaan als mijn browser een soort virus of keylogger heeft of een lekke oude versie van flash. Zelfs mijn antiviirus moet ik volgens hun mail up to date houden.. wat een baan tegenwoordig. De hackers worden weer bedankt

jean duiven

dat van de gebruikersnaam klinkt heel logisch nu ik het zo lees. nog nooit aan gedacht ga zo door met jullie blogs!