20 jan 2016
Er zijn 10 dingen die je absoluut niet moet doen als je WordPress veilig wilt houden.
- Je gebruikersnaam “admin” laten staan. Hier worden de meeste scripts voor opgezet, om in combinatie met de username admin een brute force attack te doen wat inhoud dat er duizenden wachtwoorden op je admin page worden afgevuurd.
- Brengt ons direct bij puntje 2, je admin op de wp-admin link laten staan zonder een maximaal aantal login pogingen in te stellen. Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.
- Je gebruikersnaam boven elk bericht zetten. Kies voor het publiceren van berichten een andere naam!
- Je comment area open laten staan zonder anti-spam plugin. Als je de comments niet gebruikt of er reageert haast niemand, sluit die dan af!
- Je inlog gebruikersnaam of wachtwoord hetzelfde noemen als de website naam. Wordt door scripts als eerste geprobeerd!
- Tientallen plugins inzetten. Hoe meer plugins hoe groter de kans dat er 1 tussen zit die een lek heeft. Via een lek in 1 van je plugins is het gemakkelijk om een MySql injectie te doen of bestanden op de server aan te maken.
- Je versie nummer van WordPress in de broncode laten staan. Dit zorgt ervoor dat een hack script direct de exploits (lekken) van die versie op kan zoeken.
- WordPress 3 jaar niet updaten. Dit kon nog toen WordPress net enkele jaren uit was, maar door de populariteit van WordPress gaat het niet meer. Er zijn tegenwoordig veel meer scripts voor geschreven die het internet afzoeken op WordPress sites.
- Illegaal plugins en premium themes downloaden en gebruiken.
Sites die illegaal thema’s aanbieden hebben vaak hun reclame of backdoor in de website gezet. Een simpele lijn code die informatie weergeeft of zelfs doorgeeft aan de hacker. - De goedkoopste hosting gebruiken. De server is ook doelwit van hackers. Via lekke WordPress websites proberen ze de server te bereiken om die aanvallen op andere sites te laten doen. Goedkope webhosts die niet bekend zijn met WordPress en niet veel tijd besteden aan beveiliging hebben vaak vertraagde servers waardoor je website traag laadt.
Dit waren ze alweer, de 10 punten die je kunt veranderen zodat de hackers het wat moeilijker hebben om je WordPress website te hacken.
Of.. je laat WPbeveiligen je WordPress preventief beveiligen waarbij deze 10 en nog 30+ andere punten worden aangepakt!
“Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.” Ik kan dit nergens vinden bij de instellingen van WordPress. Zoek ik niet goed of moet ik dan een plugin installeren?
WordPress heeft inderdaad geen limiet ingebouwd voor het aantal inlogpogingen.
Velen gebruiken daarom de WP Limit Login Attemps plugin om het aantal inlogpogingen te limiteren.
Echter heeft vrijwel elke beveiligingsplugin die functie, het is daarom verstandiger om direct een complete beveiligingsplugin in te zetten die meerdere factoren beveiligd.
Van de week kreeg ik een mail van de webhoster waarin stond dat er ook problemen kunnen ontstaan als mijn browser een soort virus of keylogger heeft of een lekke oude versie van flash. Zelfs mijn antiviirus moet ik volgens hun mail up to date houden.. wat een baan tegenwoordig. De hackers worden weer bedankt
dat van de gebruikersnaam klinkt heel logisch nu ik het zo lees. nog nooit aan gedacht ga zo door met jullie blogs!