Featured image for 10 manieren om WordPress veilig te houden in category BEVEILIGEN

10 manieren om WordPress veilig te houden

/2 Comments/in , , , ,

WordPress is als basis een redelijk veilig cms. Er worden geregeld updates gelanceerd waarbij de programmeurs achter WordPress samen werken met de community om beveiligingslekken op te sporen en op te lossen.

Nu is het aan jou om WordPress veilig te houden, als webdesigner of als eigenaar van de website heb je de verantwoordelijkheid diverse stappen te ondernemen en te onderhouden om hackers geen kans te geven.

Wij hebben een lijst samengesteld van 10 manieren hoe je WordPress veilig kunt houden.

  1. Update geregeld

    Met geregeld doelen we minimaal op de updates van WordPress die te maken hebben met de beveiliging.
    Security releases noemen ze dat.
    In het changelog kun je zien welke aanpassingen gedaan zijn. Als het gaat om beveiligings issues kun je het beste updaten.
    Bekijk de changelog hier.

  2. De wachtwoorden

    WordPress vereist nu al een goed wachtwoord voordat je het kunt opslaan.
    Maar nog kun je namen gebruiken zoals de domeinnaam of cijfers zoals 12345.
    Doe dat niet!! Het is 1 van de eerste dingen die bij brute-force aanvallen worden geprobeerd.

  3. Maximaal 1 website per hosting pakket

    Je kunt meerdere WordPress installaties op 1 hosting pakket zetten. Dit kan middels een MultiSite maar ook door mappen met WordPress te vullen en daar websites op te bouwen.
    Maar vergeet niet dat 1 besmette WordPress website zo gemakkelijk over kan springen naar andere mappen met WordPress installaties.
    Heel vaak worden bij een lek direct alle sites voorzien van hack bestanden. Dat bezorgt je veel werk en problemen.

  4. Pas je CMS aan

    Elke standaard installatie van WordPress is hetzelfde. Dat weten hackers ook! Het admin is te vinden onder /wp-admin of op wp-login.php
    En ook de author/administrator is meestal gemakkelijk te vinden.
    Tevens zijn de beschrijfbare uploads mappen evenals de theme en plugin mappen algemeen bekend.
    Installeer niet zomaar elke plugin

  5. Kijk eerst na of er recenties van een plugins zijn, hoeveel stemmen een plugin positief of negatief heeft.
    Elke plugin is een nieuwe open deur voor hackers!
    LESS IS MORE in dit geval.

  6. Backups

    Als er wat gebeurt, ben je bijzonder blij als je een backup terug kunt zetten.
    De backup bevat vaak nog niet de besmette bestanden en dit scheelt je veel herstellen.
    Beveiligen na het terugzetten van een backup is nog altijd nodig!

  7. De schrijfrechten goed zetten

    Als alle mappen open staan en zelfs beschrijfbaar zijn door anderen heb je een groot risico.
    Zo moet de wp-config en de .htacces op CMOD 444 staan.
    Het lezen en uitvoeren maar NIET schrijven zorgt ervoor dat veel hacks buiten de deur blijven of zich niet kunnen verspreiden.

  8. Toegang tot de server ontzeggen

    Als je de server niet goed configureert, staat die toe dat alle mappen bekeken kunnen worden door iedereen. Door middel van de HACCESS (Linux), NGINX.conf of in het geval van een windows server de WEB.config te configureren kun je instellen dat diverse mappen niet door te lezen zijn door anderen. Zeer belangrijk aangezien hackers en bots anders je theme en plugin mappen door gaan bladeren naar mogelijke lekken.

  9. Koop premium plugins en themas

    Het illegaal downloaden van thema’s en plugins is erg makkelijk en lijkt goedkoper, maar uiteindelijk is het duurkoop aangezien de criminelen die deze aangekochte thema’s en plugins aanbieden met een backdoor of reclamescript waarmee ze je WordPress website op ieder willekeurig moment kunnen aanpassen of doorlinken naar hun eigen sites.

  10. Een beveiligingsplugin gebruiken

    Een beveiligingsplugin zorgt ervoor dat veel van de bovenstaande punten geregeld worden.
    Een goede beveiligingsplugin voor WordPress zorgt bijvoorbeeld voor de meest belangrijke punten
    * Dat je servermappen afgeschermd worden voor hackers
    * Dat er log bestanden bijgehouden worden van je website
    * Dat gebruikers die proberen in te breken op de blacklist komen
    * Dat bestanden gecontroleerd worden op hacks
    * Dat verdachte aanvragen en injecties worden geblokkeerd
    * Dat de database geregeld gecontroleerd
    * En nog 100+ functies

    Maar let wel op, een beveiligingsplugin werkt preventief, en is geen oplossing als je WordPress al gehackt is.

Slot

Preventief kun je veel doen om het een stuk moeilijker te maken voor hackers en hackbots. De eerste punten uit onze top 10 kun je zelf doen, de overigen kun je over laten aan een goed ingestelde beveiligingsplugin.

Een oud Nederlands gezegde wat hier zeker voor spreekt: voorkomen is beter dan genezen

Featured image for WordPress is gehackt! Wat nu? in category BEVEILIGEN

WordPress is gehackt! Wat nu?

/7 Comments/in , , , ,

Als je WordPress website gehackt is, kom je in een wereld terecht waar je als gewone WordPress gebruiker geen zicht op hebt.

95% van de WordPress ontwikkelaars die jaren lang websites ontwerpen en programmeren, staan voor raadsels als het gaat om beveiliging en hacks in WordPress.

Hoe komt dat?

De hacks die ontwikkeld worden komen niet allemaal uit de handen van een tiener op een zolderkamertje.

In landen zoals Rusland, Azië, China, America waar briljante mensen wonen worden veel hacks geprogrammeerd.
Die hacks worden via het internet verspreid en gaan daarna van server naar server, van website naar website.

Welke personen hacks maken:
✓ Programmeurs die geen werk meer hebben
✓ Teams uit voormalige webbureau’s die zonder werk zitten
✓ Sociaal geïsoleerde personen die 14 uur per dag achter de computer zitten
✓ Huisvrouwen die hun kinderen te eten moeten geven

hackers

Personen die weten hoeveel geld er te verdienen valt als je WordPress sites “voor je laat werken” door reclame te versturen of te linken naar websites met producten.

WordPress is gehackt: Wat was de motivatie?

Zoals je hierboven al hebt kunnen lezen zijn er diverse landen waar wel een computer beschikbaar is en internet maar niet voldoende werk. De motivatie is dus geld.

Maar een heel klein deel van de hacks is geprogrammeerd uit eerzucht, de wens om een “beroemde” hacker te worden.

WordPress is gehackt: Hoe vaak komt dat voor?

Als je bedenkt dat een hack van de Revolution Slider binnen 1 week meer als 100.000 lekke websites opleverde en er jaarlijks het 100 voudige aantal websites lek gaan en gehackt worden.. kun je concluderen dat websites redelijk vaak gehackt worden.

In een release bericht voor de 4.4 van WordPress org deze maand stond het volgende:
WordPress versions 4.4 and earlier are affected by a cross-site scripting vulnerability that could allow a site to be compromised.

Kortom weer een lek gevonden in WordPress, snel updaten dus! En wachten tot de hackers weer een nieuw lek hebben gevonden in de nieuwe release?

De Securi Brute Force Monitor toont:

Het aantal gemelde Brute Force aanvallen (Alleen al op de securi beveiligde sites) piekte het laatste half jaar van 2015 op 35-50 miljoen aanvallen per dag.
securi brute force

WPscan database van plugin & WordPress lekken

De teller van lekke plugins en WordPress releases staat nu op 4054. Helaas ook een groeiend aantal.

wpscan teller

WordPress is gehackt: Zeker weten?

Als er onverwachtse wijzigingen in je WordPress website te zien zijn, denk je wellicht direct: Mijn WordPress is gehackt!

Maar soms komt het door een plugin update of door een botsing tussen 2 plugins, of een collega heeft een aanpassing aan de website gedaan zonder dat te zeggen.

Het is dus belangrijk vast te stellen of de website echt gehackt is.

Vaststellen of je WordPress website gehackt is

Een goede scanner voor WordPress hacks is de Securi Malware scanner.
De Securi Malware scanner controleert je WordPress website op veel punten en geeft het vaak aan wanneer je WordPress gehackt is.

Maar 100% garantie geven ze niet en code op de server wordt niet allemaal gescand, daarom is het altijd belangrijk om ook deze onderstaande 4 punten te controleren.

  1. Er staan links in je website die er niet horen, denk aan reclame voor producten of datingdiensten
  2. Je website verstuurt spam naar onbekende adressen
  3. Je website verwijst op de mobiel of tablet naar een andere website
  4. Er zijn gebruikers aangemaakt met administrator rechten die je niet kent

WordPress is gehackt: de schade in kaart brengen

voorbeeld hacken

Het is belangrijk dat je erachter komt waar de hack allemaal invloed op heeft gehad, kijk hiervoor op de:

  1. Pagina’s
  2. Nieuwsberichten
  3. Database
  4. Admin gebruikers
  5. Code van het thema
  6. Bestanden op de server

Toelichting: Soms heeft een hack een injectie gedaan in de database waardoor elke pagina reclame toont, soms wordt het in de theme gezet en daardoor op elke pagina geladen.

In enkele gevallen worden er nieuwe gebruikers of backdoors aangemaakt.

Kijk hiervoor naar de wijzigingsdatum van de bestanden op de server, en voor de overige punten in je administratie panel van WordPress.

WordPress is gehackt: de website herstellen

Maak voordat je aanpassingen aan je website gaat verrichten altijd eerst een backup van alle bestanden op je server en de gehele database!!

Voor het herstellen van de website is het belangrijk dat je weet waar de hack te vinden is.

Als je de stappen hebt doorlopen voor het in kaart brengen van de schade, kun je beginnen met het herstellen van je gehackte WordPress.

Het herstellen van je WordPress website kun je op de volgende manier doen

  1. Zet de core bestanden van WordPress opnieuw op je server. Zo ben je er zeker van dat de hacks eruit zijn en dat je website up-to-date is.
  2. Probeer zoveel mogelijk plugins te vernieuwen.
  3. Vernieuw je thema indien mogelijk, let hierbij op dat je thema misschien codering op maat bevat en dat een nieuwe release van hetzelfde thema ook wel eens aanpassingen bevat.

Even tussendoor, een stukje positiviteit!

Wij van WPbeveiligen willen dit momentje even pakken om een positief punt van WordPress te belichten, te midden van alle ellende die je meemaakt als je dit leest wanneer je website gehackt is.

Het is namelijk zo dat WordPress gratis te downloaden is, en tevens meer dan 42.509 gratis plugins biedt!

Met de gratis en premium plugins die ontwikkeld zijn voor WordPress kun je als bedrijf tot ongekende grootte groeien zonder ongekende bedragen te betalen!

wordpress plugins

En vergeet ook niet de artikelen niet die WPbeveiligen schrijft om je op de hoogte te houden, je te behoeden voor de problemen van WordPress en om je te helpen je WordPress website te beheren.

Maar nu weer even verder tot de orde van de dag:

WordPress is gehackt: de gevolgen terugdraaien

Als je WordPress website gehackt is, heeft dat niet alleen gevolgen voor de weergave van je website maar ook op de status in Google en bij Blacklists.

Google kan je website weergeven als schadelijk.
google gehacktWanneer je website helemaal vrij is van hacks kun je de “Google webmaster tools” gebruiken om je website weer als veilig te laten markeren. Het kan dan nog enkele uren duren voordat je website weer als veilig in Google verschijnt maar het is de snelste manier.

Op de blacklist staan, verhindert het verzenden van mail.
geen mailHet is belangrijk dat je bij een dienst zoals de “mxtoolbox blacklist check” controleert of je op een lijst staat.
Als je op een blacklist lijst staat, komt je mail namelijk vaak niet bij anderen aan, veel mail filters gebruiken de blacklists als referentie of een verzender en de mails veilig zijn.
Als je op de blacklist staat, kun je een de-listing aanvragen.

WordPress is gehackt: Herhaling voorkomen

 

Voorkomen dat je WordPress gehackt wordt is het aller belangrijkste. Je WordPress website laten herstellen kost veel meer tijd en geld.

Een goede anti-virus voor je WordPress website en je server is belangrijk. De anti-virus houdt aanvallers tegen, houdt bij welke bestanden aangepast worden en kan injecties en hackpogingen voorkomen.

Featured image for WordPress sneller met php 7 in category BEVEILIGEN

WordPress sneller met php 7

/3 Comments/in

PHP 7 is niet zomaar een release zoals de releases na PHP 5!
PHP 7 is op diverse fronten tot wel 3x sneller, wat belangrijk is voor WordPress omdat WordPress buiten de database om volledig op php draait!

De laadtijd, de reactietijd van PHP 7 is enorm verbeterd en het geheugen dat PHP 7 verbruikt om te functioneren is aanzienlijk verminderd. Dat betekent dus een snellere verwerking van je WordPress website en minder capiciteitsverlies op de server waardoor die sneller blijft.
Een win-win situatie!

snelheid php7

Waarom WordPress niet simpelweg laten cachen?

Hoewel een statische pagina al een stuk sneller laadt kan het niet op tegen PHP 7 aangezien het nog gecached moet worden en de server alsnog actief is en zo snelheid verliest.

Tevens gaat het vooral om de responstijd van PHP 7 die stukken sneller is. En dat is waar het allemaal om draait, die eerste seconden.

Wat is een seconde meer-of-minder?

Als je denkt aan de snelle internet verbindingen en aan de snelle moderne computers zou je denken dat alles snel genoeg is.

Echter is het verschil tussen een laadtijd van 2-3 seconden en een laadtijd van 5-8 seconden net het verschil wat ervoor kan zorgen dat de bezoeker van een website afhaakt of een site opzoekt die sneller reageert.

Ja, we zijn inderdaad al zo ongeduldig geworden!

Google weet dit en geeft snellere websites daarom voorrang.

Uiteindelijk gaat het dus niet meer om die paar seconden maar om bezoekers, potentiële klanten en om je positie in Google. Kortom: cash!

 

Featured image for Een spam bestandje in mijn site, gelukkig geen probleem? in category BEVEILIGEN

Een spam bestandje in mijn site, gelukkig geen probleem?

/6 Comments/in , , ,

Als je geen webprogrammeur bent, merk je het niet als er een spam bestandje in je website zit.

Het werkt op de achtergrond van je website waardoor je geen idee hebt dat het er zit maar ondertussen…

Wat doet een spam bestandje

Per dag zoveel mogelijk mails versturen naar e-mailadressen. Met als nadelig resultaat dat alle mails die verstuurd worden ervoor zorgen dat je website op een blacklist terecht komt.

Het bestandje doet niets meer of minder dan zoveel mogelijk spam (mails) versturen.

Een blacklist is een service die ervoor in het leven geroepen is om servers te stoppen die gehackt zijn en/of spam versturen.

De gevolgen als een spam bestandje een tijdje spam verstuurt

Wat dus betekent dat je geen mails meer kunt verzenden en ontvangen via je website. Want je bent op een blacklist terecht gekomen met je website of server.

Je contact formulieren komen niet meer aan, de mail van klanten naar jouw e-mailadres komen niet meer aan..

En als het spam bestandje maar lang genoeg de tijd heeft pakt zelfs Google het op en zal je website aangegeven worden als Malware in de zoekmachine.

google-bescherming-wordpress

Hoe komt dit spambestandje op mijn server?

Een spam bestandje is een stuk php code dat door middel van een lek in WordPress op de server gezet is. Of als code bijgeschreven is in een bestaand WordPress bestand.

Staat mijn server of website op de blacklist?

Dit kun je (op moment van schrijven) gratis controleren via de website van MX Toolbox. Die controleert of je website op de grootste blacklists staan.
mxtoolbox

 

Als je website op de blacklist staat, is het niet alleen een kwestie van een de-listing aanvragen om er vanaf te komen, het is vooral belangrijk dat je eerst het probleem verhelpt voordat je de de-listing aanvraagt aangezien ze je er anders weer net zo snel opzetten waarna een de-listing langer zal duren.

Mijn website beveiligen tegen hackers en spam bestanden

Je WordPress website beveiligen is zeer belangrijk. Het voorkomt dat scripts of hackers gebruik kunnen maken van de open deuren (exploits) in WordPress.

Bij een beveiliging is het vooral belangrijk dat de website niet alleen dicht gemaakt wordt maar dat er ook wordt gekeken op de server of er niet al bestanden staan die ervoor zorgen dat je een backdoor in je website hebt.

Wij kunnen kunnen je website beveiligen of ervoor zorgen dat je van de spamlist af komt! Aangezien wij tientallen websites beheren voor klanten en weten wat de hackers en scripts doen, kunnen wij je website beveiligen en controleren op backdoors.

Neem contact op!

Featured image for De onzichtbare iFrame hack in category BEVEILIGEN

De onzichtbare iFrame hack

/3 Comments/in , ,

Het is 1 van de meest effectieve hacks, de “De onzichtbare iFrame hack”.

Waarom is de iFrame hack zo effectief?

De iFrame wordt over de gehele browserbreedte en hoogte uitgespreid.
Kortom, waar een bezoeker ook klikt, hij komt op de reclame campagne van de hacker uit.

En.. er is meer.. helaas

De iFrame wordt gereguleerd met een cookie en dus maar 1x weergegeven. Een scanner, jij zelf, een beveiliger zal de site maar 1x zien en daarna niet meer waardoor de illusie gewekt wordt dat het probleem tijdelijk was of is opgelost.

De meesten zullen gewoon denken dat ze misschien verkeerd hebben geklikt. En gaan hopelijk terug naar je website.

Het effect van de hack

Sommige bezoekers, 1 op de 1000 heeft misschien het idee dat hij goed zit en neemt een dienst of product af bij de website waar hij eigenlijk helemaal niet wilde/hoorde te zijn.
En dan is de hacker, maker van het script weer blij want daar doet hij het voor.

Een heel klein stukje code in een JS file

Een javascript bestand (JS file) wordt aangevuld met een stuk code dat een iFrame over je gehele website plaatst.
En je kunt zoeken wat je wilt, het is maar een heel klein toegevoegd stukje code dat dit regelt, in een al bestaand bestand wat in de site thuis hoort.

Gedecodeerd door Sucuri ziet het er zo uit:

klik code

Een goede methode om van de hack af te komen

Je kunt gaan zoeken in je JS bestanden, maar het beste is gewoon om de JS bestanden allemaal te vervangen voor nieuwe schone die je download van de officiële website van WordPress of van het thema.

Een iFrame hack voorkomen

Je zit er natuurlijk niet op te wachten dat de hack een week later weer in je WordPress website zit.

Update daarom al je plugins, je thema en je WordPress.

En zet een goede WordPress beveiligings plugin in.

Featured image for Hack bestanden verwijderen uit WordPress in category BEVEILIGEN

Hack bestanden verwijderen uit WordPress

/4 Comments/in

Aan de namen van de hack bestanden kun je terugzien dat het gaat om programmeurs, er zit in 50% van de hack bestanden een logische structuur die je als programmeur ontwikkelt.

Enkele van de meest voorkomende hack bestanden:

  • test.php
  • cache.php
  • files.php
  • options.php
  • view.php
  • diff.php
  • start.php
  • plugin.php

Let op! Deze bestanden zitten ook gewoon in WordPress dus verwijder ze niet zomaar op basis van de naam.

Hoe weet je dan of het een hackfile is?

Er staat 90% van de keren een rommelige brei van code in. Een base64 gecodeerde code zonder logica of opmaak.

code voorbeeld

Waar kan ik deze hack bestanden opzoeken in mijn site?

In elke map die er is. Hoewel de uploads map favoriet is, aangezien die altijd beschrijfbaar is, plaatst een hacker/hackbot de files in je gehele website.

Als je de bestanden gestructureerd wilt verwijderen

Maak eerst een backup!!

Je kunt je WordPress website in 5 delen opsplitsen:

  1. WordPress zelf (probeer die volledig te vernieuwen)
  2. De plugins map
  3. De themes map
  4. De uploads map
  5. De container mappen

De plugins map

Daar hoort alleen een index.php te staan en de plugins.
Vernieuw die waar mogelijk, of kijk op wijzigingsdatum om de hackfiles er tussenuit te halen.

De themes map

Daar staat ook een index.php en 1 thema.
Verwijder de thema’s die je niet gebruikt!

De uploads map

Daar horen GEEN php bestanden te staan. Ieder php bestand kun je verwijderen.

De container mappen

De wp-content heeft vaak alleen een index.php en de mappen 2,3,4 die boven genoemd zijn.

De languages map hoort alleen taalbestanden te bevatten en geen php.

De upgrade map wordt alleen gebruikt voor tijdelijke upgrade bestanden maar is normaliter leeg.

Slot

Het is een behoorlijke klus en vereist nogal wat kennis om de hackfiles er ALLEMAAL uit te halen.

En dan hebben we het nog niet eens over de lijnen hack-code die IN je bestaande bestanden gezet worden.. Ook die kun je vinden door te kijken naar wijzigingsdatum.
En.. die code wordt geïnjecteerd en komt daardoor vaak boven of onderaan de originele code te staan.

Hoe meer je weet hoe gemakkelijker het is om hackfiles te verwijderen.

Succes!

Featured image for Moet ik WordPress update bijhouden? in category BEVEILIGEN

Moet ik WordPress update bijhouden?

/4 Comments/in , , ,

De heren die WordPress ontwikkelen zijn zeer actief en houden WordPress soms wel maandelijks up-to-date.

En dan hebben we het alleen al over de updates voor “mogelijke” veiligheidsproblemen die ontdekt zijn door de community.

Hoeveel WordPress updates we hebben gehad?

Veel! Kijk maar eens in het release log.

WordPress laat er geen gras over groeien als ze te weten komen dat er een nieuwe mogelijkheid is om het systeem te hacken.
En dit is goed!

Vanzelfsprekend?

NEE, wij draaien al een jaar of 10 mee en wij zien al jaren plugins en thema’s die zeer zeker niet goedkoop zijn maar niet ge-update worden terwijl de lekken al maanden bekend zijn!
We hebben het niet over lekken die ze in hun mailbox krijgen, nee over lekken die op het forum gemeld worden en dus door iedere hacker gelezen kunnen worden…

Moet ik iedere WordPress release updaten?

Het is aan te raden om je WordPress geregeld te updaten. Maar direct na iedere release heeft ook zo zijn risico’s.
Soms sluipen er fouten in de nieuwe release en gaat er wat mis in je WordPress, het is niet onverstandig om even enkele dagen te wachten voordat je update of eerst te kijken of het een veiligheids update betreft of dat er alleen “fancy” nieuwtjes inzitten voor de blogger.

Help! Ik krijg een foutmelding na het updaten!

Dat komt ook geregeld voor, wellicht is je serverruimte niet voldoende of is de nieuwe release niet helemaal ge-update door een serverstoring.

Wat je dan kunt doen is WordPress handmatig via de FTP uploaden.

Mijn website is in gevaar!

Je kunt verontrustende e-mails krijgehelp wordpress is niet veilign van je hosting dat er iets mis is met je WordPress site. Dat er bestanden staan die een risico vormen.
Deze mails worden soms gegenereerd door software van de hosting die niet alleen hack files detecteren maar ook de nieuwste potentiële lekken.

“Een mogelijk lek” hoeft niets te betekenen als je WordPress goed beveiligd is.
Maar aangezien ze niet rekening houden met de beveiliging van je WordPress maar simpelweg welke bestanden ze zien kan het soms verontrustend zijn.

Zorgen dat je geen zorgen hebt

Als je de volgende regels aanhoudt hoef je niet te schrikken als er een melding komt dat je WordPress alweer “verouderd” is of een mogelijk lek bevat.

  1. Maak geregeld backups
    Die kun je terugzetten mochten er toch problemen komen door een lek.
  2. Update je WordPress geregeld
    Vooral als er een veiligheidsrelease is.
  3. Gebruik niet te veel plugins
    Iedere plugin is een extra mogelijkheid tot een lek, een mogelijk injectie-punt of XSS
  4. Beveilig je Website met een professionele security plugin
    Een goede security plugin is Ithemes Security.
Featured image for Een Brute Force aanval voorkomen in category BEVEILIGEN

Een Brute Force aanval voorkomen

/3 Comments/in , ,

Hoe blokkeer je een Brute Force aanval?

Een Brute Force aanval kun je blokkeren door een beveiligingsplugin te gebruiken die na 5-10 mislukte inlogpogingen een tijdelijke of permanente blokkade inzet voor de computer waar de aanval vandaan komt.

Dit gebeurd op basis van IP, eerst tijdelijk en wanneer een Brute Force aanval door blijft gaan, wordt dit een permanente ban.

De username verbergen

De beveiligingsplugin die wij gebruiken zorgt er meteen voor dat je username niet overal te zien is. Dit is een heel belangrijk punt aangezien dit de eerste sleutel is tot een Brute Force aanval.

De username is gemakkelijker te achterhalen dan je zou verwachten, denk standaard eens aan de Admin als username die nog velen gebruiken, of aan de username die eigenlijk gewoon dezelfde naam is als de website..

Hopelijk herken jij je niet in deze 2 veelgemaakte fouten.

Maar zelfs nog, als je een username hebt die zo lang is als het woordenboek.. de usernames zijn gemakkelijk uit de database te halen, of van de author page, of van de naam boven de blog berichten.

Tevens is er hackers software die de usernames tevoorschijn kan halen..

Het is zoals het naambordje op je huis, gemakkelijk te lezen maar zorg ervoor dat ze het wachtwoord (de sleutel) niet zomaar in handen krijgen!

De login pagina verbergen

Het is belangrijk dat een Brute Force script niet zomaar bij je login pagina kan komen.

Standaard is iedere WordPress login pagina te bereiken op:

  • www.jedomein.nl/wp-admin
  • www.jedomein.nl/wp-login.php

Dat is algemeen bekend.

De Ithemes Security PRO NL plugin geeft je de mogelijkheid om een nieuw adres te kiezen wat uniek is. Denk aan:

www.jedomein.nl/inloggen-graag

 

lek in wordpress

Wat doet WordPress tegen Brute Force aanvallen?

Aangezien het heel veel voorkomt, heeft WordPress in 2015 besloten dat je wachtwoord moet voldoen aan enkele vereisten:

  1. Het moet minimaal 8-10 tekens lang zijn
  2. Cijfers, hoofdletters en tekens gebruiken
  3. Mag geen gebruikersnaam of website naam zijn

Bij een Brute Force aanval is het namelijk zo dat elk teken of cijfer dat het wachtwoord langer maakt een exponentiële moeilijkheidsgraad aan het kraken van het wachtwoord toevoegt.

Wanneer maak je het meeste kans op een Brute Force aanval?

Het enige goede nieuws tot nu toe, hoe beter je scoort in de zoekmachines zoals Google, hoe meer Bots je website zullen vinden.

Het betekent dus ook dat je website blijkbaar goed zichtbaar is in de zoekmachines en bezocht wordt!

Voorkomen is beter dan afwachten..

Brute Force aanvallen zullen er altijd zijn, voorkomen is beter dan genezen. Als je te laat bent, zit je website vol met backdoors en loopt je website meestal schade op.. aangezien Google een spammende website niet waardeert en bezoekers zelfs kan informeren met een rood scherm en de melding dat je website onveilig is!

Featured image for Brute Force aanval, wat is dat? in category BEVEILIGEN

Brute Force aanval, wat is dat?

/5 Comments/in

Een Brute Force aanval wordt vaak ingezet voor het kraken van wachtwoorden. Met name het wachtwoord om in het WordPress admin te komen.

Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Dit is een zeer inefficiënte methode door de zeer lange duur, maar op den duur heeft het vrijwel altijd resultaat.

Vrij vertaald is Brute Force een aanval met brute kracht zonder een specifiek plan.

Waar richt een Brute Force aanval zich op?

Een Brute Force aanval richt zich bij WordPress op het wp-admin waar je inlog velden zijn.

Hierbij heeft een aanvaller je username nodig waarna hij het wachtwoord met een Brute Force aanval gaat proberen te “raden”.

De username is overigens zeer gemakkelijk te achterhalen, zelfs handmatig duurt dit meestal slechts 1-2 minuten..

De verantwoordelijke voor de Brute Force aanval vervolgen

brute-force-verdachteHet is erg lastig om de exacte verantwoordelijke achter een Brute Force aanval te vervolgen.

Meestal gaat een Brute Force aanval niet via de computer of website van de aanvaller maar via een gehackte website of webserver van een onschuldig persoon.

Heeft mijn website wel eens een Brute Force aanval gehad?

Elke website die op Google te vinden is, heeft te maken met meerdere gehackte servers of websites die zonder het te weten Brute Force aanvallen uitvoeren op geautomatiseerde basis.

Het kraken van wachtwoorden

Een snelle server/computer kan zonder internet-limieten zo’n 2 miljoen wachtwoorden indienen!!

tijd wordpress nodig

Bij een wachtwoord van 6 tekens/cijfers heeft een Brute Force aanval het wachtwoord binnen enkele uren gekraakt.

Bij een wachtwoord van 7-8-9 tekens/cijfers is dit al 1 dag.

Bij een wachtwoord van meer als 10-12 tekens/cijfers praat je over enkele maanden.

En bij een “ZinZoals-deze-met_meer-als_21_letters_en_D!verse-tekens” praat je over een tijdsduur van enkele jaren om het te kraken!

Kortom: verzin een goed wachtwoord!

Kan een Brute Force aanval kwaad als het wachtwoord niet geraden wordt?

Zelfs als je wachtwoord zo complex is dat het niet geraden kan worden, en de gebruikersnaam niet te achterhalen is heeft je website flink te lijden onder Brute Force aanvallen.

Als je bedenkt dat bezoekers gemiddeld 1-5 pagina’s opvragen tijdens hun bezoek, maar een Brute Force aanval wel 1.000-10.000 aanvragen per minuut op je website kan doen.. dan begrijp je wel dat dit ten koste gaat van de snelheid van je website en je bezoekers een trage website zien.

Lees ook hoe je een Brute Force aanval kunt voorkomen.

Featured image for 10 manieren om WordPress open te zetten voor hackers in category BEVEILIGEN

10 manieren om WordPress open te zetten voor hackers

/4 Comments/in , , ,

Er zijn 10 dingen die je absoluut niet moet doen als je WordPress veilig wilt houden.

  1. Je gebruikersnaam “admin” laten staan. Hier worden de meeste scripts voor opgezet, om in combinatie met de username admin een brute force attack te doen wat inhoud dat er duizenden wachtwoorden op je admin page worden afgevuurd.
  2. Brengt ons direct bij puntje 2, je admin op de wp-admin link laten staan zonder een maximaal aantal login pogingen in te stellen. Als de gebruiker na 3-5 pogingen geen wachtwoorden meer kan invullen ben je direct van de brute force methode af.
  3. Je gebruikersnaam boven elk bericht zetten. Kies voor het publiceren van berichten een andere naam!
  4. Je comment area open laten staan zonder anti-spam plugin. Als je de comments niet gebruikt of er reageert haast niemand, sluit die dan af!
  5. Je inlog gebruikersnaam of wachtwoord hetzelfde noemen als de website naam. Wordt door scripts als eerste geprobeerd!
  6. Tientallen plugins inzetten. Hoe meer plugins hoe groter de kans dat er 1 tussen zit die een lek heeft. Via een lek in 1 van je plugins is het gemakkelijk om een MySql injectie te doen of bestanden op de server aan te maken.
  7. Je versie nummer van WordPress in de broncode laten staan. Dit zorgt ervoor dat een hack script direct de exploits (lekken) van die versie op kan zoeken.
  8. WordPress 3 jaar niet updaten. Dit kon nog toen WordPress net enkele jaren uit was, maar door de populariteit van WordPress gaat het niet meer. Er zijn tegenwoordig veel meer scripts voor geschreven die het internet afzoeken op WordPress sites.
  9. Illegaal plugins en premium themes downloaden en gebruiken.
    Sites die illegaal thema’s aanbieden hebben vaak hun reclame of backdoor in de website gezet. Een simpele lijn code die informatie weergeeft of zelfs doorgeeft aan de hacker.
  10. De goedkoopste hosting gebruiken. De server is ook doelwit van hackers. Via lekke WordPress websites proberen ze de server te bereiken om die aanvallen op andere sites te laten doen. Goedkope webhosts die niet bekend zijn met WordPress en niet veel tijd besteden aan beveiliging hebben vaak vertraagde servers waardoor je website traag laadt.

Dit waren ze alweer, de 10 punten die je kunt veranderen zodat de hackers het wat moeilijker hebben om je WordPress website te hacken.

Of.. je laat WPbeveiligen je WordPress preventief beveiligen waarbij deze 10 en nog 30+ andere punten worden aangepakt!