Een Brute Force aanval voorkomen

Een Brute Force aanval voorkomen
datum-geschreven 22 jan 2016

Hoe blokkeer je een Brute Force aanval?

Een Brute Force aanval kun je blokkeren door een beveiligingsplugin te gebruiken die na 5-10 mislukte inlogpogingen een tijdelijke of permanente blokkade inzet voor de computer waar de aanval vandaan komt.

Dit gebeurd op basis van IP, eerst tijdelijk en wanneer een Brute Force aanval door blijft gaan, wordt dit een permanente ban.

De username verbergen

De beveiligingsplugin die wij gebruiken zorgt er meteen voor dat je username niet overal te zien is. Dit is een heel belangrijk punt aangezien dit de eerste sleutel is tot een Brute Force aanval.

De username is gemakkelijker te achterhalen dan je zou verwachten, denk standaard eens aan de Admin als username die nog velen gebruiken, of aan de username die eigenlijk gewoon dezelfde naam is als de website..

Hopelijk herken jij je niet in deze 2 veelgemaakte fouten.

Maar zelfs nog, als je een username hebt die zo lang is als het woordenboek.. de usernames zijn gemakkelijk uit de database te halen, of van de author page, of van de naam boven de blog berichten.

Tevens is er hackers software die de usernames tevoorschijn kan halen..

Het is zoals het naambordje op je huis, gemakkelijk te lezen maar zorg ervoor dat ze het wachtwoord (de sleutel) niet zomaar in handen krijgen!

De login pagina verbergen

Het is belangrijk dat een Brute Force script niet zomaar bij je login pagina kan komen.

Standaard is iedere WordPress login pagina te bereiken op:

  • www.jedomein.nl/wp-admin
  • www.jedomein.nl/wp-login.php

Dat is algemeen bekend.

De Ithemes Security PRO NL plugin geeft je de mogelijkheid om een nieuw adres te kiezen wat uniek is. Denk aan:

www.jedomein.nl/inloggen-graag

 

lek in wordpress

Wat doet WordPress tegen Brute Force aanvallen?

Aangezien het heel veel voorkomt, heeft WordPress in 2015 besloten dat je wachtwoord moet voldoen aan enkele vereisten:

  1. Het moet minimaal 8-10 tekens lang zijn
  2. Cijfers, hoofdletters en tekens gebruiken
  3. Mag geen gebruikersnaam of website naam zijn

Bij een Brute Force aanval is het namelijk zo dat elk teken of cijfer dat het wachtwoord langer maakt een exponentiële moeilijkheidsgraad aan het kraken van het wachtwoord toevoegt.

Wanneer maak je het meeste kans op een Brute Force aanval?

Het enige goede nieuws tot nu toe, hoe beter je scoort in de zoekmachines zoals Google, hoe meer Bots je website zullen vinden.

Het betekent dus ook dat je website blijkbaar goed zichtbaar is in de zoekmachines en bezocht wordt!

Voorkomen is beter dan afwachten..

Brute Force aanvallen zullen er altijd zijn, voorkomen is beter dan genezen. Als je te laat bent, zit je website vol met backdoors en loopt je website meestal schade op.. aangezien Google een spammende website niet waardeert en bezoekers zelfs kan informeren met een rood scherm en de melding dat je website onveilig is!

Meer WordPress: , , ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
3 Reacties
Inline Feedbacks
Bekijk alle reacties
Louise

“De iThemes Security PRO NL beveiligingsplugin biedt de mogelijkheid de XMLRPC functionaliteit uit te zetten.”
Dit kan toch ook met de gratis versie?

dwinden

@Lennard

Nee, want het is geen bug. En het bestand heet xmlrpc.php
Zoals zo vaak kan volledig legale WordPress functionaliteit ook misbruikt worden.

De iThemes Security PRO NL beveiligingsplugin biedt de mogelijkheid de XMLRPC functionaliteit uit te zetten.
Maar dan mis je dus ook de functionaliteiten die XMLRPC normaal gesproken biedt.

Echter met deze plugin is het ook mogelijk alleen de XMLRPC system.multicall method te blokkeren.

Normaal gesproken zie je tijdens een XMLRPC brute force aanval vele xmlrpc.php requests in je Web Server log binnenkomen.
Maken de aanvallers gebruik van de XMLRPC system.multicall method dan zie je in het web server log slechts 1 xmlrpc.php request binnenkomen terwijl er honderden inlogpogingen worden gedaan …

Je moet jezelf dus hiertegen beschermen want WordPress doet dat out-of-the box niet.

Lennard

Er was ook een periode waarbij de rpc.xml gebruimt werd om direct veel aanvallen te doen maar die bug is nu als het goed is weer uit wordpress toch