Aanvallen op WordPress websites

17 april 2013 | Artikelen

Naast de DDOS aanvallen op verschillende banken  lijkt het erop dat nu WordPress websites het doel zijn geworden. Zogenaamde ‘ brute force attacks’ vinden op grote schaal plaats, waarbij geprobeerd wordt om in te loggen in je WordPress website door de inloggegevens te ‘raden’.

Ontelbare combinaties van gebruikersnamen en wachtwoorden worden gebruikt om toegang tot de website te krijgen. Specifiek een ‘admin’ of ‘beheerdersaccount’ is hierbij het doel.

Betere gebruikersnaam en wachtwoord

Het is aan te bevelen om een sterk wachtwoord te gebruiken. Een sterk wachtwoord is opgebouwd uit  letters, cijfers, hoofdletters en kleine letters en speciale tekens zoals & #) @!, enz. De standaard gebruikersnaam ‘admin’ moet dan ook niet gebruikt worden. Veel beheerders en eigenaren van een WordPress website gebruiken echter deze ‘admin-gebruiker’ omdat dit de standaard instelling van WordPress is.

Het is echter eenvoudig om dit aan te passen:

  • Maak een nieuwe gebruiker aan. (Een complexe gebruikersnaam kan, maar deze wordt ook wordt gebruikt voor de auteursnaam in de Author-URL, dus dit biedt geen volledige bescherming)
  • Geef deze gebruiker Beheerdersrechten (admin).
  • Log uit.
  • Log in met als deze nieuwe gebruiker.
  • Verwijder de admin gebruiker.
  • Wijs alle pagina’s en berichten toe aan de gewenste gebruiker (bijvoorbeeld de gebruiker die je net aangemaakt hebt.)
  • Pas eventueel ook het e-mailadres aan bij de algemene instellingen (wanneer je ook het e-mailadres aangepast hebt)

Wachtwoorden regelmatig aanpassen

We weten het eigenlijk allemaal al: het is verstandig om je wachtwoorden (ja alle!) regelmatig aan te passen. Vaak gebruiken we één wachtwoord voor meerdere diensten, websites, enz. Dit is natuurlijk vragen om moeilijkheden…

Het gebruik van een wachtwoordbeheerder (‘passwordmanager’) is aan te raden. Er zijn verschillende wachtwoordbeheerders op de markt als: 1Password, RoboForm, Keeper en LastPass. De wachtwoorden worden hierbij centraal beheerd en er is ook een koppeling met de webbrowser mogelijk waarbij logingegevens automatisch ingevuld worden. Je hebt dan slechts één wachtwoord nodig om alle andere verschillende wachtwoorden ‘te onthouden’. (Dit moet dan wel een heel goed wachtwoord zijn….)

Hoe maak ik een goed wachtwoord

Qwerty123 ligt als wachtwoord erg voor de hand, maar je zult er versteld van staan hoe eenvoudig sommige wachtwoorden zijn. Een paar eenvoudige regeltjes helpen je snel op weg:

  • Gebruik minimaal 8 tekens en & #) @! (Onthoud: hoe meer tekens hoe beter.)
  • Houd het simpel:
    • Ik kom iedere ochtend om 07.00 uit bed! (IkIoO07Ub!)
    • Kuifje en Bobbie zijn stripfiguren die veel avonturen beleven! (K+8z$dv@B!)

Zorg voor de laatste updates

Zorg ervoor dat WordPress en de geïnstalleerde plugins altijd up-to-date zijn! Veel updates bevatten aanpassingen en oplossingen voor veiligheidslekken.

Omdat WordPress open-source software is, biedt het gebruik van de nieuwste versies bescherming. Fouten en lekken in oudere versies worden immers precies beschreven, zodat hackers weten waar ze moeten zoeken.

Maak backups van je WordPress website(s)

Wil je er zeker van zijn dat je gegevens altijd beschikbaar zijn en na een eventuele hack alles weer snel geregeld hebben? Zorg dan voor een goede backup. Als je site gehackt wordt is de kans groot dat een groot deel van je bestanden vernietigd of beschadigd zijn.

Hoe vaak je een backup moet maken is afhankelijk van het aantal wijzigingen op je website. Voor sommige is eens per maand voldoende, terwijl anderen behoefte hebben aan een wekelijkse of dagelijkse backup.

WordPress beveiligen

Natuurlijk is het mogelijk om je WordPress website verder te beveiligen. Denk er echter ook aan om niet te veel mensen toegang te geven tot je webserver of je ftp-account. Mocht deze toegang nodig zijn, zorg er dan voor dat deze toegang tijdelijk is door de accounts later te verwijderen of het wachtwoord aan te passen.

Wil je meer weten over veilig gebruik van WordPress of je website beter beveiligen en backups maken? Neem dan vrijblijvend contact op, zodat we passend bij jouw situatie een plannetje kunnen maken.

Verder lezen over de aanval op WordPress websites:

Aanmelden voor de nieuwsbrief

Blijf op de hoogte van de laatste ontwikkelingen en nieuwtjes

Je bent succesvol aangemeld!

Share This