Help, hackers voor de deur! Beveilig je WordPress site
Sinds vorige week en vooral afgelopen weekend zijn er wereldwijd ineens meer aanvallen op WordPress websites gedaan, oftewel ‘brute attacks’.
Je hebt vast ook te maken gehad of op zijn minst gehoord over de aanvallen die banken, iDeal en KPN dagenlang plat konden leggen. Dat zijn hele andere aanvallen dan die nu op WordPress sites worden gedaan. Maar het kan wel zo zijn dat ze graag veel en meer sites willen hacken om zo nog meer servers te kunnen gebruiken voor nieuwe en nog grotere aanvallen op dergelijke instellingen.
Het is hoe dan ook zaak om je WordPress site goed te beveiligen.
Blijkbaar ben ik een trendwatcher of heb ik een neus voor goede plugins. Ik houd het op beide 😉 en zag het aantal pogingen al sinds maart steeds meer toenemen, met afgelopen weekend als – voorlopig – hoogtepunt.
Gebruik je geen plugin om inlogpogingen te monitoren, dan heb je ook geen idee hoe vaak jouw site de afgelopen periode onder vuur heeft gelegen of nog ligt.
Hoe heet wordt de soep nu werkelijk gegeten?
De aanvallen richten zich op url’s die eindigen op bijvoorbeeld login.php, signup.php, register.php of een author/admin/page/2 en waarbij nu voor bijna 100% wordt gezocht naar het wachtwoord van de gebruiker Admin.
Maar ook naar Admin1, Administrator, Support, Sysadmin, Manager, Webmaster en Test wordt gevist. Ik heb ook al mijn voornaam en die van anderen voorbij zien komen.
Er zijn meerdere plugins waarmee je IP nummers kunt laten blokkeren. Als je de verhalen moet geloven zijn er wel veel IP adressen om te blokkeren; al meer dan 90.000. Ook het blokkeren van IP adressen uit een bepaald land is niet waterdicht: Ook de herkomst van een IP adres kunnen ze volledig faken. Oftewel, dat is onbegonnen werk.
Wat helpt wel?
1. Kies een goede gebruikersnaam
Het advies om je admin gebruikersnaam te veranderen, geldt nu des te meer.
Verander daarom meteen je Admin gebruikersnaam.
Lees hier hoe je dat doet.
2. Beperk het aantal inlogpogingen
Installeer een plugin waarmeee je het aantal inlogpogingen kunt beperken. Een goede plugin hiervoor is Limit Login Attempts. Edit: Gebruik Brute Protect, deze plugin verzamelt wereldwijd alle inlogpogingen en is dus het meest up to date.
Update: Bruteprotect is overgenomen door Jetpack. Wil je geen Jetpack gebruiken dan is Wordfence een goed (lichter qua laadtijd en gebruiksvriendelijk) alternatief voor de beveiliging van je site.
3. Beveilig je map /wp-admin
In het control panel van je provider vind je een optie zoals ‘Beveiligde mappen’. Vink daarin aan dat je de map wp-admin wilt beveiligen en kies een gebruikersnaam en wachtwoord.
Er verschijnt nu een extra inlogscherm (pop up) om in te loggen. Hebben ze je WordPress inlogcodes gekraakt dan hebben ze hier met dit extra scherm nog niets aan.
Zie hiervoor de uitleg bij Sohosted of Google op ‘mappen beveiligen’ gevolgd door de naam van je hosting provider. Of neem hiervoor contact op met je hosting provider of webbouwer.
Gebruik je een PopUp plugin (om bijvoorbeeld de inschrijvingen op je nieuwsbrief te bevorderen), gebruik dan deze optie 3 niet.
4. En zorg natuurlijk altijd voor een goede back up
Een fijne plugin hiervoor is BackWPup. Lees hier hoe je die slim gebruikt.
Wil je meer controle?
Ben je al wat handiger met WordPress, installeer dan een plugin zoals Wordfence Securtity of Better WP Security. Deze laatste laat ook zien wat je nog meer kan doen aan je beveiliging, zoals het aanpassen van je htaccess bestand.
En zorg natuurlijk altijd voor de nieuwste versies van WordPress en de plugins die je gebruikt en voor ook een afdoende beveiliging in je wp-config file met de codes van
Doe ik het beheer voor jouw site?
Dan heb je hierover een e-mail ontvangen en ben je ervan verzekerd dat er geen gebruiker Admin op je site te vinden is en dat je site voortdurend wordt gemonitord en opgeslagen.
Is WordPress nog wel veilig?
Deze brute aanvallen richten zich op de ‘voorkant’ van je site en het inloggen via je inlogscherm. Aan de ‘achterkant’ zijn er ook altijd wel jongens (zijn er ook meisjes die dit doen?) op zoek naar zwakheden in je FTP-verbinding, mappen en rechten daarvan, je htaccess file en oudere versies van WP en plugins. Maar dat is nou niet bepaald nieuw en heeft helemaal niets met deze actuele golf van aanvallen te maken. Oftewel; laat je ook niet gek maken.
Ben je afhankelijk van je website voor omzet en klanten, besteed het onderhoud dan bij voorkeur uit aan een pro. Maak sowieso gebruik van de nieuwste versies van WordPress en plugins, zorg voor regelmatige back ups en neem ook deze voorzorgmaatregelen in acht. Maar geldt dat ook niet voor alle updates van Microsoft, je internetverbinding en je internetbrowser?
Ik krijg nog regelmatig mails omdat mensen een site anders zien en die dan ook hoognodig Internet Explorer of Firefox moeten updaten. Ook dat doe je voor je veiligheid!
Daarom….
Bonustip
Gebruik de laatste versie van je internetbrowser. Check welke browserversie je nu gebruikt. Klik bovenin je browser op Help en op Over. Of klik even op deze link van whatismybrowser.com
Meer weten?
Wil je meer tips voor je online marketing & verkoop? Dit artikel verscheen eerder in mijn nieuwsbrief. Ontvang ook elke maand weer nieuwe en handige tips voor je online marketing en het gebruik van WordPress.
Wil je meer advies voor je vindbaarheid en verkoop? Neem dan contact met mij op.
2832 keer gelezen
een admin pas werkt niet perfect
https://lekkerscherp.nl/wp-login.php
en klik op annuleren
De iThemes Security PRO NL pakt heel veel punten aan die je beschrijft, het is een plugin die nu volledig in het Nederlands beschikbaar is!
In deze korte video kun je een overzicht zien van deze Nederlandse beveiligingsplugin: https://www.youtube.com/watch?v=t_jQp2mX0FE