Wat is de meest voorkomende manier om een WordPress website te hacken? Via de inlogpagina proberen in te breken! Elke inbreker weet namelijk dat dat de manier is om binnen te komen in je website: de admin inlog via de wp-login.php. Hoe bescherm je WordPress snel en eenvoudig tegen deze zogenaamde “brute force” aanvallen op je inlogpagina?
WordPress is erg populair als “content management systeem”. Volgens recente cijfers zijn er rond de 175 miljoen(!) WordPress websites op het internet. Dit maakt de WordPress websites ook populair bij het online inbrekersgilde. Helaas zien wij nog steeds dat veel WordPress websites totaal niet of niet voldoende beveiligd zijn.
ALS HET KALF VERDRONKEN IS…
Als eigenaar merkt U het niet dat men probeert in te breken. Pas als er ingebroken is op uw website volgt de ontdekking. Net als bij een gewone inbraak in een woning. De schade en ravage die je dan aantreft kan enorm zijn. En dan is het te laat.
Aanvallen op WordPress websites worden bijna altijd geautomatiseerd met ‘bots’ uitgevoerd via de WordPress inlogpagina. Dit mechanisme kun je eenvoudig keren door de installatie van de juiste plugins! In dit artikel leggen we uit hoe je de inlogpagina van WordPress effectief kunt beveiligen.
Wij als hostingbedrijf zien het dag in dag uit: websites die ‘onder vuur’ liggen. Het is absoluut noodzakelijk uw website te beveiligen en dat is niet moelijk.
INLOG PAGINA BEVEILIGEN
De inlogpagina beveiligen is erg eenvoudig en voor iedereen die een WordPress website heeft te realiseren. De volgende stappen zorgen voor een (veel) veiliger WordPress installatie:
- verander uw gebruikersnaam
De standaard gebruikersnaam van de beheerder is bij WordPress: “admin”. Wijzig dit naar een andere naam. Bijvoorbeeld voornaam.achternaam van de beheerder. Of een combinatie van willekeurig gekozen cijfers en letters (nog veiliger!). - installeer een beveiling voor de inlogpagina
Bij de standaard WordPress installatie wordt geen enkele login limitering geactiveerd. Dat betekent dat mensen duizenden keren kunnen proberen in te loggen. Dat dóen ze dan ook! Dit is dus de volgende, en in onze ogen meest belangrijke én eenvoudige, stap om te beveiligen. - installeer een uitgebreide beveiligingsplugin
Wil je écht je website goed beveiligen, installeer dan een goede plugin die méér mogelijkheden biedt zoals Wordfence of All in One WP Security & Firewall. - gebruik SSL beveiliging
Naast deze opties kun je uiteraard ook SSL toevoegen aan je website om het verkeer van en naar je website te versleutelen. Dat geeft extra veiligheid, niet alleen voor de inlogpagina. Klik hier voor meer informatie over SSL Certificaten.
Voor dit artikel houden we het in eerste instantie eenvoudig en richten ons op het beveiligen van de inlogpagina.
PLUGIN INSTALLEREN
Voor de beveiliging van je inlogpagina zijn allerlei soorten plugins beschikbaar.
WP LIMIT LOGIN ATTEMPTS
Een eenvoudige “één klik installatie” plugin is WP Limit Login Attempts. De plugin kun je hier vinden. Je kunt de plugin eenvoudig installeren via de optie “Plugins” in je WordPress beheerscherm.
WP Limit Login Attempts zorgt er voor dat voor je inlogpagina een schermpje verschijnt met elke keer een unieke code die ingevoerd moet worden. De brute force aanvallen lopen daar op stuk.
Na het invoeren van de code (zie scherm) klik je op [Submit] en krijg je de reguliere WordPress inlogpagina.
Deze plugin is ook GDPR compliant (AVG compliant) omdat het de ip-adressen die worden gecontroleerd bij het inloggen maskeert. Als iemand een verkeerde code invoert of onjuist probeert in te loggen wordt deze persoon geblokkeerd en/of doorgestuurd naar de hoofdpagina van de website. Dit maakt de site meteen onaantrekkelijk voor de ‘brute force’ aanvallen op de inlogpagina.
Login No Captcha reCAPTCHA
Deze plugin heeft de naam niet mee als in: niet makkelijk te onthouden. Maar in gebruik is dit de meest prettige voor het beschermen van je inlogpagina. De installatie is iets tijdrovender maar niet moeilijk.
Zoals te zien is in de afbeelding voegt deze plugin een ‘Ik ben geen robot’ vakje toe aan je inlogpagina. Zodra je daar op klikt wordt dit gecontroleerd en kun je inloggen op je WordPress website; de [Inloggen] button wordt actief.
Het is in die zin de meest gebruikersvriendelijke oplossing. Het reCaptcha mechanisme controleert aan de hand van een test de persoon die wil inloggen een legitieme bezoeker is of niet. Dit, om te voorkomen dat een bot of script het inlogformulier misbruikt.
Voor de installatie heb je een Google reCaptcha sleutel nodig. Een Google account is dus vereist.
Wat wij zo ijzersterk aan deze oplossing vinden is dat een ‘bot’ er niet doorheen komt zélfs al weten ze je inloggegevens!
De ‘bot’ zet namelijk het ‘vinkje’ niet. De geautomatiseerde inbraakpogingen worden daardoor simpelweg steeds maar weer afgeslagen. Dus óók als je inloggegevens ‘op straat liggen’ is je site nog steeds niet vatbaar voor brute force aanvallen door bots. Die proberen namelijk geautomatiseerd via de wp-login.php in te loggen en slaan daarbij de verificatie over. En daarmee faalt elke poging telkens weer. De bot zal dan op zeker moment stoppen met inbraakpogingen te doen.
BEVEILIGING VANUIT ONZE HOSTING OMGEVING
Tot slot is er, als ‘achtervang’ ook een beveiliging aangebracht in onze hosting omgeving. Wordt een WordPress website aangevallen dan zal na een aantal minuten onze programmatuur dat ondervangen en betreffende ip-adres (van de aanvaller) blokkeren. Dan kan het echter al wel te laat zijn – zeker als u een veel te makkelijke gebruikersnaam en wachtwoord gebruikt en/of verder geen maatregelen hebt getroffen.
IS UW WEBSITE GEHACKT?
Is uw website gehackt en maakt U gebruik van webhosting via Brinkman.IT? Dan is het van het grootste belang dat U ons per direct waarschuwt. Wij kunnen dan mogelijk nog een backup terug zetten van de situatie voor de hack en deze (oude) versie van uw site voor U beveiligen. Neem in voorkomende gevallen contact met ons op.