Geschreven door Web and Brand
De login links van WordPress zijn voor elke site hetzelfde: wp-admin en wp-login. Omdat WordPress zo veel gebruikt wordt, is het ideaal dat deze links altijd hetzelfde zijn.
Echter vormt dit ook een van de grootste beveiligingsrisico’s van WordPress. In dit artikel leggen we je uit hoe dit zit en wat je er aan kunt doen om jouw WordPress site beter te beveiligen.
Er zijn maar liefst 455 miljoen websites die gebruik maken van WordPress (35% van alle websites!). De kans is daarom groot dat je vaker dan één keer in je leven met een WordPress site werkt. Voor een gebruiker is het ideaal dat de login links altijd hetzelfde zijn, want dit is makkelijk te onthouden.
Echter betekent dit ook dat ze erg makkelijk te raden zijn door mensen die kwaad willen. En dat hackers dus zeer grote aantallen sites met één standaard methode aan kunnen vallen; veel resultaat met relatief weinig moeite. Op zich zou er dan nog geen probleem moeten zijn, zou je zeggen als leek. Je website is immers beveiligd met een wachtwoord?
Hieronder sommen we een aantal manieren waarop hackers toch misbruik kunnen maken van een WordPress website waar geen extra beveiligingsmaatregelen zijn genomen:
Door in de broncode te kijken van de website kan een hacker heel snel zien dat je website een WordPress website is.
Dit komt doordat WordPress een bepaalde structuur heeft in links naar bestanden zoals: “wp-content/themes/etc..”. Deze informatie is publiekelijk zichtbaar in de code. Zodra een hacker weet dat het om een WordPress website gaat is het dus relatief simpel om op de login pagina te komen, mits je deze niet hebt aangepast.
Veel websites maken gebruik van de standaard “admin” gebruiker.
Als je WordPress installeert en daar niet bewust bij nadenkt, is dat namelijk de automatisch gekozen naam voor de beheerderaccount. Daarnaast kan het zijn dat de hacker binnen enkele pogingen kan raden welk e-mailadres je gebruikt. Denk hierbij aan info@uwbedrijf.nl of uwnaam@uwbedrijf.nl. Vanaf dit moment hoeft de hacker alleen nog maar je wachtwoord te raden.
Brute-force betekent letterlijk vertaald Brute kracht. Dat is ook de manier waarop men probeert je website binnen te dringen.
De hacker zal proberen zo veel mogelijk combinaties van letters en cijfers in de vullen om zo je wachtwoord te raden. De kans dat dit lukt als je een sterk wachtwoord heeft is zeer klein. Bij 8 willekeurige tekens duurt dit met de rekenkracht van computers anno nu al meer dan 70 dagen. Het grote nadeel hieraan is dat het heel veel rekenkracht van de server kost om dit te verwerken en tegen te houden. Dit veroorzaakt een opstopping waar je normale bezoekers last van hebben en dat is natuurlijk niet wenselijk.
Naast dat mensen kunnen proberen om je website te hacken zijn er vooral ook robots die dat proberen.
Nu zijn dit geen robots met robot-ogen en robot-vingers achter een computer maar een script. Dit script speurt het internet af naar WordPress websites. Vervolgens proberen ze in te loggen met de standaard gebruiker: “admin” of je bedrijfsnaam “uwbedrijf” die ze uit de website link kunnen halen en wachtwoorden die veel gebruikt worden. Indien je een sterk wachtwoord hebt en niet een makkelijk te raden gebruikersnaam gebruikt is de kans vrij klein dat de robot er in slaagt om in te loggen.
Net zoals bij een brute-force attack is het nadeel dat deze robots het vaak en snel achter elkaar proberen en dat gebruikersnamen juist bijna altijd wel makkelijk te raden zijn. Een aanval als deze kost veel rekenkracht van de server waardoor je website merkbaar inlevert aan snelheid.
Benader ons gerust een keer om te laten zien hoe vaak en hoe veel dit gebeurt. Je zult er van schrikken!
Dit alles spreekt natuurlijk niet vóór het gebruiken van WordPress. Echter zijn er met relatief weinig moeite enkele standaard maatregelen te nemen om een aanzienlijk deel van dit soort grootschalige en geautomatiseerde aanvallen te voorkomen. Dit kan voor sommige bedrijven zelfs wettelijk verplicht zijn! Naast een betere beveiliging komt dit ook de prestaties van je website ten goede. En een betere nachtrust dus… 🙂
Wij adviseren daarom:
Denk je dat je website misschien nog onvoldoende beveiligd is? Benader ons gerust voor een vrijblijvende scan.