WordPress beter beveiligen

Geschreven door Web and Brand

De login links van WordPress zijn voor elke site hetzelfde: wp-admin en wp-login. Omdat WordPress zo veel gebruikt wordt, is het ideaal dat deze links altijd hetzelfde zijn.

Echter vormt dit ook een van de grootste beveiligingsrisico’s van WordPress. In dit artikel leggen we je uit hoe dit zit en wat je er aan kunt doen om jouw WordPress site beter te beveiligen.

Er zijn maar liefst 455 miljoen websites die gebruik maken van WordPress (35% van alle websites!). De kans is daarom groot dat je vaker dan één keer in je leven met een WordPress site werkt. Voor een gebruiker is het ideaal dat de login links altijd hetzelfde zijn, want dit is makkelijk te onthouden.

Echter betekent dit ook dat ze erg makkelijk te raden zijn door mensen die kwaad willen. En dat hackers dus zeer grote aantallen sites met één standaard methode aan kunnen vallen; veel resultaat met relatief weinig moeite. Op zich zou er dan nog geen probleem moeten zijn, zou je zeggen als leek. Je website is immers beveiligd met een wachtwoord?

Hieronder sommen we een aantal manieren waarop hackers toch misbruik kunnen maken van een WordPress website waar geen extra beveiligingsmaatregelen zijn genomen:

1. Hackers kunnen zien dat de website met WordPress gebouwd is

Door in de broncode te kijken van de website kan een hacker heel snel zien dat je website een WordPress website is.

Dit komt doordat WordPress een bepaalde structuur heeft in links naar bestanden zoals: “wp-content/themes/etc..”. Deze informatie is publiekelijk zichtbaar in de code. Zodra een hacker weet dat het om een WordPress website gaat is het dus relatief simpel om op de login pagina te komen, mits je deze niet hebt aangepast.

2. De hacker heeft nu toegang tot je loginpagina

Veel websites maken gebruik van de standaard “admin” gebruiker.

Als je WordPress installeert en daar niet bewust bij nadenkt, is dat namelijk de automatisch gekozen naam voor de beheerderaccount. Daarnaast kan het zijn dat de hacker binnen enkele pogingen kan raden welk e-mailadres je gebruikt. Denk hierbij aan info@uwbedrijf.nl of uwnaam@uwbedrijf.nl. Vanaf dit moment hoeft de hacker alleen nog maar je wachtwoord te raden.

3. Brute-force aanvallen

Brute-force betekent letterlijk vertaald Brute kracht. Dat is ook de manier waarop men probeert je website binnen te dringen.

De hacker zal proberen zo veel mogelijk combinaties van letters en cijfers in de vullen om zo je wachtwoord te raden. De kans dat dit lukt als je een sterk wachtwoord heeft is zeer klein. Bij 8 willekeurige tekens duurt dit met de rekenkracht van computers anno nu al meer dan 70 dagen. Het grote nadeel hieraan is dat het heel veel rekenkracht van de server kost om dit te verwerken en tegen te houden. Dit veroorzaakt een opstopping waar je normale bezoekers last van hebben en dat is natuurlijk niet wenselijk.

4. Robots i.p.v. hackers

Naast dat mensen kunnen proberen om je website te hacken zijn er vooral ook robots die dat proberen.

Nu zijn dit geen robots met robot-ogen en robot-vingers achter een computer maar een script. Dit script speurt het internet af naar WordPress websites. Vervolgens proberen ze in te loggen met de standaard gebruiker: “admin” of je bedrijfsnaam “uwbedrijf” die ze uit de website link kunnen halen en wachtwoorden die veel gebruikt worden. Indien je een sterk wachtwoord hebt en niet een makkelijk te raden gebruikersnaam gebruikt is de kans vrij klein dat de robot er in slaagt om in te loggen.

Net zoals bij een brute-force attack is het nadeel dat deze robots het vaak en snel achter elkaar proberen en dat gebruikersnamen juist bijna altijd wel makkelijk te raden zijn. Een aanval als deze kost veel rekenkracht van de server waardoor je website merkbaar inlevert aan snelheid.

Benader ons gerust een keer om te laten zien hoe vaak en hoe veel dit gebeurt. Je zult er van schrikken!

Dit alles spreekt natuurlijk niet vóór het gebruiken van WordPress. Echter zijn er met relatief weinig moeite enkele standaard maatregelen te nemen om een aanzienlijk deel van dit soort grootschalige en geautomatiseerde aanvallen te voorkomen. Dit kan voor sommige bedrijven zelfs wettelijk verplicht zijn! Naast een betere beveiliging komt dit ook de prestaties van je website ten goede. En een betere nachtrust dus… 🙂

Voorkomen is altijd beter dan genezen!

Wij adviseren daarom:

  • Een sterk wachtwoord in te stellen van minimaal 8 tekens.
    (Hoofd)letters, cijfers en speciale tekens. WordPress stelt verder geen eisen aan de maximale lengte of complexiteit van het wachtwoord!
  • Standaard gebruikersnaam(en) te wijzigen.
    Gebruik nooit de loginnaam “admin” of “superadmin” en probeer gebruikersnamen te voorkomen waar je bedrijfsnaam of een deel van je website URL in zit, zoals “uwbedrijf” of “uwbedrijfnl”.
  • Gebruik maken van two-factor authentication.
    Door gebruik te maken van een authenticatie app heeft een hacker niets aan een wachtwoord, en is er altijd een andere fysieke factor nodig om in te loggen.
  • De login URL aan te passen.
    Als je website gehost wordt door Web and Brand doen wij dit standaard al. Welke login URL je dan wel moet gebruiken, laten we je natuurlijk persoonlijk weten ;). Heb je je website in eigen beheer dan kun je gebruik maken van een plugin om de login URL aan te passen.

Denk je dat je website misschien nog onvoldoende beveiligd is? Benader ons gerust voor een vrijblijvende scan.

Contact opnemen

Wij houden van onze klanten, "to the moon and back"! Als we ergens in geloven, dan gaan we er helemaal voor. Dat oneindige enthousiasme merk je ook wel op zodra je praat met een van onze professionals. Wanneer spreken we je?

Open chat
1
Hallo! 👋
Hier Ben van Web and Brand. Waar kan ik je mee helpen?