WordPress website beveiligen.
Ga jij nog op vakantie binnenkort? Vergeet dan niet om je wordpress website te beveiligen tegen de meest voorkomende aanvallen op wordpress.
Brute force aanvallen zijn de meest bekende en gebruikte methoden om een wordpress website te kraken. Wat dit betekend is dat een hacker of aanvaller probeert om de login gegevens middels een script te kraken.
Een aantal tips:
- Gebruik een sterk wachtwoord.
- Gebruik geen standaard login naam zoals (het domein van de site, admin, test, beheerder).
- Gebruik alleen de rechten die je nodig hebt. Minder rechten is altijd veiliger.
Ondanks deze tips wordt er dus nog wel ingebroken op wordpress websites. De populaire wordpress beveiligings plugin meld op het moment van schrijven het volgende.
Land / vlag / Aanvallen
| United States |  |
35.006.260 |
| Russian Federation |  |
34.361.562 |
| Ukraine |  |
19.416.604 |
| India |  |
18.821.337 |
| Turkey |  |
16.602.323 |
| China |  |
14.791.526 |
| France |  |
13.285.586 |
| Brazil |  |
11.806.335 |
| Philippines |  |
7.288.429 |
| Italy |  |
7.056.717 |
First things first.
Om een enorme hoeveelheid login pogingen te voorkomen kun je de login pagina blokkeren middels een .htaccess bestand. Dit bestand zorgt ervoor dat de aanvaller geen toegang kan krijgen tot jouw pagina`s.
Zie hier een voorbeeld van een .htaccess bestand in wordpress.
.HTACCESS kun je vinden in de /var/www/htdocs of /root van je FTP map.
# BEGIN WordPress
<Files wp-config.php>
order allow,deny
deny from all
</Files><IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule># END WordPress
Door de volgende regels hier aan toe te voegen kun je de toegang ontzeggen.
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>Plaats dit bijvoorbeeld boven #begin wordpress en vervang XXX voor jouw IP adres
Plug-in tegen bruteforce aanvallen.
Als extra laag zou je bijvoorbeeld Limit login attempts, jetpack of (en daar gaat mijn voorkeur naar uit) Wordfence. Wordfence is een uitgebreide security plug-in voor WordPress.
De installatie van deze plug-ins zijn kinderlijk eenvoudig. Als je begrijpt hoe je pagina`s en of berichten aanmaakt dan gaat dit je helemaal lukken. Anders kan een IT bedrijf een oplossing bieden. Vraag hier naar bij uw web bouwer.
In het wordpress menu kun je de instellingen voor bruteforce aanvallen reguleren. Zie de afbeelding.
Heb je een eigen server of VPS
Als je zelf server beheerder bent of als je gebruik maakt van een VPS (Virtual Private Server) dan heb je vaak ook rechten om installaties uit te voeren en dus om de Console te gebruiken.
Indien dit het geval is dan kun je gebruik maken van “Fail2Ban” Dit is een programma dat onder Linux servers vaak eenvoudig te installeren is.
Door het aanmaken van een Jail (een zone die waar de instellingen per programma worden opgeslagen) speciaal voor WordPress kun je eenvoudig de toegang ontzeggen voor de aanvaller. Mocht deze bijvoorbeeld 3 mislukte inlogpogingen doen dan wordt de gehele server vanaf dat adres onbereikbaar.
Ik ga verder in op dit topic in een nieuwe post, Deze instellingen zijn vrij uitgebreid dus krijgt dit meer aandacht in een nieuwe post.
