WordPress website beveiligen tegen bruteforce aanvallen

WordPress website beveiligen.

Ga jij nog op vakantie binnenkort? Vergeet dan niet om je wordpress website te beveiligen tegen de meest voorkomende aanvallen op wordpress.
Brute force aanvallen zijn de meest bekende en gebruikte methoden om een wordpress website te kraken. Wat dit betekend is dat een hacker of aanvaller probeert om de login gegevens middels een script te kraken.

Een aantal tips:

  • Gebruik een sterk wachtwoord.
  • Gebruik geen standaard login naam zoals (het domein van de site, admin, test, beheerder).
  • Gebruik alleen de rechten die je nodig hebt. Minder rechten is altijd veiliger.

Ondanks deze tips wordt er dus nog wel ingebroken op wordpress websites. De populaire wordpress beveiligings plugin meld op het moment van schrijven het volgende.

Land / vlag / Aanvallen

United States United States 35.006.260
Russian Federation Russian Federation 34.361.562
Ukraine Ukraine 19.416.604
India India 18.821.337
Turkey Turkey 16.602.323
China China 14.791.526
France France 13.285.586
Brazil Brazil 11.806.335
Philippines Philippines 7.288.429
Italy Italy 7.056.717

 First things first.

Om een enorme hoeveelheid login pogingen te voorkomen kun je de login pagina blokkeren middels een .htaccess bestand. Dit bestand zorgt ervoor dat de aanvaller geen toegang kan krijgen tot jouw pagina`s.

Zie hier een voorbeeld van een .htaccess bestand in wordpress.

.HTACCESS  kun je vinden in de /var/www/htdocs of /root van je FTP map.

# BEGIN WordPress
<Files wp-config.php>
order allow,deny
deny from all
</Files>

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Door de volgende regels hier aan toe te voegen kun je de toegang ontzeggen.

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>

Plaats dit bijvoorbeeld boven #begin wordpress en vervang XXX voor jouw IP adres

Waar vind ik mijn IP adres?

Plug-in tegen bruteforce aanvallen.

Als extra laag zou je bijvoorbeeld Limit login attempts, jetpack of (en daar gaat mijn voorkeur naar uit) Wordfence. Wordfence is een uitgebreide security plug-in voor WordPress.
De installatie van deze plug-ins zijn kinderlijk eenvoudig. Als je begrijpt hoe je pagina`s en of berichten aanmaakt dan gaat dit je helemaal lukken. Anders kan een IT bedrijf een oplossing bieden. Vraag hier naar bij uw web bouwer.

In het wordpress menu kun je de instellingen voor bruteforce aanvallen reguleren. Zie de afbeelding.

Wordfence bruteforce Nederlands

Heb je een eigen server of VPS

Als je zelf server beheerder bent of als je gebruik maakt van een VPS (Virtual Private Server) dan heb je vaak ook rechten om installaties uit te voeren en dus om de Console te gebruiken.
Indien dit het geval is dan kun je gebruik maken van “Fail2Ban” Dit is een programma dat onder Linux servers vaak eenvoudig te installeren is.

Door het aanmaken van een Jail (een zone die waar de instellingen per programma worden opgeslagen) speciaal voor WordPress kun je eenvoudig de toegang ontzeggen voor de aanvaller. Mocht deze bijvoorbeeld 3 mislukte inlogpogingen doen dan wordt de gehele server vanaf dat adres onbereikbaar.

Ik ga verder in op dit topic in een nieuwe post, Deze instellingen zijn vrij uitgebreid dus krijgt dit meer aandacht in een nieuwe post.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.