Momenteel (feb 2014) worden er omvangrijke brute-force attacks ondernomen op WordPress websites.
Een brute-force attack bestaat uit meerdere pogingen om met behulp van je WordPress login het wachtwoord te achterhalen door diverse login + wachtwoord combinaties uit te proberen totdat ze de juiste combinatie ‘raden’.
Wat kan je er tegen doen?
Mocht je ‘admin’ als inlognaam gebruiken verander deze dan, het dat maakt het moeilijker je WordPress te hacken omdat dan eerst gezocht moet worden moeten naar de admin account voordat ze er een script op los kunnen laten.
Lees bij indigowebstudio hoe je dit verandert (en andere goede veiligheid tips)
Want zodra het script de admin-loginnaam heeft, gaat deze een woordenboek van meest gebruikte wachtwoorden af.
Zorg dus voor een sterk wachtwoord. liefst een zin van vier woorden of meer met hoofdletters, cijfers, leestekens. Bijvoorbeeld: d1T_wachtw0ordDusn1egebruik&*
Mocht je het onthouden lastig vinden dan kan je onepass of lastpass gebruiken.
En verder?
Installeer daarnaast limit login attempts op je WordPress. Deze plugin beperkt het aantal pogingen dat een ip-adres mag doen om in te loggen en als deze (limiet zelf in te stellen) dat overschrijd worden ze eerst geblokkeerd en daarna ‘geblacklist’ waardoor er vanaf dat ip geen inlog pogingen ondernomen mogen worden. (Je kan geblackliste adressen ook weer verwijderen van de lijst)
Verder kan je stealthlogin plugin installeren, deze plugin voegt aan je login-scherm een veld toe waar je de bevestigings-code moet invullen als aanvulling op login en ww.
Liever een alles-in-een-plugin? Kijk eens naar Better WP Security.
Blog ze (veilig)!
5 Reacties