Alleen al in mei 2017 werden WordPress sites bijna een miljard keer aangevallen met zgn. Brute Force aanvallen gebombardeerd. Dit maakt geautomatiseerde login-aanvallen veruit de grootste bedreiging voor WordPress -WordPress projecten. Gelukkig kunt u zich snel en doeltreffend beschermen tegen de inlog vloed. Omdat Brute Force aanvallen makkelijk af te weren zijn.

Er zijn inbrekers die hun inbraak jarenlang plannen, een bekwaam team samenstellen, 's nachts van daken afdalen en kluizen op het gehoor kraken. En dan zijn er nog mensen die een winkelruit inslaan met een steen. Deze categorie omvat Brute Force aanvallen, veruit de meest voorkomende aanvallen op WordPress sites.

Het idee achter Brute Force -aanvallen is relatief eenvoudig: hackers proberen gebruikersnamen en wachtwoorden te raden om zo toegang te krijgen tot het WordPress -dashboard. Er is dus niet noodzakelijk diepgaande kennis of een grote technische infrastructuur nodig om een dergelijke aanval met succes uit te voeren. Een lijst van wachtwoorden en gebruikersnamen en een kort script zijn voldoende.

Dit blijkt ook uit het grote aantal aanvallen. Volgens metingen van de beveiligingsprovider Wordfence waren er in mei 2017 ongeveer 900 miljoen Brute Force -aanvallen op WordPress -sites. In april waren er zelfs 1.380.000.000, of 1,38 miljard aanvallen. En omdat ongeveer 28,3 procent van de 10 miljoen grootste websites ter wereld momenteel op WordPress draait, vormt deze hoeveelheid aanvallen een enorme bedreiging voor het internet als geheel. Of op zijn minst een potentiële. Omdat je jezelf heel gemakkelijk kunt verdedigen tegen deze aanvallen.

Daarom zal ik vandaag uitleggen hoe Brute Force aanvallen werken en hoe groot het risico voor uw site is.

Het is de menigte die telt

Brute Force Aanvallen zijn in principe fantasieloos. Vandaar de naam: brute forcewat in het Duits zoiets betekent als brute kracht.

Het zou een enkele hacker eeuwen kosten om alleen al de gebruikersnaam "admin" door te spitten met, zeg maar, een lijst van de 500 slechtste wachtwoorden. Het romantische idee dat sites worden gehackt door individuen die elk mogelijk wachtwoord handmatig intikken, strookt echter niet met de werkelijkheid.

Hackers automatiseren hun werkprocessen. Zij werken met bots, d.w.z. programma's die automatisch aanvallen uitvoeren op WordPress pagina's. Deze bots kunnen ook met duizenden aan elkaar worden gekoppeld in grote netwerken - zogeheten botnets.

Bots kennen de kwetsbaarheden van hun slachtoffers heel goed. Met name botnets slagen erin talloze IP's en dus talloze websites tegelijk en razendsnel te controleren op gebreken in de beveiligingsarchitectuur.

Zodra zij een website met een overeenkomstige kwetsbaarheid hebben gevonden, vallen zij keer op keer aan en testen zij automatisch tienduizenden van de meest voorkomende wachtwoorden en gebruikersnamen tot zij toegang hebben verkregen. Vrij verkrijgbare databases met een lijst van de meest voorkomende wachtwoorden van verschillende platforms en netwerken maken hun werk nog eenvoudiger.

Het is deze automatisering die Brute Force aanvallen zo gevaarlijk maakt. Zelfs als u een relatief onbekende website runt die door zijn kleine bereik onaantrekkelijk is voor menselijke hackers, kunt u in het vizier komen van een bot of botnet. Bots maken geen onderscheid tussen grote en kleine websites. Zij maken alleen onderscheid tussen goed en slecht beveiligde. En omdat zoveel sites op WordPress draaien, is de kans dat je een slecht beveiligde WordPress site tegenkomt natuurlijk groter dan bij andere CMS'en.

Data en bereik, dat is de buit

Maar waarom richten hackers zich met hun botnets ook op kleine websites? In principe gaat het altijd om twee middelen: gegevens en bereik. Want beide kunnen worden verkocht of verhuurd, d.w.z. te gelde gemaakt. Daartoe worden de doelpagina's meestal geïnfecteerd met malware.

Daarmee kan de hacker dan bijvoorbeeld het volgende doen:

• Spammails van je site versturen die rechtstreeks in de inbox van je ontvangers terechtkomen
• Uw site integreren in een botnet en het misbruiken voor verdere aanvallen
• Inbreken in de databases van je klanten of leden van je gemeenschap en gevoelige gegevens stelen
• Illegale inhoud bij je hosten
• Je verkeer omleiden

Het gevaar neemt gestaag toe, net als het marktaandeel van WordPress .

Dus het slachtoffer worden van een succesvolle Brute Force aanval is geen triviale zaak. Maar hoe groot is het risico dat hackers uw site aanvallen? Om het gevaar te kunnen inschatten, is het de moeite waard de beschikbare cijfers te bekijken.

Het aandeel van WordPress -sites neemt gestaag toe, terwijl het aantal Brute Force -aanvallen daarentegen sterk fluctueert. In sommige gevallen komt dit doordat in deze periode grotere botnets actief waren. Zo was er in april 2017 een botnet van thuisrouters actief.

Uiteraard zijn alleen mislukte aanvallen die door de desbetreffende beveiligingssoftware werden voorkomen in deze statistieken opgenomen. Succesvolle Brute Force aanvallen worden hier dus niet meegerekend. Hetzelfde geldt voor aanvallen op sites waarop de Plugins van Sucuri of Wordfence niet is geïnstalleerd.

Je kunt het zien aan het grote aantal aanvallen: Wie zonder bescherming een website exploiteert, handelt ernstig nalatig. Omdat er elke dag miljoenen aanvallen zijn op WordPress sites. Gelukkig is bescherming tegen Brute Force aanvallen betrekkelijk eenvoudig.

Theoretisch zeer gevaarlijk, praktisch gemakkelijk te hanteren

In principe is een doeltreffende bescherming tegen Brute Force -aanvallen gebaseerd op twee mechanismen: veilige wachtwoorden en een doeltreffende blacklisting. Als uw inloggegevens moeilijk te raden zijn en regelmatig worden gewijzigd, en als u aanvallende IP's en regio's met bijzonder agressieve IP's blokkeert, verkleint u de kans op een succesvolle hack aanzienlijk.

Hoewel de zuivere cijfers laten zien dat Brute Force aanvallen een ernstige bedreiging vormen voor jouw WordPress-sites - die naar verwachting nog verder zullen groeien dankzij de geautomatiseerde aanvallen en het grote aantal WordPress-gedreven sites - zijn ze in de praktijk bijna alleen succesvol met onzorgvuldige websitebeheerders.