Met deze 7 maatregelen kun je Brute Force aanvallen afweren...

Tobias Schüring Laatst bijgewerkt op 20.10.2020
8 Min.
Met minstens 4 miljard individuele aanvallen dit jaar zijn Brute Force -aanvallen waarschijnlijk de grootste bedreiging voor WordPress -sites.
Laatst bijgewerkt op 20.10.2020

Met enkele miljarden individuele aanvallen per jaar zijn Brute Force -aanvallen waarschijnlijk de grootste bedreiging voor WordPress -sites. Gelukkig is dit type aanval ook erg onhandig en makkelijk te misleiden. Wij tonen u vier eenvoudige en snelle maatregelen tegen de hackeraanvallen. En ook drie complexere beschermingsmechanismen.

Alleen al in april 2017 telde de beveiligingsprovider Wordfence wereldwijdmeer dan een miljard Brute Force -aanvallen op WordPress -sites. En dat is slechts een schatting - het aantal niet-gemelde gevallen ligt aanzienlijk hoger. Dit betekent dat de aanvallen, waarbij automatisch wordt geprobeerd wachtwoorden en gebruikersnamen te raden, een grote bedreiging vormen voor WordPress sites wereldwijd. Maar dat niet alleen. Meer dan 37,5 procent van de 10 miljoen grootste websites draait momenteel op WordPress . En dit betekent dat de kwestie van doeltreffende beschermingsmechanismen voor WordPress ook het internet in zijn geheel betreft.

Als u precies wilt weten hoe Brute Force aanvallen werken en hoe gevaarlijk ze zijn, bekijk dan ons achtergrondartikel over Brute Force aanvallen.

Ondanks hun grote aantal is er één goed nieuwtje: er bestaan zinnige beveiligingsmaatregelen tegen Brute Force aanvallen die u zonder veel moeite en vooral zonder programmeerkennis zelf kunt uitvoeren. En er zijn maatregelen die op zijn minst een basiskennis van het .htaccess bestand vereisen.

Deze zeven maatregelen vormen het onderwerp van het debat van vandaag:

  1. Sterke wachtwoorden (zeer belangrijk!)
  2. Gebruik niet "admin" als gebruikersnaam
  3. Beperk het aantal ongeldige aanmeldingen
  4. Twee-factor authenticatie
  5. Inloggen op meerdere niveaus
  6. Zwarte lijst
  7. Verberg login gebied (is controversieel)

1. gebruik een sterk wachtwoord

Een sterk wachtwoord is uiterst belangrijk als bescherming tegen Brute Force aanvallen. Bots en botnets gebruiken enorme wachtwoorddatabases voor hun "raadspelletjes". Deze worden botweg uitgeprobeerd. Hoe ongebruikelijker en moeilijker uw wachtwoord, hoe groter de kans dat het er niet in voorkomt.

Hoe langer en moeilijker je wachtwoord, hoe langer het zal duren voor bots het kunnen kraken als ze ook zonder lijst het wachtwoord proberen te raden.

Dus je wachtwoord moet verschillende combinaties van tekens bevatten van de ...

  • 10 verschillende nummers (0 tot 9)
  • 52 verschillende letters (A tot Z en a tot z)
  • 32 verschillende speciale tekens ...

... en ten minste 8 tekens lang zijn.

De wachtwoordmanager Passwort-Depot geeft enkele illustratieve rekenvoorbeelden. Hier wordt aangenomen dat een sterke enkele computer twee miljard wachtwoorden per seconde kan genereren. In concrete termen betekent dit:

  • Een wachtwoord bestaande uit 5 tekens (3 kleine letters, 2 cijfers) heeft 60 466 176 mogelijke combinaties en kan dus in 0,03 seconden worden gekraakt.
  • Een wachtwoord met 8 tekens (4 kleine letters, 2 speciale tekens, 2 cijfers) heeft al 457 163 239 653 376 mogelijke combinaties. Hier heeft de rekenmachine ongeveer twee en een halve dag nodig.
  • En een wachtwoord bestaande uit 12 tekens (3 hoofdletters, 4 kleine letters, 3 speciale tekens, 2 cijfers) heeft maar liefst 475 920 314 814 253 376 475 136 mogelijke combinaties. Een enkele computer heeft 7,5 miljoen jaar nodig om dit wachtwoord te kraken.

De WordPress codex beveelt de Plugin Force Strong Passwords aan voor het maken van dergelijke wachtwoorden. Dit dwingt gebruikers om behoorlijk complexe wachtwoorden te kiezen. Deze Plugin maakt de sites dus niet direct veiliger, maar leert de gebruikers sterke wachtwoorden te gebruiken. En vooral als u in opdracht van een klant werkt, kan deze kleine maatregel heel praktisch zijn.

Je hoeft de wachtwoorden niet te onthouden!

Wachtwoordbeheerders helpen u om veilige wachtwoorden te maken en te beheren. Het enige wat u hoeft te doen is een hoofdwachtwoord te onthouden (zo complex mogelijk, natuurlijk). Het programma doet de rest voor u. Op Apple computers is al een programma geïnstalleerd dat "Sleutelhangerbeheer" heet. Cloud-gebaseerde programma's voor wachtwoordbeheer zoals 1Password, LastPass of KeyPass werken op dezelfde manier.

Dus je hoeft niet al je wachtwoorden te onthouden. Vooral als u meer dan één site beheert en verschillende diensten gebruikt, is een professioneel wachtwoordbeheer een zegen.

2. gebruik niet de gebruikersnaam "admin

Zoals reeds gezegd: Brute Force aanvallen zijn in feite gokpogingen. Je moet het de hackers dus zo moeilijk mogelijk maken om je gebruikersnaam te raden. Gebruik daarom niet de gebruikersnaam "admin" die door WordPress is voorgeprogrammeerd - en gebruik dus niet de gebruikersnaam die het systeem voor u heeft voorgeprogrammeerd. Deze gebruikersnaam is natuurlijk ook de standaard voor alle andere WordPress gebruikers.

3. de inlogpagina vergrendelen na te veel mislukte pogingen

Brute Force Aanvallen testen duizenden en duizenden combinaties van gebruikersnamen en wachtwoorden. Omgekeerd betekent dit dat zij duizenden en duizenden inlogpogingen genereren om te beperken.

Uw server zal merken dat er iets aan de hand is. Met een passende Plugin kunt u bepalen dat de toegang wordt geblokkeerd na een bepaald aantal mislukte pogingen, zodat hackers hun aanval moeten uitstellen. U kunt deze bescherming implementeren met een Plugin zoals WP Limit Login Attempts of Limit Login Attempts Reloaded.

Op RAIDBOXES heeft elke WordPress installatie standaard de functie om inlogpogingen te beperken geïntegreerd. Als een persoon of een bot te vaak probeert in te loggen op uw site met de verkeerde toegangsgegevens, blokkeren wij het IP in kwestie in eerste instantie gedurende 20 minuten. Als de inlogpogingen met valse gegevens doorgaan, wordt het IP zelfs 24 uur lang geblokkeerd. Natuurlijk kunt u ook zelf het aantal pogingen en de blokkeringsperiode bepalen.

Limit Login Attempts en Co. hebben een vervaldatum

Er is echter één belangrijk ding dat moet worden begrepen over dit Plugins : Het beperken van de aanmeldingspogingen van een IP-adres heeft een ernstige tekortkoming. Het kan niet anticiperen op de verandering van een IP-adres. Dit betekent dat botnet-aanvallen, bijvoorbeeld, niet of nauwelijks kunnen worden verdedigd. Met de nieuwe generatie IP-adressen (IPv6-adressen) kan één enkele aanvaller zijn IP-adres ook in fracties van seconden veranderen. Dit feit verhoogt het gevaar van botnetaanvallen.

En: een groot aantal van de Brute Force aanvallen zullen waarschijnlijk niet louter gokspelletjes zijn. Zoals de berekening in het deel over veilige wachtwoorden aantoont, kan zelfs een botnet met een miljoen apparaten veilige wachtwoorden niet raden. Daarom werken veel hackers met wachtwoordlijsten. Hierdoor wordt het aantal inlogpogingen beperkt tot de mogelijke combinaties van de respectieve wachtwoordbibliotheek.

Hoewel de beperking van het aantal inlogpogingen per IPnog steeds zinvol is, zal het belang van dit beveiligingsmechanisme in de toekomst snel afnemen. Het enige echt veilige beschermingsmechanisme tegen aanvallen met wisselende IP's is authenticatie op basis van twee factoren.

4. twee-factor authenticatie

Het idee achter het concept van twee-factorauthenticatie is om bij het inloggen een tweede bevestiging te vragen naast het wachtwoord. Dit is gewoonlijk een andere alfanumerieke code. Het bijzondere hieraan is dat het wordt doorgegeven buiten het eigenlijke inlogproces om - bijvoorbeeld via een codegenerator of een mobiele telefoon. En alleen de eigenaar van dit apparaat is uiteindelijk in staat om in te loggen.

Met de Google app Google Authenticator en een bijbehorende Plugin kan uitgebreide authenticatie relatief eenvoudig worden geïmplementeerd voor WordPress . Veelgebruikt zijn bijvoorbeeld de Plugins Google Authenticator van Hendrik Schack of Google Authenticator van miniOrange.

Om de extra beveiliging te installeren, downloadt u de Google-app op uw smartphone en installeert u de Plugin op WordPress . Hier wordt nu een QR-code gegenereerd, die u met de app scant. U kunt de rekening ook handmatig aanmaken. Nu zijn uw WordPress gebruikersaccount en de app gekoppeld op uw mobiele telefoon.

De app genereert nu elke 30 seconden een nieuwe beveiligingscode. Elke gebruiker voor wie authenticatie met twee factoren is geactiveerd, ziet nu de regel "Google Authenticator Code" naast "Gebruikersnaam" en "Wachtwoord" in het aanmeldgebied. Om in te loggen, heeft hij dus de smartphone nodig waarop de codes worden gegenereerd. Grote beveiligingsplugins zoals Wordfence bieden in sommige gevallen een soortgelijk mechanisme.

Het proces van dubbele authenticatie klinkt misschien ingewikkeld, maar vanuit beveiligingsoogpunt is het een zeer goede beveiliging tegen Brute Force aanvallen. Vooral met het oog op de eerder genoemde overgang van IPv4- naar IPv6-adressen.

Sterke wachtwoorden, het wijzigen van de gebruikersnaam, Plugins zoals Limit Login Attempts en two-factor authentication zijn allemaal maatregelen die u gemakkelijk, snel en zonder programmeerkennis kunt implementeren. En het allerbelangrijkste is dat extra authenticatie en echt sterke wachtwoorden ook effectief beschermen tegen Brute Force aanvallen.

Maar als je wilt, kun je nog meer doen. U kunt uw WP admin gedeelte beveiligen met een extra wachtwoord, een blacklist of whitelist maken, of zelfs uw WP admin gedeelte verbergen. Al deze maatregelen bieden echter over het algemeen niet meer veiligheid, maar moeten eerder worden gezien als opties of alternatieven.

5. extra wachtwoordbeveiliging

Als u uw WordPress site op een Apache server draait, heeft u de mogelijkheid om een multi-level login procedure te introduceren zonder Plugin . Dit komt omdat elke WordPress installatie op een Apache server een zogenaamd .htaccess bestand bevat. In dit bestand kunt u code opslaan voor een extra HTTP-authenticatie om een extra wachtwoordbeveiliging toe te voegen aan de inlogpagina. De server heeft een wachtwoord nodig om bezoekers zelfs maar door te laten naar het inlogscherm.

# Bescherm wp-login
AuthUserFile ~/.htpasswd
 AuthName "Privé toegang
 AuthType Basis
 vereist gebruiker mijngeheimgebruiker

Met dit commando wordt een wachtwoord-vraag gegenereerd voordat het wp-admin gebied zelfs maar kan worden geopend. Hier voert u een extra gebruikersnaam en wachtwoord in om überhaupt toegang te krijgen tot het inloggedeelte. De gegevens voor de extra gebruiker moeten echter worden gedefinieerd in de .htpasswd. Daartoe moeten de gebruikersnaam en het wachtwoord in gecodeerde vorm aan het bestand worden toegevoegd. De codexWordPress legt uit hoe dit proces in principe werkt.

6. blacklisting & whitelisting

Over .htaccess gesproken: U kunt een andere krachtige beveiliging implementeren met dit bestand. Een paar regels code zorgen ervoor dat alleen bepaalde IP's toegang hebben tot het WordPress dashboard of individuele directories.

Om dit te doen, plaatst u een extra .htaccess met de volgende code in de juiste directory - bij voorkeur wp-admin:

# Blokkeer de toegang tot wp-admin. 
 order deny,allow
 toestaan van x.x.x.x
 ontkennen van alle

x.x.x.x moet natuurlijk vervangen worden door de IP's die toegang moeten hebben tot de pagina. Het voorbeeld toont een "whitelist", d.w.z. een lijst van IP's die toegang mogen hebben tot de pagina. Dit betekent dat de inlogpagina wordt geblokkeerd voor alle andere IP's. Tussen haakjes, de volgorde van de commando's - "allow" gevolgd door "deny" - is uiterst belangrijk, omdat ze in volgorde worden uitgevoerd. Als "ontzeggen van allen" voorop staat, zult u ook voor gesloten deuren komen te staan.

Een zwarte lijst zou precies het tegenovergestelde mechanisme toepassen: Het zou bepalen welke IP's geen toegang mogen hebben tot de pagina. Natuurlijk zijn er ook plugin-oplossingen voor beide. Bijvoorbeeld, bekende beveiligingsplugins, zoals All In One WP Security, Wordfence of Sucuri, bieden elk een blacklist of whitelist functie. Er moet echter opgemerkt worden dat deze drie Plugins natuurlijk veel meer kunnen dan alleen maar blaklists of whitelists aanmaken. Daarom moet u ze niet uitsluitend voor deze functies installeren. Een populair alternatief is Plugin Loginizer, dat momenteel meer dan 500.000 actieve installaties heeft.

7. verberg het login-gebied

Brute Force Aanvallen vallen uw login pagina aan. Een zeer eenvoudige manier om deze aanvallen te voorkomen is te voorkomen dat de aanvallers toegang krijgen tot uw inlogpagina. Met dit doel verbergen sommige webmasters het inlogmasker. Het inloggedeelte is dan alleen toegankelijk via een geheime URL.

Deze maatregel volgt het (omstreden) beginsel van veiligheid door onduidelijkheid en is op zichzelf geen zinvolle veiligheidsmaatregel. Wij op RAIDBOXES zijn geen grote vrienden van dit principe. Als u de bovenstaande maatregelen uitvoert, hebt u uw login-gebied al zeer goed beveiligd en hoeft u het niet nog eens te verplaatsen. Deze maatregel kan echter bijdragen tot de gepercipieerde veiligheid, wat bijzonder belangrijk kan zijn voor de perceptie van uw klanten.

Als u uw wp-admin gebied wilt verbergen, kunt u één van de grote veiligheidsplugins gebruiken (die veel meer mogelijkheden bieden). Of je kunt een van deze populaire Plugins proberen:

Zoals we al zeiden: Naar onze mening is het verbergen van de wp-admin geen verstandige maatregel - althans niet om uw site te beschermen tegen Brute Force aanvallen. Als u een sterk wachtwoord hebt gekozen en een verstandige IP-uitsluitingsprocedure of twee-factorauthenticatie hebt toegepast, hebt u het risico van een succesvolle Brute Force -aanval al aanzienlijk verkleind.

Conclusie

Met een huidig marktaandeel van meer dan 32 procent is WordPress veruit het grootste CMS ter wereld. Het is onwaarschijnlijk dat dit in de toekomst zal veranderen. De kans om het doelwit te worden van een Brute Force aanval is dus, puur mathematisch, zeer groot. Daar moet je je bewust van zijn. Gelukkig kunt u zich er ook heel gemakkelijk tegen beschermen. Want enkele maatregelen, zoals veilige wachtwoorden en authenticatie op basis van twee factoren, kunnen in enkele ogenblikken en volledig zonder programmeerkennis worden geïmplementeerd.

En zelfs de zogenaamd moeilijkere maatregelen, zoals blacklisting of whitelisting, een extra wachtwoordbeveiliging of een blokkeringsmechanisme voor het inloggebied kunnen worden geïmplementeerd met Plugins . Als u dus gewoon de eerste drie of vier punten van dit bericht in acht neemt, bent u al goed beschermd tegen Brute Force aanvallen. Natuurlijk kunt u altijd meer doen, b.v. extra wachtwoordbeveiliging creëren of blacklists of whitelists instellen. Maar in dergelijke gevallen moet u afwegen of de extra beveiligingsmechanismen het echt waard zijn, vooral met het oog op de administratie-inspanning.

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts bij Slack te vinden.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.