Met deze 7 maatregelen kun je Brute Force aanvallen afweren...

8 Min.
Met ten minste 4 miljard individuele aanvallen dit jaar zijn Brute Force aanvallen waarschijnlijk de grootste bedreiging voor WordPress locaties.
Laatst bijgewerkt op

Met enkele miljarden individuele aanvallen per jaar, Brute Force aanvallen zijn misschien wel de grootste bedreiging voor WordPress Blz. Gelukkig is dit soort aanvallen ook erg onhandig en makkelijk te misleiden. We laten je vier eenvoudige en snelle acties zien tegen de aanvallen van hackers. En ook drie meer complexe beschermingsmechanismen.

Alleen al in april 2017 heeft de beveiligingsprovider Wordfence meer dan een miljard Brute Force aanvallen gerekend op -pagina'WordPress s wereldwijd. En dit is slechts een benaderende waarde - het aantal niet-gerapporteerde gevallen is aanzienlijk hoger. Dit betekent dat de aanvallen die proberen om automatisch wachtwoorden en gebruikersnamen te raden een groot gevaar vormen voor WordPress sites wereldwijd. Maar niet alleen dat. Want over 37,5 procent van de 10 miljoen grootste websites die momenteel onder WordPress . En dat betekent dat de kwestie van effectieve beschermingsmechanismen voor het internet als geheel WordPress ook relevant is.

Als u precies wilt weten hoe de Brute Force aanvallen werken en hoe gevaarlijk ze zijn, kijk dan eens naar onze Achtergrondartikel over het onderwerp Brute Force van de aanvallen op.

Ondanks hun grote aantal is er één goed nieuws: er zijn nuttige beveiligingsmaatregelen tegen Brute Force aanvallen die je zonder veel moeite en vooral zonder programmeerkennis zelf kunt uitvoeren. En er zijn maatregelen die in ieder geval enige basiskennis van het .htaccess-bestand vereisen.

Dit zijn de zeven maatregelen die we vandaag bespreken:

  1. Sterke wachtwoorden (zeer belangrijk!)
  2. Gebruik geen "admin" als gebruikersnaam
  3. Beperk het aantal ongeldige logins
  4. Twee-factor-authenticatie
  5. Multi-level login
  6. Blacklisting
  7. Verberg login gebied (is controversieel)

1. gebruik een sterk wachtwoord

A sterk wachtwoord is uiterst belangrijk als bescherming tegen Brute Force aanvallen. Bots en botnets gebruiken enorme wachtwoorddatabases voor hun "gokspelletjes". Deze zijn botweg uitgeprobeerd. Hoe ongebruikelijker en moeilijker uw wachtwoord is, hoe waarschijnlijker het is dat het niet in hen verschijnt.

Hoe langer en moeilijker je wachtwoord is, hoe langer het zal duren voor de bots om het te kraken als ze ook proberen om het wachtwoord te raden zonder een lijst.

Uw wachtwoord moet verschillende lettercombinaties bevatten uit de ...

  • 10 verschillende getallen (0 tot 9)
  • 52 verschillende letters (A tot Z en a tot z)
  • 32 verschillende speciale karakters ...

... en minstens 8 karakters lang zijn.

Het Password Manager Password Depot geeft hier een aantal duidelijke voorbeelden van Voorbeeldberekeningen Klaar. Hier wordt aangenomen dat een sterke enkele computer twee miljard wachtwoorden per seconde kan genereren. Concreet:

  • Een wachtwoord van 5 tekens (3 kleine letters, 2 cijfers) heeft 60 466 176 mogelijke combinaties en kan in 0,03 seconden worden gekraakt.
  • Een wachtwoord met 8 tekens (4 kleine letters, 2 speciale tekens, 2 cijfers) heeft al 457 163 239 653 376 mogelijke combinaties. Hier heeft de rekenmachine ongeveer twee en een halve dag nodig.
  • En een wachtwoord van 12 tekens (3 hoofdletters, 4 kleine letters, 3 speciale tekens, 2 cijfers) heeft maar liefst 475 920 314 814 253 376 475 136 mogelijke combinaties. Het duurt een enkele computer 7,5 miljoen jaar om dit wachtwoord te kraken.

In het WordPress -Codex voor het aanmaken van dergelijke wachtwoorden de Plugin Forceer sterke wachtwoorden aanbevolen. Dit dwingt gebruikers om complexe wachtwoorden te kiezen. Hoewel dit Plugin de site niet direct veiliger maakt, leert het de gebruikers wel om sterke wachtwoorden te gebruiken. En vooral als je voor een klant werkt, kan deze kleine hulp heel praktisch zijn.

Je hoeft de wachtwoorden niet te onthouden!

Wachtwoordbeheerders helpen u bij het maken en beheren van sterke wachtwoorden. Het enige wat u hoeft te doen is een masterwachtwoord te onthouden (natuurlijk ook het meest complexe). Het programma doet de rest voor u. Op Apple-computers is al een overeenkomstige toepassing, genaamd "Keychain Management", geïnstalleerd. Cloud-gebaseerde wachtwoordbeheerprogramma's zoals 1Password, LastPass of KeyPass werken op dezelfde manier.

Je hoeft dus niet al je wachtwoorden te onthouden. Vooral als u meer dan één site onderhoudt en gebruik maakt van een verscheidenheid aan diensten, is professioneel wachtwoordbeheer een zegen.

FREE DEV Programma RAIDBOXES

2. Gebruik niet de gebruikersnaam "admin".

Zoals gezegd: Brute Force Aanvallen zijn in feite pogingen om te gissen. U moet het dus zo moeilijk mogelijk maken voor hackers om uw gebruikersnaam te raden. Gebruik dus niet de WordPress standaard gebruikersnaam "admin" - en gebruik dus niet degene die het systeem voor u heeft ingesteld. Deze gebruikersnaam is ook de standaard voor alle andere WordPress gebruikers.

3. de inlogpagina 'vergrendelen' na te veel mislukte pogingen

Brute Force Aanvallen testen duizenden en duizenden combinaties van gebruikersnamen en wachtwoorden. Omgekeerd betekent dit dat u duizenden en duizenden aanmeldingspogingen genereert om te beperken.

Dus uw server is zich er terdege van bewust dat er iets aan de hand is. Met een overeenkomstige Plugin kunt u aangeven dat de toegang wordt geblokkeerd na een bepaald aantal mislukte pogingen, zodat hackers hun aanval in de wacht moeten zetten. U kunt deze bescherming bijvoorbeeld instellen met eenPlugin WP-limietaanmeldingspogingen of Beperk Login Pogingen Herladen werktuig.

Elke WordPress installatie RAIDBOXES heeft de functie om aanmeldingspogingen te beperken, standaard geïntegreerd. Als een persoon of een bot te vaak probeert in te loggen op uw site met de verkeerde inloggegevens, dan blokkeren we eerst het betreffende IP gedurende 20 minuten. Als de aanmeldingspogingen doorgaan met verkeerde gegevens, wordt het IP zelfs gedurende 24 uur geblokkeerd. Natuurlijk kunt u ook het aantal pogingen en de periode waarvoor het IP geblokkeerd is, bepalen.

Limiet Login Pogingen en Co. hebben een vervaldatum

Er is echter één belangrijk ding dat we moeten begrijpenPlugins : de beperking van de aanmeldingspogingen van een IP-adres heeft een ernstige zwakte. Het kan niet anticiperen op de wijziging van een IP-adres. Dit betekent dat aanvallen met bijvoorbeeld botnets alleen met een behoorlijke inspanning of helemaal niet kunnen worden afgeweerd. Bovendien kan een enkele aanvaller met de nieuwe generatie IP-adressen (de IPv6-adressen) zijn IP-adres in een fractie van een seconde wijzigen. Dit feit vergroot het gevaar van botnetaanvallen.

En: Een groot aantal van de Brute Force aanvallen moet niet alleen maar gokspelletjes zijn. Zoals de berekening in het hoofdstuk over veilige wachtwoorden laat zien, kan zelfs een botnet met een miljoen apparaten geen veilige wachtwoorden raden. Daarom werken veel hackers met wachtwoordlijsten. Dit reduceert het aantal aanmeldingspogingen tot de mogelijke combinaties van de respectievelijke wachtwoordbibliotheek.

Hoewel de beperking van de aanmeldingspogingen per IP nog steeds zinvol is, zal het belang van dit beveiligingsmechanisme in de toekomst snel afnemen. Het enige echt veilige beschermingsmechanisme tegen aanvallen met veranderende IP's is twee-factor-authenticatie.

4. tweefactorige authenticatie

Het idee achter het concept van twee-factor authenticatie is om een tweede bevestiging te vragen naast het wachtwoord bij het inloggen. Dit is meestal een andere alfanumerieke code. Het bijzondere is dat het buiten de eigenlijke inlogprocedure om wordt verzonden - bijvoorbeeld via een codegenerator of een mobiele telefoon. En alleen de eigenaar van dit apparaat kan eindelijk inloggen.

Met de Google App Google Authenticator en een bijbehorendePlugin , geavanceerde authenticatie kan relatief eenvoudig worden WordPress geïmplementeerd. Vaak gebruikt zijn bijvoorbeeld de Plugins Google Authenticator door Hendrik Schack of Google Authenticator van miniOrange.

Om de extra beveiliging toe te voegen, downloadt u de Google-app naar uw telefoon en installeert u deze Plugin in WordPress . Hier wordt een QR-code gegenereerd, die je met de app kunt scannen. U kunt de account ook handmatig aanmaken. Nu zijn uw WordPress gebruikersaccount en de app op uw telefoon gekoppeld.

De app genereert nu elke 30 seconden een nieuwe beveiligingscode. Iedere gebruiker voor wie de tweefactorige authenticatie is geactiveerd, ziet nu in het login-gedeelte naast "Gebruikersnaam" en "Wachtwoord" ook de regel "Google Authenticator Code". Om in te loggen hebben ze de smartphone nodig waarop de codes worden gegenereerd. Grote veiligheidsplugins zoals bijv. Wordfence bieden deels een soortgelijk mechanisme.

Het proces van dubbele authenticatie klinkt misschien ingewikkeld, maar vanuit veiligheidsoogpunt is het een zeer goede bescherming tegen Brute Force aanvallen. Vooral met het oog op de eerder genoemde wijziging van IPv4- naar IPv6-adressen.

Sterke wachtwoorden, wijzigingen in de gebruikersnaam zoals Plugins Limit Login Pogingen, en twee-factor authenticatie zijn allemaal maatregelen die u eenvoudig, snel en zonder programmeerkennis kunt implementeren. En vooral, de extra authenticatie en echt sterke wachtwoorden beschermen ook effectief tegen Brute Force aanvallen.

Maar als je wilt, kun je meer doen. U kunt uw WP admin gebied beveiligen met een extra wachtwoord, een zwarte of witte lijst maken, of uw Verberg WP admin gebied. Al deze maatregelen bieden echter meestal niet meer zekerheid, maar moeten eerder worden gezien als opties of alternatieven.

5. extra wachtwoordbeveiliging

Als u uw WordPress site op een Apache-server draait, heeft u de mogelijkheid om uw site op een Apache-server te draaien zonder Plugin dat u een multi-level-inlogprocedure hoeft in te voeren. Elke WordPress installatie op een Apache-server bevat een zogenaamd .htaccess-bestand. In dit bestand kunt u code toevoegen voor een extra HTTP-authenticatie om de inlogpagina te beveiligen met een extra wachtwoord. De server heeft al een wachtwoord nodig om bezoekers door te laten gaan naar de inlogpagina.

# Bescherm wp-login
AuthUserFile ~/.htpasswd
 AuthName "Privé toegang"
 AuthType Basis
 gebruiker mysecretuser nodig

Met deze opdracht wordt een wachtwoordverzoek aangemaakt voordat het wp-admin gebied zelfs toegankelijk is. Hier voert u een extra gebruikersnaam en wachtwoord in om überhaupt toegang te krijgen tot het inloggedeelte. De gegevens voor de extra gebruiker moeten worden gedefinieerd in de .htpasswd. Hiervoor moeten de gebruikersnaam en het wachtwoord in gecodeerde vorm in het bestand worden ingevoerd. De WordPress -Codex legt uit hoe dit proces in principe werkt.

e-boek: Meet de prestaties van uw site als een professional

6. blacklisting & whitelisting

Over .htaccess gesproken: Met dit bestand kunt u nog een andere krachtige bescherming implementeren Een paar regels code zorgen ervoor dat alleen bepaalde IP's toegang hebben tot het WordPress dashboard of individuele mappen.

Om dit te doen, moet u een extra .htaccess toevoegen met de volgende code in de juiste directory - bij voorkeur wp-admin:

# Blokkeer de toegang tot wp-admin.
 order ontkennen,toestaan
 toestaan van x.x.x.x
 ontkennen van alle

x.x.x.x.x moet je vervangen door de IP's die toegang tot de site zouden moeten hebben, natuurlijk. Het voorbeeld toont een witte lijst, een lijst van IP's die toegang hebben tot de pagina. De loginpagina is dus geblokkeerd voor alle andere IP's. Overigens is de volgorde van de commando's - "toestaan" gevolgd door "ontkennen" - uiterst belangrijk omdat ze in volgorde worden uitgevoerd. Als "ontkennen van alles" op de eerste plaats komt, sta je ook voor gesloten deuren.

Een zwarte lijst zou precies het tegenovergestelde mechanisme implementeren: Het zou bepalen welke IP's geen toegang tot de site mogen krijgen. Natuurlijk zijn er plugin-oplossingen voor beide. Bijvoorbeeld, bekende beveiligingsplug-ins, zoals Alles in één WP Veiligheid, Wordfence of Sucurielk met een zwarte lijst of witte lijst functie. Maar er moet worden opgemerkt dat deze drie Plugins natuurlijk veel meer kunnen doen dan alleen maar zwarte lijsten of witte lijsten maken. U moet ze dus niet uitsluitend voor deze functies installeren. Een populair alternatief hier zou de Plugin Loginizerdie momenteel meer dan 500.000 actieve installaties heeft.

7. verberg het registratiegebied

Brute Force Aanvallen vallen uw loginpagina aan. Een zeer eenvoudige manier om deze aanvallen te voorkomen is om te voorkomen dat de aanvallers zelfs uw inlogpagina betreden. Voor dit doel verbergen sommige webmasters de inlogpagina. Het inloggedeelte is dan alleen toegankelijk via een geheime URL.

Deze maatregel volgt het (omstreden) principe Veiligheid door obscuriteit en is op zich geen zinvolle veiligheidsmaatregel. We RAIDBOXES zijn geen grote vrienden van dit principe. Want als u bovenstaande maatregelen uitvoert, heeft u uw loginruimte al goed beveiligd en hoeft u deze niet extra te verplaatsen. Deze maatregel kan echter wel bijdragen aan de ervaren veiligheid, die vooral van belang kan zijn voor de beleving van uw klanten.

Als u wilt verberg wp-admin gebied je kunt een van de grote veiligheidsplugins gebruiken (die, zoals ik al zei, veel meer mogelijkheden bieden). Of je kunt een van deze populaire Plugins proberen:

Zoals gezegd: Het verbergen van de wp-admin is naar onze mening geen verstandige maatregel - in ieder geval niet om uw site te beschermen tegen Brute Force aanvallen. Als u hebt gekozen voor een sterk wachtwoord en een verstandige IP-uitsluitingsmethode of twee-factor-authenticatie hebt geïmplementeerd, hebt u het risico van een succesvolle Brute Force aanval al aanzienlijk verminderd.

Conclusie

Met een huidig marktaandeel van meer dan 32 procent is WordPress het veruit het grootste CMS ter wereld. Dit zal in de toekomst waarschijnlijk niet veranderen. De Kans om het doelwit van een Brute Force aanval te worden is daarom, puur wiskundig gezien, extreem hoog. Daar moet u zich van bewust zijn. Gelukkig kun je je er ook heel gemakkelijk tegen beschermen. Want een paar maatregelen, d.w.z. veilige wachtwoorden en twee-factor authenticatie, kunnen in enkele ogenblikken en volledig zonder programmeerkennis worden geïmplementeerd.

En u kunt ook de zogenaamd moeilijkere maatregelen Plugins uitvoeren, zoals een zwarte of witte lijst, een extra wachtwoordbeveiliging of een blokkeringsmechanisme voor het inloggebied. Dus als je alleen op de eerste drie of vier punten van deze post let, ben je al goed beschermd tegen Brute Force aanvallen. Natuurlijk kunt u altijd meer doen, bijvoorbeeld een extra wachtwoordbeveiliging aanmaken of zwarte of witte lijsten instellen. Maar in dergelijke gevallen moet u overwegen of de extra veiligheidsmechanismen echt de moeite waard zijn, vooral met betrekking tot de administratie.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een commentaar

Uw e-mail adres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met * gemarkeerd.