Brute force aanvallen in WordPress

WordPress is zonder twijfel het meest gebruikte CMS op de servers van Kyzoe, en met een marktaandeel van meer dan 65% wereldwijd het meets gebruikte content management systeem en daardoor natuurlijk ook zeer geliefd bij hackers en aanvallers in het algemeen.

Deze blog post handelt over woordenboek aanvallen, brute force attacks en hoe wij deze proberen te stoppen en hoe jezelf hier iets tegen kunt doen. 

Wat is een brute force attack?

IN het algemeen kunnen we stellen dat een brute force attack of een woordenboek aanval uitgevoerd wordt met een script die automatisch login en wachtwoord combinaties controleert totdat het een combinatie heeft gevonden die succesvol is. De bot geeft deze door en de aanvaller kan vervolgens zich als administrator voordoen en heeft alle vrijheden op de site. 

Het is dus belangrijk om een moeilijk wachtwoord te kiezen dat voldoende lang is en niet standaard in een woordenboek kan voorkomen. Ook combinaties van woorden die in een woordenboek voorkomen kunnen door deze bots geraden worden.

Wij adviseren een combinatie van cijfers, letters (klein & groot) en leestekens te gebruiken.

Het belangrijkste dat een hacker nodig heeft is tijd !

zoals hierboven al aangegeven is het mogelijk voor hackers om ook combinaties te raden van woordenboekwoorden als ze maar genoeg tijd hebben om alle mogelijke combinaties te proberen. Wachtwoorden als ‘pannenkoekenbakkenisleuk’ of ‘mijnliefishetbesteliefdateris’ al dan niet met Hoofdletters en kleine letter zijn dus niet perse veiliger dan ‘bank123’ als zal de laatste wel sneller geraden worden door de  bot software. Gebruik altijd Hoofdletters, kleine letters, cijfers en als het kan leestekens in je wachtwoord.

Wat doet kyzoe tegen bruteforce aanvallen?

Al onze servers zijn uitgerust met een systeem dat controleert hoevaak iemand probeert in te loggen op zowel de mail, ftp, SSH, je website en het hostingpaneel.

 Log je vaker dan 5 keer verkeerd in wordt je de toegang tot die dienst ontzegt en kan je niet meer op de server, werkt je mail niet meer en word inloggen op je website onmogelijk. Je website, je mail, je FTP, etc blijft weliswaar gewoon werken, maar jouw ip adres wordt geblokkeerd op onze server. 

Heb je dit voor dan stuur je ons een email op support@kyzoe.be vermeldt daarin je ip adres (dat kan je hier opzoeken) en wij blokkeren je weer.

Ik krijg meldingen dat mijn site aangevallen wordt?

Laten we beginnen met  te zeggen dat je websitehonderden keren per dag wordt aangevallen. Wij blokkeren dagelijks bijna 15000 ip adressen vanwege bruteforce aanvallen. 

Op de meeste WordPress websites draait de plugin ‘limit login attempts‘ deze wordt via installatron standaard geinstalleerd en ondanks dta het een hele goede plugin is heeft het één nadeel. Het verstuurd nogal wat email. Waar wij na vijf pogingen (binnen een uur) een ip adres blokkeren doet deze plugin dat al na 3 pogingen. 

 Het blokkeert aanvallers in eerste instantie voor 20 minuten. Waarna het ip adres weer wordt vrijgegeven en dan kan de aanvaller dus weer verder gaan. Onze systemen kijken naar het aantal mislukte inlogpogingen binnen een uur. 

Uitzetten notificaties

Heel veel klanten worden toch wel zenuwachtig van de meldingen die limit login attempts reloaded uitstuurt. Nu op zich ben je perfect veilig maar soms stuurt het heel veel email. Wij ontvingen er vorige week bijna 40 per dag voor één van onze websites. 

Deze meldingen kan je zonder problemen uitzetten, je gaat als volgt te werk:

  • login op je website.
  • ga naar instellingen.
  • klik op limit login attempts
  • klik op het tabblad instellingen
  • vink het vinkje uit bij ‘verstuur bericht bij uitsluiting’ 
  • klik op instellingen opslaan onder aan de pagina

Algemene tips voor een veilig wachtwoord.

  • Bedenk een wachtwoord zonder voor de hand liggende woorden.
  • Maak een wachtwoord van minimaal 12 karakters. Hoe langer, hoe beter.
  • Gebruik bijvoorbeeld een gezegde, zin uit een liedje of andere zin die je goed kunt onthouden en die lastig te raden of kraken is. Bijvoorbeeld: Liever U2 dan de 6e van Beethoven! Of: Wil ik een kat of 10 honden?
  • Hanteert de website een maximum aantal wachtwoordkarakters, dan kun je bijvoorbeeld de eerste letters van elk woord instellen als je wachtwoord. Bij de eerste zin wordt het: LUdd6vB! Bij de tweede: Wieko10h?
  • Je kunt ook de eerste 2 letters van elk woord uit je zin gebruiken. Dat wordt: LiU2dade6evaBe! En: Wiikeekaof10ho?
  • Of plak alle woorden aan elkaar en gebruik voor elk nieuw woord een hoofdletter: LieverU2DanDe6eVanBeethoven! En: WilIkEenKatOf10Honden?
  • Gebruik voor elk account een ander wachtwoord, want ook de website waar je je account hebt, kan gehackt worden, en internetcriminelen proberen een gestolen wachtwoord vaak uit op zoveel mogelijk verschillende internetdiensten. Krijgen criminelen één wachtwoord van jou in handen, dan hebben ze niet direct toegang tot al je accounts.
  • Bij sommige accounts kun je kiezen voor extra veiligheid met tweestapsverificatie. Kies waarnodig deze extra beveiligings stap.

Tweetraps verificatie

Wil je volledig op zeker spelen dan kan je er voor kiezen om een  twee traps verificatie plugin te installeren op je website.  Er zijn er in de repository verschillende te vinden

Persoonlijk vinden wij deze het beste het biedt een ruime ondersteuning voor diverse protocollen, Google, Authy, etc. 

Zwakke wachtwoorden

Tot slot nog even een rijtje met wachtwoorden die niet voldoen aan de eisen, en dus snel gehackt kunnen worden.

  • Nienke1984′ (als je partner of kind zo heet, kies geen wachtwoord met daarin persoonlijke informatie)
  • 123456
  • qwerty / azerty 
  • welkom01
  • voetbal123 (of een ander bestaand woord uit het woordenboek met een paar cijfers erachter)
  • ‘Facebook01! of ‘F@c3B0oK’ (of een ander woord dat te herleiden is tot de dienst)

Hulp nodig ?

De beveiliging van je website gaat ons nauw aan het hart, zit je vast wil je graga dat wij eens een security audit van je website doen, de problemen aanpakken of heb je gewoon een vraag. Stuur ons een e-mail en wij helpen je graag.

Reageer:

Over Kyzoe

Kyzoe is een full-service hosting-provider met een toekomstgericht aanbod aan diensten voor de digitale business van vandaag en morgen. Ons aanbod is gericht op zowel particuliere als zakelijke klanten. 

Meer berichten

Volg ons:

Blijf op de hoogte van onze blogs

Maximaal 1 e-mail per week op donderdag om 8.30 en enkel als er nieuwe blog berichten zijn.

SSD vs Hdd Hosting

Wij zetten de turbo voor je in: wij bieden je hosting met 100 procent SSD-power in datacenterkwaliteit.

Laat je overtuigen door onze meetresultaten: we hebben identieke WordPress-installaties met talrijke plug-ins en op een klassieke server met HDD en op SSD-harde schijven opgezet. We hebben de respectievelijke gemiddelde waarden bepaald uit verschillende metingen: De laadtijden van de websites waren gemiddeld 42 procent sneller op de krachtige SSD-systemen dan op de klassieke HDD-systemen. 

In tegenstelling tot onze concurrenten, die databases meestal alleen op “desktop” SSD’s opslaan of nog volledig vertrouwen op klassieke harde schijven, bewaren wij je volledige webdata (webruimte) inclusief de databases op SSD harde schijven in datacenterkwaliteit. Onze premium SSD’s op basis van de nieuwste servertechnologie zijn speciaal ontworpen voor professioneel gebruik in datacenters en zijn niet alleen snel, maar ook bijzonder betrouwbaar.

SSD-hosting is met name geschikt voor high-performance applicaties. De toename in snelheid is duidelijk merkbaar op websites met een hoog bezoekersaantal, aangezien er beduidend meer acties per seconde mogelijk zijn. SSD-harde schijven zijn ook zeer energiezuinig en onderstrepen daarmee de groene filosofie van Kyzoe.be.