Roger.OverdevestWil je je WordPress-website beschermen tegen brute force-aanvallen? Een brute force attack kan je website langzamer maken of zelfs onbereikbaar maken. In een erg geval kan een brute force-aanval zelfs malware op je website installeren.
In onze artikelen en op onze pagina's staan affiliate links. Wanneer je via één van deze links een aankoop doet, ontvangen wij een (meestal kleine) commissie van de verkoper. Wij geven altijd onze eerlijke mening over producten. Klik hier voor meer informatie.
Om je WordPress-website te beveiligen tegen een brute force-aanval kun je verschillende dingen doen. We raden je sowieso aan om onze gratis WordPress beveiligen checklist te downloaden.
Wat is een brute force-aanval?
Een brute force-attack is een bekende methode om websites te hacken. Bij zo’n aanval wordt er veel rekenkracht gebruikt om net zo lang te proberen een website te hacken totdat het lukt. Als er bijvoorbeeld geen algoritme is om een website te hacken, kan er met brute force geprobeerd worden om alle opties uit te proberen totdat er een gevonden is. In het geval van WordPress kan dat bijvoorbeeld gebeuren met het wachtwoord van je WordPress admin-omgeving.
Divi theme & Divi Builder
Bij Elegant Themes ontvang je meer dan
85 premium WordPress themes (waaronder Divi!) voor maar 89 dollar!
Bekijk de themes »»
Lees meer over Divi.
Doordat er bij een (goede) brute force-aanval heel veel verschillende IP-adressen worden gebruikt, is het moeilijk om zo’n aanval te blokkeren. Er zijn namelijk plugins die (op basis van IP-adres) de toegang tot de admin-omgeving blokkeren als er te vaak is geprobeerd in te loggen. Deze beveiligings-methode is niet altijd effectief bij een brute force-aanval, doordat deze gebruikmaakt van meerdere IP-adressen.
Een brute force-aanval voorkomen
Er zijn een aantal belangrijke zaken die je moet regelen om te voorkomen dat je WordPress-website slachtoffer wordt van een brute force-aanval.
1: Verhuis je website naar een goede hostingpartij
Het allerbelangrijkste voor de veiligheid van je WordPress-website is dat je een goede hostingpartij gebruikt. Onze hostingpartij Cloud86 scant het platform dagelijks op backdoors en andere veiligheidsrisico’s. Als je website dan toch gehackt wordt, dan zorgt Cloud86 ervoor dat je website weer schoongemaakt wordt.
2: Houd WordPress up-to-date
Door ervoor te zorgen dat je altijd netjes op tijd je WordPress updates installeert, zorg je ervoor dat bekende problemen in plugins, themes of WordPress zelf niet gebruikt kunnen worden om je website te hacken. In oudere versies van plugins en themes zitten vaak bekende backdoors. Dit weten hackers ook. Het is daarom belangrijk om plugins en themes regelmatig te updaten, zodat bekende problemen direct verholpen worden.
3: Installeer een firewall
Naast het up-to-date houden van je WordPress-installatie, kan het helpen om een firewall-plugin zoals Sucuri te installeren. Dit is een DNS-firewall, waardoor al het verkeer naar je website eerst door de proxy van Sucuri loopt. Zo worden hackers vaak weggefilterd voordat ze je website kunnen bereiken. Ook CloudFlare is een effectieve tool om je website te beschermen.
4: Bescherm je wp-admin
Veel brute force-aanvallen proberen toegang te krijgen tot de admin-omgeving van WordPress. Als je toegang hebt tot je server via bijvoorbeeld DirectAdmin, kun je een extra wachtwoord toevoegen aan de /wp-admin/ folder. Open in DirectAdmin de “file manager” en zoek naar je wp-admin folder. Klik vervolgens op “Protect”:
Je komt vervolgens in een scherm waar je een gebruikersnaam en wachtwoord kunt opgeven:
Let op: Dit is niet het wachtwoord van je admin-account! Dit is een extra laag beveiliging, waardoor je dus twee keer moet inloggen. Je kunt dit wachtwoord gerust in je browser opslaan.
5: Zet “directory browsing” uit
Veel servers laten automatisch een lijst van mappen en bestanden zien als een bepaalde directory geen “index.html”- of “index.php”-bestand heeft. Een hacker kan op deze manier zien welke bestanden je allemaal op je website hebt staan en zo achterhalen welke bestanden kwetsbaar zijn.
Dit kun je uitzetten door de volgende code onderaan je .htaccess-bestand toe te voegen:
Options -Indexes
6: Zorg voor regelmatige en automatische backups
Zorg dat er regelmatig een backup wordt gemaakt van je WordPress-installatie. En zorg ook dat dit automatisch gebeurt, zodat er nog steeds backups worden gemaakt als je het een keer vergeet. Hostingpartijen zoals Cloud86 en Cloud86 maken automatisch iedere dag backups. Zorg ervoor dat je backups ook downloadt en ergens anders opslaat (bijvoorbeeld in iCloud of Google Drive).
Lees ook: Automatisch WordPress backups maken naar Google Drive »
7: PHP uitzetten voor bepaalde folders
Een hacker kan een PHP-script in één van je WordPress-folders plaatsen. Doordat WordPress zelf ook op PHP draait, kun je PHP niet uitzetten in alle folders. Logisch, want WordPress heeft PHP nodig om te kunnen werken. Maar er zijn ook folders waarin je PHP kunt uitzetten zonder dat dit gevolgen heeft voor de werking van je website.
De folder /wp-content/uploads heeft geen PHP nodig, omdat hier alleen media-bestanden in staan. Je kunt een .htaccess-bestand in deze folder zetten dat het uitvoeren van PHP-code tegengaat. In dat bestand moet de volgende code staan:
<Files *.php> deny from all </Files>
Conclusie
Het voorkomen van een brute force-aanval kun je zo veel mogelijk doen door de bovenstaande adviezen op te volgen. Het allerbelangrijkste is dat je bij een hostingpartij zit die dit actief in de gaten houdt, zoals Cloud86. Daarnaast is het belangrijk om een goede backup-oplossing te hebben, zodat je iets hebt om op terug te vallen als je website tóch een keer gehackt wordt.
Robin
Mark Hagendijk
Reageer