Let op als je een WordPress website hebt en je de beheerders gebruikersnaam “admin” gebruikt. Volgens diverse bronnen is er op dit moment een grootschalige aanval op WordPress websites aan de gang. Voor zover bekend is dit een zogenaamde woordenlijstaanval. De hackers maken gebruik van het feit dat de meeste WordPress website na installatie de standaard beheerders gebruikersnaam “admin” gebruiken. Dit in combinatie met een standaard, makkelijk te raden wachtwoord, maakt WordPress websites een makkelijk doelwit om gehackt te worden.
Wat kun je doen om te voorkomen dat je WordPress website gehackt wordt?
Verander de gebruikersnaam “admin” in een andere naam
De eerste actie die je uit moet voeren, is het veranderen van de gebruikersnaam. Verander het in een naam dit niet gelijk is aan je schermnaam (de naam van de auteur die zichtbaar is op de website), dit maakt het nl. voor hackers nog steeds makkelijk om de naam te raden. Als je beheerder bent en je gebruikersnaam is admin en je schermnaam is Jan Jansen. Verander de gebruikersnaam dan niet in “jan jansen” maar gebruik een hele andere naam.
Zorg voor een “sterk wachtwoord”
Wachtwoorden zoals 123456, de naam van je huisdier, de naam van je vriendin met maandnummer, qwerty, welkom zijn allemaal voorbeelden van zwakke wachtwoorden. Deze wachtwoorden worden veel gebruikt en zijn makkelijk te raden. Hackers maken lijsten van dit soort zwakke wachtwoorden en proberen ze net zolang uit tot ze beet hebben. Gebruik daarom liever sterke wachtwoorden. Een sterk wachtwoord bestaat uit een combinatie van kleine letters, hoofdletters, speciale tekens en getallen. Je kunt met wat creativiteit sterke wachtwoorden maken die makkelijk te onthouden zijn. Bijvoorbeeld: “D|evv3sW.” (Dit is een voorbeeld van een sterk wachtwoord.)
Op de website “The password meter” kun je de sterkte van jouw wachtwoord testen. Of bekijk ter inspiratie de lijst met de 25 slechtste wachtwoorden (Engels).
Gebruik een WordPress plugin om de inlog pogingen te maximaliseren
De hackers proberen meerder keren met een ander wachtwoord in te loggen. Dit kun je voorkomen de plugin “Limit Login Attempts” te installeren. Standaard staat WordPress toe dat een gebruiker een ongelimiteerd aantal keer mag proberen in te loggen. Deze plugin wordt dit voorkomen. Een gebruiker kan nu een maximaal aantal inlog pogingen doen.
Met deze 3 aanpassingen kun je voorkomen dat jouw WordPress slachtoffer wordt van deze hackers aanval. Voel je je nog niet veilig genoeg? Dan kun je je WordPress website nog verder beveiligen door:
[checklist]
- Je wp-admin directory te beveiligen dmv .htaccess
- Of je kunt de app Two Step Authentication gebruiken.
[/checklist]
Heb je iets aan de tips gehad? Of heb je nog andere tips? Laat deze in het commentaar veld hieronder achter. Deel dit bericht met zoveel mogelijk mensen via Social Media zodat niemand onnodig slachtoffer wordt van deze hackers!
Ik herstel 7 dagen per week gehackte WordPress websites, de meest gemaakte fout die ik zie is het inzetten van een beveiligingsplugin zonder die te configureren.
De beveiligingsplugin moet ingesteld worden.
Tevens zie ik veel WordPress websites waar meerdere beveiligingsplugins tegelijk draaien. Denk aan WordFence, Ithemes Security en de Sucuri plugin.
Dat zorgt voor problemen, een overvolle database en uiteindelijk doen ze elkaars werk dubbel.
Kortom, 1 goede beveiligingsplugin. 1x goed instellen en dan af-en-toe de monitoring van die plugins bekijken. De logboeken om te zien of alles nog goed gaat in je website.
Gebruik nu deze plugin. Better WP Security. Kan je hier vinden.
http://wordpress.org/extend/plugins/better-wp-security/
Mark
Hoi Henk,
Bedankt voor het delen!
Hoi Melvin,
Vandaag dus dit bericht gekoppeld aan mij LinkedIn contacten. Voorkomen is beter dan genezen toch?
Dank en groet, Henk
Hoi Mark,
Goede keuze! Dat voorkomt dit probleem alvast. Pas je de andere tips toe?
Hoi Melvin,
Ik gebruik niet de naam admin in het bouwen van wordpress websites.