Mijn (Amerikaanse) webhost stuurde me gisteren al een mailtje om te melden dat er op grote schaal brute-force aanvallen worden uitgevoerd op Joomla en WordPress installaties. Hierbij worden duizenden besmette servers betrokken bij de aanvallen en pogen ze om bij zo goed als alle WordPress en Joomla installaties in te loggen als admin en het wachtwoord te kraken.
Hoewel mijn webhost me al trots meldde dat ze de aanvallen afgeslagen hadden (en dat ook blijven doen) zijn ze nog steeds gaande. The Verge meldt dat het netwerk alleen maar groeit en dat er nu zelfs 90.000 ip-adressen betrokken zijn bij de hackpogingen. Vooral WordPress ligt in het vizier aangezien er daar ook honderdduizenden installaties van zijn op internet.
Doe de deur goed op slot
Behalve hopen dat je webhost goed zijn best doet en ze van de servers weert waar je blog op staat, kun je zelf ook het een en ander doen.
- De aanvallen zijn specifiek gericht op WordPress sites die het standaard ‘admin’ als gebruikersnaam hebben. Log je inderdaad nog in als admin, verander dit zo snel mogelijk!
- Als je anno 2013 nog steeds geen sterk wachtwoord hebt dan verdien je het bijna om gehacked te worden hoor. Log je in met admin en als wachtwoord admin, dan is je blog waarschijnlijk nu al overgenomen ;) Kies of wijzig je wachtwoord naar iets sterks en zorg er voor dat het geen leesbaar woord is dat je in een woordenboek weer kunt vinden. WordPress geeft hier zelf ook tips over;
- Werk je WordPress installatie bij naar de laatste versie als je dat nog niet gedaan hebt en update ook alle plugins;
- Over plugins gesproken: je hebt specifieke plugins die de beveiliging van je WordPress site controleren en je suggesties aandragen hoe je dit kunt verbeteren. De Ultimate Security Checker plugin bijvoorbeeld. Ook een plugin als Bad Behaviour kan helpen door alle IP-adressen die je site willen benaderen te vergelijken met lijsten van bekende spamdomeinen.
Zet hackers de deur uit
Ben je te laat met de voorzorgsmaatregelen en ben je gehacked? Dan is het zaak er zo snel mogelijk wat aan te doen.
- Ga in het Dashboard van je WordPress site naar de gebruikersaccounts en controleer of er andere gebruikers zijn toegevoegd die je niet herkent. Bij een geslaagde hackpoging worden bijna altijd nieuwe gebruikers in een admin rol aangemaakt waarmee ze later je blog in kunnen komen. Verwijder die gebruikers zo snel mogelijk en wijzig je eigen wachtwoord als je dat nog niet gedaan had;
- Heb je meerdere legitieme gebruikers in een admin rol? Verander al die wachtwoorden dan ook meteen en maak ze sterk;
- Het is een technisch verhaal maar wijzig je beveiligingssleutels die in de wp-config.php staan opgenomen. Doe je dat niet, dan kan een al ingelogde admin gebruiker gewoon zijn gang blijven gaan ook al heb je dat account zonet verwijderd;
- Te technisch? Verwijder je blog compleet, herinstalleer WordPress en gebruik de backups die je al jaren trouw maakt van je blog (toch? toch?) om je blog weer in de oorspronkelijke staat terug te krijgen. Minus hackers die toegang hebben natuurlijk.
@ afbeelding via Cloudflare.com
Lees verder bij: Brute force-aanvallen op WordPress-sites verdriedubbeld (Tweakers) // Massive botnet using brute force attack to target WordPress sites (The Verge) // Brute Force Attacks Build WordPress Botnet (Brian Krebs) // Check your security settings: Brute force attacks against WordPress and Joomla sites have tripled (The Next Web)
#
Ik pikte de berichtgeving op via Ars Technica en TheNextWeb. In de log van mijn Bad Behaviour vond ik inderdaad vele pogingen terug om in te loggen. Wachtwoorden veranderd en de admin-user aangepast. Hopelijk is dit genoeg :D
De Bad behaviour logs maken me altijd al wel onrustig want die stromen eigenlijk constant wel vol hoewel het inderdaad stevig toegenomen is inmiddels. Ik had mijn admin user al gewijzigd toen WP 3.0 die mogelijkheid bood dus ik hoop op het beste. Mijn webhost bezweert me in die mail dat me niks kan overkomen :)
Maar ik maak nu wel dagelijks backups van mijn blog :P
Ik mag mijn gebruikersnaam niet veranderen…. Hoe moet je dat dan doen?
Ik linkte nog naar zo’n handige tutorial (die ik overigens gewoon via google gevonden heb :P). Bij een bestaand blog maak je effectief eerst een nieuwe admin gebruiker aan voor jezelf. Test of je daarmee zelf weer kunt inloggen en verwijder daarna de admin gebruiker.
Oooooo zooooooo! Dank je wel :)
RT @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/5Hsr6BmRa9
RT @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/mkhHsRBssp
RT @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/mkhHsRBssp
“@rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/fBhu9K6fMb” #iloveblogger
RT @Artoek: “@rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/fBhu9K6fMb” #iloveblogger
Handige tips! “@rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/XlHrbO2t5b”
Gelijk gedaan ” @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/rLf7KDWcH9”“
RT @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/mkhHsRBssp
WordPress sites worden aangevallen: tijd om na te denken over je beveiliging – Vakblog http://t.co/X55TIyTdU4 #ict #milieu
Goed verhaal Raymond. Ik denk dat velen nog vergeten om de beveiligingssleutels in de config.php te zetten (het werkt allemaal ook zonder dat je het doet, dus ….). Nog een tip, altijd de table-prefix aanpassen. Die staat standaard als wp_, maar daar iets leuks en niet te raden van ;), eindig wel met de underscore.
Dat is ook 1 van de dingen die de Ultimate Security Checker plugin aanbeveelt maar ik vond het wat … riskant om dat achteraf te hernoemen :)
Aan iedereen met WordPress: http://t.co/pvduJI6FJC
WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/UaWn9j9Qe2
WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT @indigonl: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT @indigonl: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
Ik ook dus “@indigonl: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/PBnvWFa8Nz door @rsnijders”
RT @JanDor: Ik ook dus “@indigonl: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/PBnvWFa8Nz door @rsnijders”
@ikkeonline ? RT @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/vHaMNumS4Y
Hoi Raymond,
Goed initiatief van je om hier een stuk over te schrijven. Goed dat je ook wp-config benoemd! Weten veel mensen niet…
Ik schat zelf in dat dit nog maar het begin is, aangezien steeds meer mensen online gaan en WordPress toch wel heel gemakkelijk is. Voor het beveiligen van WordPress heb ik zelf een stuk geschreven. Het betreft de beste beveiligingsplugins voor WordPress van 2013. Met alleen een beveiligingsplugin zijn we er nog niet natuurlijk. Als WordPress expert vind ik het belangrijk dat men ook weet hoe je een veilige WordPress installatie doet. (Wp-config/ .htaccess) Dat is wellicht nog veel belangrijker. Succes verder aan alle lezers. Hoop meer van je te lezen.
Stephen
Herhaling; WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT @indigonl: Herhaling; WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT “@indigonl: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/qiPvWrkqzL door @rsnijders”
RT @indigonl: Herhaling; WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT @indigonl: Herhaling; WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT @indigonl: Herhaling; WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
RT @indigonl: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/K1F381tBBi door @rsnijders
Lenteschoonmaak. Alle admin gebruikers uit de WordPress installaties halen. http://t.co/iDxslfv3LX
WordPress sites worden aangevallen: tijd om na te denken over je beveiliging – Vakblog http://t.co/PmQbkgHd2t
RT @rsnijders: [Vakblog] WordPress sites worden aangevallen: tijd om na te denken over je beveiliging http://t.co/mkhHsRBssp
RT @WebsiteCoachRdW: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging – Vakblog http://t.co/PmQbkgHd2t
[…] See on rsnijders.info […]
Log je in #WordPress nog steeds in met ‘admin’? Verander dit snel ivm hacks. RT pls http://t.co/2dbQCypvyr
RT @Vlien66: Log je in #WordPress nog steeds in met ‘admin’? Verander dit snel ivm hacks. RT pls http://t.co/2dbQCypvyr