WordPress sites worden aangevallen: tijd om na te denken over je beveiliging

wordpressMijn (Amerikaanse) webhost stuurde me gisteren al een mailtje om te melden dat er op grote schaal brute-force aanvallen worden uitgevoerd op Joomla en WordPress installaties. Hierbij worden duizenden besmette servers betrokken bij de aanvallen en pogen ze om bij zo goed als alle WordPress en Joomla installaties in te loggen als admin en het wachtwoord te kraken.

Hoewel mijn webhost me al trots meldde dat ze de aanvallen afgeslagen hadden (en dat ook blijven doen) zijn ze nog steeds gaande. The Verge meldt dat het netwerk alleen maar groeit en dat er nu zelfs 90.000 ip-adressen betrokken zijn bij de hackpogingen. Vooral WordPress ligt in het vizier aangezien er daar ook honderdduizenden installaties van zijn op internet.

Doe de deur goed op slot
Behalve hopen dat je webhost goed zijn best doet en ze van de servers weert waar je blog op staat, kun je zelf ook het een en ander doen.

  • De aanvallen zijn specifiek gericht op WordPress sites die het standaard ‘admin’ als gebruikersnaam hebben. Log je inderdaad nog in als admin, verander dit zo snel mogelijk!
  • Als je anno 2013 nog steeds geen sterk wachtwoord hebt dan verdien je het bijna om gehacked te worden hoor. Log je in met admin en als wachtwoord admin, dan is je blog waarschijnlijk nu al overgenomen ;) Kies of wijzig je wachtwoord naar iets sterks en zorg er voor dat het geen leesbaar woord is dat je in een woordenboek weer kunt vinden. WordPress geeft hier zelf ook tips over;
  • Werk je WordPress installatie bij naar de laatste versie als je dat nog niet gedaan hebt en update ook alle plugins;
  • Over plugins gesproken: je hebt specifieke plugins die de beveiliging van je WordPress site controleren en je suggesties aandragen hoe je dit kunt verbeteren. De Ultimate Security Checker plugin bijvoorbeeld. Ook een plugin als Bad Behaviour kan helpen door alle IP-adressen die je site willen benaderen te vergelijken met lijsten van bekende spamdomeinen.

Zet hackers de deur uit
Ben je te laat met de voorzorgsmaatregelen en ben je gehacked? Dan is het zaak er zo snel mogelijk wat aan te doen.

  • Ga in het Dashboard van je WordPress site naar de gebruikersaccounts en controleer of er andere gebruikers zijn toegevoegd die je niet herkent. Bij een geslaagde hackpoging worden bijna altijd nieuwe gebruikers in een admin rol aangemaakt waarmee ze later je blog in kunnen komen. Verwijder die gebruikers zo snel mogelijk en wijzig je eigen wachtwoord als je dat nog niet gedaan had;
  • Heb je meerdere legitieme gebruikers in een admin rol? Verander al die wachtwoorden dan ook meteen en maak ze sterk;
  • Het is een technisch verhaal maar wijzig je beveiligingssleutels die in de wp-config.php staan opgenomen. Doe je dat niet, dan kan een al ingelogde admin gebruiker gewoon zijn gang blijven gaan ook al heb je dat account zonet verwijderd;
  • Te technisch? Verwijder je blog compleet, herinstalleer WordPress en gebruik de backups die je al jaren trouw maakt van je blog (toch? toch?) om je blog weer in de oorspronkelijke staat terug te krijgen. Minus hackers die toegang hebben natuurlijk.
@ afbeelding via Cloudflare.com
Lees verder bij: Brute force-aanvallen op WordPress-sites verdriedubbeld (Tweakers) // Massive botnet using brute force attack to target WordPress sites (The Verge) // Brute Force Attacks Build WordPress Botnet (Brian Krebs) // Check your security settings: Brute force attacks against WordPress and Joomla sites have tripled (The Next Web)

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

Comments (39) Write a comment

  1. Ik pikte de berichtgeving op via Ars Technica en TheNextWeb. In de log van mijn Bad Behaviour vond ik inderdaad vele pogingen terug om in te loggen. Wachtwoorden veranderd en de admin-user aangepast. Hopelijk is dit genoeg :D

    Reply

    • De Bad behaviour logs maken me altijd al wel onrustig want die stromen eigenlijk constant wel vol hoewel het inderdaad stevig toegenomen is inmiddels. Ik had mijn admin user al gewijzigd toen WP 3.0 die mogelijkheid bood dus ik hoop op het beste. Mijn webhost bezweert me in die mail dat me niks kan overkomen :)

      Maar ik maak nu wel dagelijks backups van mijn blog :P

      Reply

    • Ik linkte nog naar zo’n handige tutorial (die ik overigens gewoon via google gevonden heb :P). Bij een bestaand blog maak je effectief eerst een nieuwe admin gebruiker aan voor jezelf. Test of je daarmee zelf weer kunt inloggen en verwijder daarna de admin gebruiker.

      Reply

  2. Goed verhaal Raymond. Ik denk dat velen nog vergeten om de beveiligingssleutels in de config.php te zetten (het werkt allemaal ook zonder dat je het doet, dus ….). Nog een tip, altijd de table-prefix aanpassen. Die staat standaard als wp_, maar daar iets leuks en niet te raden van ;), eindig wel met de underscore.

    Reply

  3. Hoi Raymond,
    Goed initiatief van je om hier een stuk over te schrijven. Goed dat je ook wp-config benoemd! Weten veel mensen niet…
    Ik schat zelf in dat dit nog maar het begin is, aangezien steeds meer mensen online gaan en WordPress toch wel heel gemakkelijk is. Voor het beveiligen van WordPress heb ik zelf een stuk geschreven. Het betreft de beste beveiligingsplugins voor WordPress van 2013. Met alleen een beveiligingsplugin zijn we er nog niet natuurlijk. Als WordPress expert vind ik het belangrijk dat men ook weet hoe je een veilige WordPress installatie doet. (Wp-config/ .htaccess) Dat is wellicht nog veel belangrijker. Succes verder aan alle lezers. Hoop meer van je te lezen.

    Stephen

    Reply

  4. Pingback: WordPress sites worden aangevallen: tijd om na te denken over je beveiliging – Vakblog – Ritanila's Weblog

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top