Het verschil tussen een Brute Force Attack en een DoS aanval.

Een Brute Force Attack is een techniek met als doel toegang te verkrijgen. Systematisch worden alle mogelijke inlogcombinaties uitgeprobeerd. Dat kan soms in zo’n tempo gaan dat door het aantal verzoeken de website plat komt te liggen. Als er eenmaal toegang is, heeft de veroorzaker vrij spel. Zijn doel kan dan zijn klantengegevens buit maken, de website verbouwen (defacen) of de website besmetten zodat website bezoekers besmet worden met een virus.

Een DoS aanval (Denial of Service) heeft tot doel zoveel mogelijk ongemak te veroorzaken. In dit geval wordt er zoveel mogelijk verkeer richting het slachtoffer gestuurd zodat de website en zijn diensten plat komt te liggen. Vaak wordt dit gedaan met behulp van duizenden tot honderdduizenden besmette computers die op afstand bestuurd worden.

WordPress?

Omdat WordPress een zeer succesvolle cms is en door zeer veel mensen wordt gebruikt als techniek achter hun website, richten veel hackers zich ook op dit systeem.

Er zijn namelijk altijd wel mensen die hun WordPress website slecht onderhouden en dus een makkelijk slachtoffer zijn voor hun kwade bedoelingen.

In maar 3 stappen kan er ingebroken worden

Er zijn 3 stappen te ondernemen voor een hacker om succesvol in te breken op je WordPress website:

  1. Inlogadres website
    Het inlogadres van de website kan veranderd worden, maar wordt nog niet vaak genoeg gedaan. Dit adres ziet er standaard zo uit: www.domeinnaam.nl/wp-admin.
    Verander je dit niet, dan heb je het de hackers al een stuk gemakkelijker gemaakt.
  2. Gebruikersnaam
    De gebruikersnaam werd vroeger standaard door WordPress zelf op Admin gezet.
    Heb je een oudere WordPress website, dan is de kans groot dat je nog een Admin inlog hebt. Als je een nieuwe gebruiker aanmaakt, met een niet standaard naam, dan heb je het de hackers alweer een stukje moeilijker gemaakt. Vaak gebruikte gebruikersnamen zijn: Admin, Webmaster, wpengine
  3. Wachtwoord
    Het wachtwoord is het laatste opstakel dat de hacker moet ondernemen. Dat kan hij pas als hij de voorgaande 2 obstakels heeft weten te omzeilen. Er kan nu een programma op los gelaten worden dat in korte tijd duizenden variaties van wachtwoorden gaat uitproberen op je WordPress inlog. Jouw website krijgt dan duizenden verzoeken in korte tijd. Afhankelijk van je webpakket gaat je website vroeger of later plat onder al dit geweld of het wachtwoord wordt geraden en de hacker kan naar binnen.

Beveiliging

Met behulp van een beveiligingsplugin kan je het op allerlei manieren een hacker moeilijker maken.

Verander het inlogadres. Dit kan met behulp van diverse beveiligingsplugins.

Geen standaard gebruikersnaam. Als je tegenwoordig een nieuwe WordPress installeert, dan krijg je al automatisch een unieke gebruikersnaam toegewezen in de vorm van een reeks willekeurige letters en cijfers. Heb je wel nog een Admin gebruiker, maak dan een nieuwe gebruiker aan. Deze mag geen namen bevatten die je van de website af zou kunnen leiden. Geef deze gebruiker beheerdersrechten, log met behulp van deze gebruiker in en verwijder het Admin gebruikersaccount.

Er zijn ook beveiligingsplugins die deze optie in hun pakket hebben inbegrepen.

Over het wachtwoord kunnen we kort zijn. Letters, cijfers en leestekens. Minimaal 8 karakters, maar liever meer. En je gebruikt dit wachtwoord nergens anders.

Verder nog een aantal tips:

  • Maak twee accounts: Een beheerder account (die je dus geen admin noemt) en een auteursaccount voor je berichten.
  • Geef niet zomaar je inloggegevens af en vervang regelmatig je wachtwoord.
  • Zorg voor een schone en virusvrije computer.
  • Zorg voor een regelmatige backup van je website.
  • Zorg dat niet iedereen kan registreren. Via Instellingen -> Algemeen. Vink het vakje Iedereen kan registreren uit.
  • Zorg dat je plugins, thema’s en WordPress altijd up to date zijn.

Meest gebruikte beveiligingsplugins

All in one WP Security

Wordfence

IThemes Security