Wist u dat brute force-aanvallen een van de meest voorkomende vormen van cyberaanvallen zijn? Een brute force-aanval is wanneer iemand continu probeert uw wachtwoord te raden totdat ze binnenkomen. Erger nog, WordPress heeft geen ingebouwde bescherming tegen hen. Met WordPress kunt u standaard een onbeperkt aantal wachtwoorden proberen, waardoor het gemakkelijker wordt om in te breken op websites.
Indien uw hosting provider geen brute force aanvallen onderschept is het dus aan u om deze te detecteren en tegen te gaan. Vandaag zal ik u demonstreren hoe u dat heel makklijk kunt doen met de plug-in Limit Login Attempts Reloaded. Maar eerst het waarom:
Waarom WordPress-aanmeldingspogingen beperken
Omdat WordPress gebruikers toestaat een onbeperkt aantal onjuiste inloggegevens in te voeren, is er niets dat de trial and error-aanpak stopt. Als u zich echter voorstelt dat iemand deze informatie daadwerkelijk intypt, vergist u zich ernstig. Hackers gebruiken scripts waarmee ze inloggegevens veel sneller kunnen invoeren. Dit vergroot dramatisch de kans dat ze daadwerkelijk zullen slagen, omdat ze in korte tijd meer kansen krijgen.
Er is echter een eenvoudige oplossing… beperk de inlogpogingen. Ondanks het kan gebeuren dat een gebruiker zijn wachtwoord vergeet of zijn informatie per ongeluk een of twee keer verkeerd invoert, hebben ze zeker geen onbeperkte pogingen nodig. Op andere websites bijvoorbeeld op de website van uw bank is het heel gebruikelijk om uw inlogpogingen te beperken tot 3. Dat kunnen we ook op uw WordPress eenvoudig bereiken.
Het installeren van de plugin (limit login attempts reloaded)
De plug-in Limit Login Attempts Reloaded is een extreem populaire plug-in met meer dan 1 miljoen actieve installaties. Met deze plug-in kunt u het aantal aanmeldingen invoeren dat u bezoekers wilt laten hebben. Zodra dat aantal wordt overschreden, wordt hun IP-adres voor een aanpasbare tijd verbannen.
Om te installeren ga je als volgt te werk:
- Klik op Plug-ins en selecteer de optie Nieuwe Plugin in de zwarte balk links.
- Zoek naar limit login attempts reloaded in het zoekvak rechts boven:
- in het overzicht krijg je dan alle plugins die aan de zoekwoorden voldoen, wij kiezen dus limit login attempts (2) en gaan deze installeren natuurlijk, daarttoe klikken op de knop nu installeren (3) en daarna ook op de knop activeren.
Als de activatie gedaan is, is de plug-in geinstalleerd op de site en kan je starten met het configureren. Daartoe klik je op instellingen en dan vervolgens op limit login attempts.
De configuratie
Wel die is erg eenvoudig, en duurt minder dan 5 minuten.
We overlopen de setting s even aan de hand van bovenstaande image:
- De eerste optie maakt dat de Plugin GDPR conform zal werken. Een absolute must tegenwoordig.
- Als tweede kan u een email adres opgeven bij buitensluiting, wij hebben dat niet aanstaan zoals u ziet, en ik kom er straks op terug waarom.
- Onder optie drie vindt je de instellingen waaronder het aantal toegestane pogingen, hoelang ze geblokkeerd worden, wanneer er een reset van het aantal pogingen is en meer de meeste opties laten wij staan zoals ze zijn ze voldoen voor ons.
Als laatste slaan we de instellingen op. en dan zijn we eigenlijk klaar.
Het Dashboard.
Onze servers hebben een eigen brute force detectie systeem en we gebruiken Limit login attempts als aanvulling er op, nu hebben we een test site gedurende één maand op een niet beveiligde server geplaatst om de effectiviteit van deze plugin te meten.
Je ziet het in het dashboard een overzicht sinds de laatste reset van het aantal geblokkeerde pogingen om in te loggen, maar liefst 4635 pogingen zijn geblokkeerd. En dan hebben we ook gelijk de reden waarom we de meldingen van buitensluitingen niet aan hebben gezet, wij hadden geen zin in 4635 extra emails. We vertrouwen daarnaats op de plugin.
Is deze plugin echt nodig?
Bij een hosting provider als Kyzoe.be, is deze plugin niet persé nodig, wij hebben een firewall die de WordPress logfiles scant op bruteforce aanvallen, zowel op XMLRPC als login nivo maar het kan zeker geen kwaad, het vertraagt uw website niet en u bent nog zekerder van een betere beveiliging.
Elke website die wij installeren krijgt deze plugin standaard mee geïnstalleerd. Beter safe dan sorry.
Als laatste wil ik nog eens duidelijk mee geven dat deze plugin enkel het aantal pogingen beperkt dat iemand kan proberen in te loggen op uw website. Als je een makkelijk te raden wachtwoord gebruikt dan heb je er helemaal niks aan. Maak het hackers dus niet makkelijk en gebruik degelijke wachtwoorden.
