Manieren die aanvallers proberen:
ook op jouw website!
Eén van de manieren waarop aanvallers proberen in te breken in uw site is door het raden van uw gebruikersnaam en wachtwoord. Ze proberen geldige gebruikersnamen te achterhalen en vervolgens lijsten met veelvoorkomende wachtwoorden uit te proberen in de hoop met succes te kunnen inloggen. Deze “woordenboek aanvallen” zijn een soort van brute kracht login aanval.
Wordfence bevat een aantal krachtige brute force beschermingsfuncties die kunnen worden gebruikt om te voorkomen dat kwaadaardige bots toegang krijgen tot uw site, waaronder de integratie met Troy Hunt’s versie 2 van de Pwned Passwords API die toegang met behulp van wachtwoorden die eerder zijn gezien en een inbreuk voorkomt.
Wanneer u Wordfence voor de eerste keer installeert, wordt de plug-in standaard ingesteld op de aanbevolen instellingen die een perfecte startplaats zijn voor aanpassing. U hoeft niet veel anders te doen. Wordfence is echter zeer configureerbaar, zodat u de manier waarop het werkt kunt aanpassen aan uw behoeften.
Factoren waarmee u rekening moet houden bij het wijzigen van de instellingen voor brute krachtbeveiliging van uw site zijn onder andere:
1. Hoe bedreven zijn uw gebruikers?
2. Heeft u gebruikers die hun wachtwoord vaak vergeten? Melden ze zich sporadisch aan en hebben ze een grote kans om hun wachtwoord te verliezen? U zult er rekening mee willen houden en ruimte willen laten voor gebruikersfouten.
3. Is dit een site met veel verkeer en veel profiel die vaak hackpogingen ondervindt?
4. Wordt uw site herhaaldelijk aangevallen door bruut geweld?
Beslissing 1
Uw eerste beslissing is hoeveel mislukte aanmeldingspogingen u moet toestaan en over welke periode u de mislukkingen moet tellen. De standaardconfiguratie staat tot 20 mislukkingen toe over een periode van 4 uur. Als u veel gebruikers hebt, vooral degenen die meer geneigd zijn hun wachtwoord te vergeten, kan dit perfect zijn voor uw site. Als u echter maar een handvol gebruikers heeft die zeer technisch zijn, dan kunt u deze misschien wat aanscherpen. In het uiterste geval hebben we enkele klanten die slechts 2 aanmeldingsfouten in een periode van 5 minuten toestaan.
Uw volgende beslissing is hoeveel keer het “wachtwoord vergeten” formulier op uw site kan worden gebruikt. Dit beschermt u tegen het gebruik van uw “wachtwoord vergeten” formulier om de inbox van een echte gebruiker te overspoelen met e-mails met wachtwoord reset, en voorkomt dat aanvallers proberen de gebruikersaccounts op uw systeem te raden. De standaardwaarde is 20. Het instellen van dit op 5 zou een veilige keuze moeten zijn voor de meeste sites en veel site-eigenaren worden nog agressiever.
Beslissing 2
Vervolgens moet u beslissen hoe lang u een gebruiker (of aanvallende IP) wilt vergrendelen als deze een van uw aanmeldingsdrempels heeft overschreden. De standaardwaarde is 4 uur. Veel sites verhogen deze waarde tot een dag. Sites met een meer agressieve houding stellen dit vaak in op een maand. Het grote nadeel van te agressief zijn met deze instellingen is dat u het risico loopt uw gebruikers of uzelf voor langere tijd buiten uw site te houden. Bedenk wat u in deze situaties gaat doen bij het nemen van deze beslissingen.
Onmiddellijk blokkeren van gebruikers (of IP’s) die een ongeldige gebruikersnaam gebruiken is een andere optie. Standaard staat deze optie uit, omdat het de kans dat u of een andere admin uzelf per ongeluk buiten uw site zet, aanzienlijk vergroot. Als u er zeker van bent dat u uzelf niet kunt uitsluiten, of als u een back-up plan hebt, kan het inschakelen van deze optie een grote stap zijn in de richting van het uitsluiten van uw site.
Derde optie
Als de vorige optie te agressief is voor uw site, bieden wij ook een optie om aanvallers die gebruik maken van een specifieke lijst met gebruikersnamen buiten te sluiten. De meeste manieren die aanvallers gebruiken zien we terug in het proberen van gewone gebruikersnamen zoals ‘admin’, ‘administrator’ en verschillende strings op basis van uw domeinnaam. Het opstellen van uw eigen lijst gemaakt met voorspelbare gissingen kan zeer effectief zijn.
De volgende optie om te overwegen is het voorkomen van het gebruik van wachtwoorden die bij een data-inbreuk gelekt zijn. Dit is standaard ingeschakeld, met “Alleen voor beheerders” geselecteerd. Om uw site nog strakker te vergrendelen, kunt u overwegen deze optie te wijzigen in “Voor alle gebruikers met de mogelijkheid om berichten te publiceren”.
Extra Opties
Er is een belangrijke set van opties in de “Extra Opties” sectie voor u om ook te overwegen. We raden de meeste site-eigenaren aan om de standaardconfiguratie te laten staan. Dat zijn:
– Handhaving van sterke wachtwoorden
– Laat WordPress geen geldige gebruikers onthullen in aanmeldingsfouten
– Voorkom dat gebruikers een ‘admin’-gebruikersnaam registreren als deze niet bestaat
– Voorkom ontdekking van gebruikersnamen via ‘/?author=N’ scans, de oEmbed API en de WordPress REST API.
– Blokkeer IP’s die POST-verzoeken sturen met een blanco User-Agent en Referer
– Aangepaste tekst tonen op blokpagina’s
– Controleer de sterkte van het wachtwoord bij het bijwerken van het profiel
– Deelnemen aan het Real-Time Security Network
Tot slot doet de Wordfence real-time IP blacklist het goed om IP’s die actief WordPress-sites aanvallen te blokkeren.
