Een brute-force aanval is een aanval waarbij met ‘brute kracht’ toegang tot je site wordt afgedwongen door elk mogelijke combinatie van inloggegevens te proberen. Deze manier van cybercriminaliteit zien we steeds meer bij WordPress sites. Bij Byte zien we vaak twee verschillende soorten brute force aanvallen: back-end aanvallen en XML-RPC aanvallen.

Twee soorten aanvallen, twee oplossingen

WordPress is goed te beschermen tegen back-end brute force aanvallen door middel van de plugin “iThemes Security”. Met deze plugin kun je je WordPress installatie beschermen tegen verschillende aanvallen en kun je de standaard Admin gebruikersnaam en URL aanpassen. Hoewel iThemes Security een hoop functionaliteiten heeft, zullen we in dit artikel enkel de twee functies bespreken waarmee de kans op een succesvolle brute force aanval kunnen verkleinen.

WordPress kan goed beschermd worden tegen XML-RPC aanvallen door middel van het .htaccess-bestand. Door hierin een simpele wijziging door te voeren elimineer je de mogelijkheid voor hackers om zo in je website te komen.

Let op: Het gebruik van de plugin iThemes Security is op eigen risico. Maak altijd eerst back-ups voor het installeren van dergelijke plugins. Byte kan niet verantwoordelijk worden gehouden voor de effecten van deze plugin.

Beschermen van de WordPress back-end

Installeer iThemes Security

Om gebruik te maken van iThemes Security, moet deze eerst geïnstalleerd worden. Ga naar de backend van je WordPress installatie en volg onderstaande stappen:

  1. Klik op “Plugins”;
  2. Klik op “Add New”;
  3. Een zoekveld verschijnt: zoek op “iThemes Security”;
  4. Klik onder “iThemes Security” op “Install Now” en bevestig de installatie;
  5. Wacht tot de installatie is voltooid, klik vervolgens op “Activate Plugin”. De plugin is nu geïnstalleerd!

Stel standaard configuratie in

iThemes Security kan standaard basis beveiligingsmaatregelen nemen om je website te beveiligen. Om deze te configureren kun je de volgende stappen volgen:

  1. Wanneer de plugin correct is geïnstalleerd, verschijnt het knopje “Security” in de linker sidebar. Klik hierop.
  2. De plugin kan vervolgens vragen om een back-up te maken. Wij raden sterk aan om dit te doen.
  3. Als de plugin toestemming vraagt om core bestanden aan te passen, klik dan op: “Allow this plugin to change WordPress core files”.
  4. Als de plugin vraagt voor “Once-Click Protection” klik dan op “Secure My Site From Basic Attacks”. De basisinstellingen zijn hiermee ingesteld.

Als je wilt kun je in het dashboard van iThemes Security nog extra maatregelen nemen om je WordPress installatie verder te beveiligen. Deze bespreken we echter niet uitgebreid in dit artikel.

Pas standaard Admin gebruikersnaam aan

afb. 1 Pas je admin naam aan

Veel brute force aanvallen zullen proberen in te loggen met de veelgebruikte “admin” of “administrator” gebruikersnaam. Als je deze gebruikt is het dus verstandig om deze aan te passen naar iets anders. Deze aanpassen naar bijvoorbeeld je eigen voor- en achternaam kan al een stuk veiliger zijn.

De standaard gebruikersnaam krijgt vaak het “User ID” 1. Ook dit ID moet echter zo onvoorspelbaar mogelijk zijn. Het aanpassen van de Admin gebruikersnaam en ID doe je als volgt:

  1. Ga naar het “Dashboard” van iThemes Security door in de WordPress admin op “Security” te klikken;
  2. Klik op het tabje “Admin User”. Wanneer de huidige gebruikersnaam “admin” is wordt er gevraagd een andere in te vullen. Vul hier een nieuwe gebruikersnaam in;
  3. Log opnieuw in indien je je gebruikersnaam gewijzigd hebt;
  4. Keer terug naar “User” en klik op “Change User 1 ID”. De user ID wordt nu aangepast!

Pas admin URL aan

Het verbergen van de admin URL kan een Brute Force aanval een stuk moeilijker maken. Het aanpassen van deze URL is mogelijk via iThemes Security. Zorg er altijd voor dat je een back-up hebt!

  1. Ga naar het “Dashboard” van iThemes Security door in de WordPress admin op “Security” te klikken;
  2. Kies voor de optie rechtsboven “Advanced” om alle opties te zien, zodat je “Hide backend” kunt kiezen;
  3. Wanneer er om wordt gevraagd door WordPress; schakel “WordPress permalinks” in;
  4. Selecteer het vinkje naast “Enable Hide Backend”;
  5. Vul bij “Admin Slug” een alternatief pad voor de administrator in

LET OP: Gebruik geen bijzondere karakters zoals spaties in dit veld, hierdoor kan de website kapot gaan!

Gebruik van het Service Panel

Indien je WordPress hebt geïnstalleerd via het Byte Service Panel, zal het inloggen van je WordPress site stukgaan. Om dit te repareren moet je in het .htaccess-bestand de volgende code toevoegen:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Ververs hierna de pagina en je kunt met je nieuwe admin URL inloggen op je WordPress website.

Beschermen tegen XML-RPC aanvallen

Omdat het niet mogelijk is met standaard anti-brute force tools een XML-RPC aanval te detecteren, moet dit anders aangepakt worden. Er zijn twee manieren om je WordPress site te beschermen tegen XML-RPC-aanvallen. Omdat de meeste sites hier geen gebruik van maken, is volledig uitschakelen vaak de beste oplossing. Dit kan door middel van een .htaccess bestand. Voeg de volgende code toe aan je .htaccess:

<FilesMatch "xmlrpc\.php$">
order deny,allow
deny from all
</FilesMatch>

Als je site wel gebruikt maakt van XML-RPC, kun je ervoor kiezen een IP whitelist in te schakelen. Zo sluit je kwaadwillenden uit en heb je zelf de volledige controle vanaf welke IP-addressen jouw XML-RPC aangeroepen kan worden. Voeg de volgende code toe aan je .htaccess:

<FilesMatch "xmlrpc\.php$">
order deny,allow
deny from all
allow from 1.2.3.4
allow from 2.3.4.5
</FilesMatch>

In bovenstaand voorbeeld hebben IP-adressen 1.2.3.4 en 2.3.4.5 hebben toegang tot XML-RPC. Je kunt te allen tijde nieuwe IP’s toevoegen of juist weghalen. Weet je niet vanaf welke IP’s de externe koppelingen die je gebruikt verbinding maken Neem dan contact op met de maker van deze koppelingen.

Meer weten over XML-RPC aanvallen? Lees ons blogartikel hierover!

Brand je hier liever je vingers niet aan? Aarzel dan niet om één van onze partners in te schakelen!

80