Een andere populaire hackmethode is het raden van zwakke wachtwoorden door middel van bruteforce. Samen zijn deze aanvallen goed voor 16,1% van alle hackpogingen. Het onderzoek bracht nog een ander schokkend feit aan het licht:
61,5% van de website-eigenaren van wie de website was gehackt, wist niet eens dat hun website was gehackt.
WordPress brute force attacks zijn overweldigend, zelfs voordat een aanval succesvol is.
Veel sitebeheerders zien hun serverbronnen snel uitgeput raken, hun sites niet meer reageren of zelfs crashen, waardoor gebruikers worden geblokkeerd. Het probleem is dat u zich hulpeloos kunt voelen als brute force bots de inlogpagina hameren en proberen door te dringen tot uw wp-admin.
Maar u bent niet hulpeloos. Als u meerdere mislukte inlogpogingen ziet voor een enkele gebruiker, misschien afkomstig van meerdere IP’s, bent u op de juiste plaats.
In dit artikel leggen we uit hoe een WordPress brute force aanval eruit ziet, en hoe u uw site ertegen kunt beschermen.
IN DEZE HANDLEIDING:
- 1 Wat is een WordPress brute force aanval?
- 2 Hoe uw site te beschermen tegen WordPress brute force aanvallen (9 manieren)
- 3 Beperk inlogpogingen met plugin
- 4 Slechte Bots blokkeren
- 5 Installeer een web application firewall
- 6 Gebruik 2FA
- 7 Gebruik sterke en unieke wachtwoorden
- 8 Schakel XML-RPC in WordPress uit
- 9 Overweeg geoblocking in WordPress
- 10 Schakel bladeren in mappen uit
- 11 Bekijk en verwijder regelmatig ongebruikte gebruikersaccounts
Wat is een WordPress brute force aanval?
WordPress brute force attacks zijn pogingen om ongeautoriseerde toegang te krijgen tot uw wp-admin door verschillende combinaties van gebruikersnamen en wachtwoorden uit te proberen. Hackers hebben bots ontwikkeld om een inlogpagina voortdurend te bestoken met inloggegevens op basis van trial-and-error.
Vaak proberen de bots een reeks wachtwoorden uit een woordenboek en staan daarom ook bekend als dictionary attacks of password-guessing attacks. De aanvallen kunnen worden geconfigureerd om van verschillende IP-adressen te komen en zo de basisbeveiligingsmaatregelen te omzeilen. Er zijn andere soorten brute force-aanvallen, die we later in het artikel zullen behandelen.
Het doel van een brute force aanval is om toegang te krijgen tot uw wp-admin, en dan meestal malware te installeren op uw site.
Hoe uw site te beschermen tegen WordPress brute force aanvallen (9 manieren)
Het ervaren van een brute force aanval is eng, vooral omdat het voelt alsof je niets kunt doen om het te stoppen. Bovendien zijn de gevolgen van een aanval onmiddellijk zichtbaar. De meeste sites hebben beperkte serverbronnen, die snel uitgeput raken, en vaak crasht een aangevallen site volledig.
Gelukkig kunt u veel doen om brute force aanvallen in WordPress te voorkomen. Hier is een lijst van WordPress brute force beschermingsstappen die de meeste aanvallen zullen blokkeren, en de ergste effecten voor een goede maatregel zullen verzachten.
Beperk inlogpogingen met plugin
De beste manier om wordpress brute force aanvallen te stoppen is het beperken van inlogpogingen. Als te vaak een onjuist wachtwoord op de inlogpagina wordt ingevoerd, wordt het account tijdelijk geblokkeerd. Dit blokkeert de effectiviteit van de brute force bot, omdat deze vertrouwt op de trial-and-error methode om inloggegevens te raden. Omdat de bot bovendien niet duizenden combinaties kan uitproberen, worden de verzoeken niet naar de server gestuurd en worden de middelen niet opgebruikt door de activiteit van de bot.
Standaard staat WordPress onbeperkte inlogpogingen toe, waardoor het in de eerste plaats gevoelig is voor brute force-aanvallen. Met MalCare wordt automatisch een beperkte inlogbeveiliging geactiveerd. In feite, in het geval dat een gebruiker legitiem zijn wachtwoord is vergeten, kan hij een captcha oplossen om gemakkelijk langs de blokkade te komen. Door de inlogpogingen te beperken worden brute force bots geweerd zonder dat dit nadelige gevolgen heeft voor echte gebruikers.
WordPress inloggen website Hoe log ik in in WordPress?
WordPress wachtwoord wijzigen ww kwijt vergeten verloren
Slechte Bots blokkeren
Brute force aanvallen worden bijna altijd uitgevoerd door bots. Bots zijn kleine programma’s die zijn ontworpen om een eenvoudige taak herhaaldelijk uit te voeren, en zijn dus ideaal voor brute force-aanvallen. De bot probeert op een inlogpagina een reeks referenties uit tot hij een match vindt.
Bovendien bestaat meer dan 25% van al het websiteverkeer uit bots, dus er zijn heel wat beveiligingssystemen met botbeveiliging. Er moet echter een belangrijk onderscheid worden gemaakt: niet alle bots zijn slecht. Er zijn goede zoals andere zoekmachine crawlers en uptime monitoring bots. U wilt dat die toegang hebben tot uw site, dus is het belangrijk om botbescherming te gebruiken die alleen slechte bots op intelligente wijze blokkeert, zoals MalCare. Er zijn ook andere plugins voor botbescherming, zoals All in One, maar die blokkeert standaard alle bots, inclusief Googlebot.
Slechte bots blokkeren in WordPress (betaald)
Installeer een web application firewall
Inlogbeveiliging is specifiek een verdediging tegen brute force aanvallen, terwijl een firewall een verdediging is tegen alle soorten aanvallen; inclusief brute force aanvallen.
Firewalls gebruiken regels om kwaadaardig verkeer te blokkeren, en doen veel om uw website te beschermen. Bovendien beperken firewalls een van de grootste problemen met brute force aanvallen – de overmatige belasting van de serverbronnen – door herhaalde slechte verzoeken te blokkeren.
Brute force aanvallen zijn vaak geconfigureerd om vanaf verschillende IP’s aan te vallen, en kunnen daarom de meeste firewalls omzeilen. Met de firewall van MalCare wordt uw website echter een onderdeel van de wereldwijde IP-bescherming.
De firewall leert van het gedrag van meer dan honderduizenden sites welke IP’s kwaadaardig zijn en blokkeert proactief het verkeer ervan. Deze maatregelen verminderen aanzienlijk de hoeveelheid slecht verkeer naar uw website in de eerste plaats, voordat de bot zelfs een kans heeft om de inlogpagina van uw site te brute-forcen.
Gehackte WP site meest voorkomende oorzaken malware
Site afschermen hackers ongewenste toegang WordPress
Afschermen logins van je WordPress website Een server of applicatie afschermen betekent dat u stappen…
Verwijderen bestrijding Malware gehackte wordpress site
Stappen voor WordPress Malware verwijdering Er zijn verschillende belangrijke stappen te ondernemen als uw WordPress…
Gebruik firewall voor beveiliging WordPress website
Gebruik een website firewall voor meer veiligheid Het aantal kwetsbaarheden dat door aanvallers wordt misbruikt,…
immunify360 beveiliging webserver webhosting beveiligen
Beveiligings Audit check test WordPress website monitor
Wilt u een WordPress beveiligingsaudit uitvoeren om er zeker van te zijn dat uw website…
Authenticatie met twee factoren toevoegen in WordPress
Gebruikersnamen en wachtwoorden kunnen worden geraden, dus twee-factor authenticatie of zelfs multi-factor authenticatie is ontstaan als een manier om dynamische elementen te hebben om gebruikers te authenticeren. Met twee-factor authenticatie wordt een real-time login token zoals een OTP of QR-code gedeeld met het apparaat van de gebruiker. Het heeft een beperkte geldigheid, meestal van ongeveer 10-15 minuten, en kan een gebruiker alleen voor die sessie authenticeren.
Gebruik 2FA
Naast de gebruikersnaam en het wachtwoord is het extra token moeilijk te kraken. Daarom voegt het een extra beveiligingslaag toe aan de inlogpagina. U kunt een plugin zoals WP 2FA installeren om gemakkelijk tweefactorauthenticatie aan uw site toe te voegen.
Zie voor meer informatie onze gids over WordPress twee-factor authenticatie.
Gebruik sterke en unieke wachtwoorden
De grootste fout in de beveiliging is de gebruiker zelf, en bij uitbreiding de wachtwoorden die ze instellen. Wachtwoorden zijn de grootste kwetsbaarheid in elk beveiligingssysteem vanwege de (begrijpelijke) menselijke neiging om gemakkelijk te onthouden wachtwoorden in te stellen en deze te hergebruiken voor verschillende accounts. Dit zijn eigenlijk twee afzonderlijke en verschillende problemen met wachtwoorden.
Ten eerste, hergebruik nooit wachtwoorden voor verschillende accounts. Veel brute force bots gebruiken gestolen wachtwoorden uit datalekken om inlogpagina’s aan te vallen. Ten tweede is, zoals u zich kunt voorstellen, een wachtwoord als ‘wachtwoord’ verschrikkelijk gemakkelijk te raden. Gebruik minimaal 12 tekens wartaal, of nog beter gebruik een passphrase als wachtwoord.
Tips Sterk wachtwoorden
Wij raden u aan een wachtwoordmanager zoals LastPass of 1Password te gebruiken om hergebruik van wachtwoorden te voorkomen, en om sterke wachtwoorden te genereren als dat nodig is. Als u vermoedt dat een account gecompromitteerd is, kunt u alle wachtwoorden geforceerd resetten vanuit het verhardingsgedeelte van het MalCare-dashboard.
Zie voor meer details ons artikel over WordPress wachtwoordbeveiliging en wachtwoorden:
Hele WordPress afschermen website achter 1 wachtwoord
Hoe scherm je je hele WordPress site af met wachtwoord Op zoek naar een manier…
Wachtwoord server veranderen website mysql database
Gebruikers wachtwoorden veranderen Het is van groot belang dat u de wachtwoorden voor alle toegangspunten…
Tijdelijk login maken in WordPress zonder wachtwoord
Inloggen zonder wachtwoord met WordPress plugin Maak automatische verlopende login links voor WordPress. Inloggen werkt…
Pagina beveiligen met wachtwoord login zonder WP plugin
WordPress inloggen website Hoe log ik in in WordPress?
WordPress wachtwoord wijzigen ww kwijt vergeten verloren
Schakel XML-RPC in WordPress uit
Het XML-RPC bestand is een andere manier om gebruikers te authenticeren. Met andere woorden, het is een alternatieve manier om toegang te krijgen tot uw admin dashboard, dus is ook gevoelig voor brute force aanvallen.
Het is een grotendeels verouderd bestand en wordt door veel plugins of thema’s niet meer actief gebruikt. Het blijft opgenomen in WordPress voor achterwaartse compatibiliteit en is daarom relatief veilig om uit te schakelen in 2025.
Uitgebreide handleiding uitschakelen van XML-RPC in wordpress.
Overweeg geoblocking in WordPress
Als je veel botverkeer ziet vanuit één locatie, kun je overwegen het hele land te blokkeren. Wij adviseren echter discretie bij het gebruik van geoblocking. Het is alleen nuttig als je helemaal geen legitieme gebruikers van die locatie verwacht.
Wees bovendien gewaarschuwd dat het goede bots uit die regio kan weren. Googlebot kan bijvoorbeeld werken vanaf elke serverlocatie in de wereld, en u wilt zeker dat Googlebot toegang krijgt tot uw site.
Hier is een stap-voor-stap handleiding voor het blokkeren van landen in WordPress.
Waarom landen blokkeren IP-adressen voor WP website?
Waarom IP-adressen van landen blokkeren in WordPress? Er zijn verschillende redenen waarom u bepaalde landen…
Inhoud website blokkeren landen en locatie block country
Inhoud website blokkeren in landen Je kan de inhoud van je website blokkeren per land….
Schakel bladeren in mappen uit
Standaard zijn de meeste kernmappen en bestanden van WordPress openlijk toegankelijk via een browser. U kunt bijvoorbeeld yourwebsite.com/wp-includes in de URL-balk van uw browser typen, en de volledige inhoud van de map zal meestal zichtbaar zijn.
Hoewel het doorbladeren van mappen op zich geen kwetsbaarheid is, kan het informatie over de site onthullen die op zijn beurt kan worden gebruikt om kwetsbaarheden uit te buiten. De map /wp-content bevat plugins en thema’s, en als een hacker kan zien welke zijn geïnstalleerd en hun versienummers, kunnen ze mogelijk kwetsbaarheden vinden en misbruiken. Dit is een minder populaire vorm van brute force aanval, genaamd directory brute force.
Daarom is het zinvol het bladeren in mappen volledig uit te schakelen, als bescherming. Hier vind je een een handleiding voor het uitschakelen van directory browsing in WordPress.
Bekijk en verwijder regelmatig ongebruikte gebruikersaccounts
Slapende accounts zijn vaak een doelwit voor hackers omdat de kans groot is dat de gebruikers het niet merken als hun account wordt gekaapt. Bovendien hebben slapende accounts lange tijd dezelfde wachtwoorden, waardoor ze gemakkelijker te brute-forcen zijn.
Controleer daarom regelmatig gebruikersaccounts en verwijder alle accounts die niet actief worden gebruikt. Voor extra krediet: zorg ervoor dat elke account de minimale gebruikersrechten heeft die nodig zijn om zijn account te beheren. Het is bijvoorbeeld onverstandig om van iedereen een beheerder te maken.
Gebruikers alleen eigen berichten aanpassen in WP
In deze handleiding laat ik u zien hoe u kunt beperken dat auteurs alleen hun…
15 Beste Membership Plugins leden lidmaatschap WP login
WordPress membership voor gebruikers WordPress is een mooi platform met een scala aan elementen die…
Pagina-ID bericht-ID categorie ID vinden in WordPress
In deze handleiding leg ik uit hoe je snel de verborgen pagina-ID, bericht-ID of Categorie-ID…
Meldingen WordPress verbergen updates gebruikers admin
Meldingen voor WordPress gebruikers uitzetten Soms is het handig om thema’s, plug-ins of kernmeldmeldingen in…
WordPress gebruikers rollen, rechten, meerdere users
WordPress wachtwoord wijzigen ww kwijt vergeten verloren
Meer oorzaken en tips voor veilige website
Meer over gehackte websites en het voorkomen hiervan? Lees dan deze handleidingen:
Meest voorkomende oorzaken gehakte website
Tips voor beveiliging WordPress website