Brute force DDos aanvallen oorzaak gehackte WP site 16%

Brute force DDos aanvallen kunnen de oorzaak zijn van een gehackte wordpress website. Dit is in 16,1% van het geval. Hoe kun je dit voorkomen?

Logo cursus traing wordpress

Brute force DDos aanvallen oorzaak gehackte WP site 16%

Een andere populaire hackmethode is het raden van zwakke wachtwoorden door middel van bruteforce. Samen zijn deze aanvallen goed voor 16,1% van alle hackpogingen. Het onderzoek bracht nog een ander schokkend feit aan het licht:

61,5% van de website-eigenaren van wie de website was , wist niet eens dat hun website was gehackt.

WordPress brute force attacks zijn overweldigend, zelfs voordat een aanval succesvol is.

Veel sitebeheerders zien hun serverbronnen snel uitgeput raken, hun sites niet meer reageren of zelfs crashen, waardoor gebruikers worden geblokkeerd. Het probleem is dat u zich hulpeloos kunt voelen als brute force bots de inlogpagina hameren en proberen door te dringen tot uw wp-admin.

Maar u bent niet hulpeloos. Als u meerdere mislukte inlogpogingen ziet voor een enkele gebruiker, misschien afkomstig van meerdere IP’s, bent u op de juiste plaats.

In dit artikel leggen we uit hoe een WordPress brute force aanval eruit ziet, en hoe u uw site ertegen kunt beschermen.

Wat is een WordPress brute force aanval?

WordPress brute force attacks zijn pogingen om ongeautoriseerde toegang te krijgen tot uw wp-admin door verschillende combinaties van gebruikersnamen en wachtwoorden uit te proberen. Hackers hebben bots ontwikkeld om een inlogpagina voortdurend te bestoken met inloggegevens op basis van trial-and-error.

Vaak proberen de bots een reeks wachtwoorden uit een woordenboek en staan daarom ook bekend als dictionary attacks of password-guessing attacks. De aanvallen kunnen worden geconfigureerd om van verschillende IP-adressen te komen en zo de basisbeveiligingsmaatregelen te omzeilen. Er zijn andere soorten brute force-aanvallen, die we later in het artikel zullen behandelen.

Het doel van een brute force aanval is om toegang te krijgen tot uw wp-admin, en dan meestal malware te installeren op uw site.

Hoe uw site te beschermen tegen WordPress brute force aanvallen (9 manieren)

Het ervaren van een brute force aanval is eng, vooral omdat het voelt alsof je niets kunt doen om het te stoppen. Bovendien zijn de gevolgen van een aanval onmiddellijk zichtbaar. De meeste sites hebben beperkte serverbronnen, die snel uitgeput raken, en vaak crasht een aangevallen site volledig.

Gelukkig kunt u veel doen om brute force aanvallen in WordPress te voorkomen. Hier is een lijst van WordPress brute force beschermingsstappen die de meeste aanvallen zullen blokkeren, en de ergste effecten voor een goede maatregel zullen verzachten.

Beperk inlogpogingen met plugin

De beste manier om wordpress brute force aanvallen te stoppen is het beperken van inlogpogingen. Als te vaak een onjuist wachtwoord op de inlogpagina wordt ingevoerd, wordt het account tijdelijk geblokkeerd. Dit blokkeert de van de brute force bot, omdat deze vertrouwt op de trial-and-error methode om inloggegevens te raden. Omdat de bot bovendien niet duizenden combinaties kan uitproberen, worden de verzoeken niet naar de server gestuurd en worden de middelen niet opgebruikt door de activiteit van de bot.

Standaard staat WordPress onbeperkte inlogpogingen toe, waardoor het in de eerste plaats gevoelig is voor brute force-aanvallen. Met MalCare wordt automatisch een beperkte inlogbeveiliging geactiveerd. In feite, in het geval dat een gebruiker legitiem zijn wachtwoord is vergeten, kan hij een captcha oplossen om gemakkelijk langs de blokkade te komen. Door de inlogpogingen te beperken worden brute force bots geweerd zonder dat dit nadelige gevolgen heeft voor echte gebruikers.

Slechte Bots blokkeren

Brute force aanvallen worden bijna altijd uitgevoerd door bots. Bots zijn kleine programma’s die zijn ontworpen om een eenvoudige taak herhaaldelijk uit te voeren, en zijn dus ideaal voor brute force-aanvallen. De bot probeert op een inlogpagina een reeks referenties uit tot hij een match vindt.

Bovendien bestaat meer dan 25% van al het websiteverkeer uit bots, dus er zijn heel wat beveiligingssystemen met botbeveiliging. Er moet echter een belangrijk onderscheid worden gemaakt: niet alle bots zijn slecht. Er zijn goede zoals andere zoekmachine crawlers en uptime monitoring bots. U wilt dat die toegang hebben tot uw site, dus is het belangrijk om botbescherming te gebruiken die alleen slechte bots op intelligente wijze blokkeert, zoals MalCare. Er zijn ook andere plugins voor botbescherming, zoals All in One, maar die blokkeert standaard alle bots, inclusief Googlebot.

Slechte bots blokkeren in WordPress (betaald)

Installeer een web application firewall

Inlogbeveiliging is specifiek een verdediging tegen brute force aanvallen, terwijl een firewall een verdediging is tegen alle soorten aanvallen; inclusief brute force aanvallen.

Firewalls gebruiken regels om kwaadaardig verkeer te blokkeren, en doen veel om uw website te beschermen. Bovendien beperken firewalls een van de grootste problemen met brute force aanvallen – de overmatige belasting van de serverbronnen – door herhaalde slechte verzoeken te blokkeren.

Brute force aanvallen zijn vaak geconfigureerd om vanaf verschillende IP’s aan te vallen, en kunnen daarom de meeste firewalls omzeilen. Met de firewall van MalCare wordt uw website echter een onderdeel van de wereldwijde IP-bescherming.

De firewall leert van het van meer dan honderduizenden sites welke IP’s kwaadaardig zijn en blokkeert proactief het verkeer ervan. Deze maatregelen verminderen aanzienlijk de hoeveelheid slecht verkeer naar uw website in de eerste plaats, voordat de bot zelfs een kans heeft om de inlogpagina van uw site te brute-forcen.

Authenticatie met twee factoren toevoegen in WordPress

Gebruikersnamen en wachtwoorden kunnen worden geraden, dus twee-factor authenticatie of zelfs multi-factor authenticatie is ontstaan als een manier om dynamische elementen te hebben om gebruikers te authenticeren. Met twee-factor authenticatie wordt een real-time login token zoals een OTP of QR-code gedeeld met het apparaat van de gebruiker. Het heeft een beperkte geldigheid, meestal van ongeveer 10-15 minuten, en kan een gebruiker alleen voor die sessie authenticeren.

Gebruik 2FA

Naast de gebruikersnaam en het wachtwoord is het extra token moeilijk te kraken. Daarom voegt het een extra beveiligingslaag toe aan de inlogpagina. U kunt een plugin zoals WP 2FA installeren om gemakkelijk tweefactorauthenticatie aan uw site toe te voegen.

Zie voor meer informatie onze gids over WordPress twee-factor authenticatie.

Gebruik sterke en unieke wachtwoorden

De grootste fout in de is de gebruiker zelf, en bij uitbreiding de wachtwoorden die ze instellen. Wachtwoorden zijn de grootste kwetsbaarheid in elk beveiligingssysteem vanwege de (begrijpelijke) menselijke neiging om gemakkelijk te onthouden wachtwoorden in te stellen en deze te hergebruiken voor verschillende accounts. Dit zijn eigenlijk twee afzonderlijke en verschillende problemen met wachtwoorden.

Ten eerste, hergebruik nooit wachtwoorden voor verschillende accounts. Veel brute force bots gebruiken gestolen wachtwoorden uit datalekken om inlogpagina’s aan te vallen. Ten tweede is, zoals u zich kunt voorstellen, een wachtwoord als ‘wachtwoord’ verschrikkelijk gemakkelijk te raden. Gebruik minimaal 12 tekens wartaal, of nog beter gebruik een passphrase als wachtwoord.

Tips Sterk wachtwoorden

Wij raden u aan een wachtwoordmanager zoals LastPass of 1Password te gebruiken om hergebruik van wachtwoorden te voorkomen, en om sterke wachtwoorden te genereren als dat nodig is. Als u vermoedt dat een account gecompromitteerd is, kunt u alle wachtwoorden geforceerd resetten vanuit het verhardingsgedeelte van het MalCare-dashboard.

Zie voor meer details ons artikel over WordPress wachtwoordbeveiliging en wachtwoorden:

Schakel XML-RPC in WordPress uit

Het XML-RPC bestand is een andere manier om gebruikers te authenticeren. Met andere woorden, het is een alternatieve manier om toegang te krijgen tot uw admin dashboard, dus is ook gevoelig voor brute force aanvallen.

Het is een grotendeels verouderd bestand en wordt door veel plugins of thema’s niet meer actief gebruikt. Het blijft opgenomen in WordPress voor achterwaartse compatibiliteit en is daarom relatief veilig om uit te schakelen in 2025.

Uitgebreide handleiding uitschakelen van XML-RPC in wordpress.

Overweeg geoblocking in WordPress

Als je veel botverkeer ziet vanuit één locatie, kun je overwegen het hele land te blokkeren. Wij adviseren echter discretie bij het gebruik van geoblocking. Het is alleen nuttig als je helemaal geen legitieme gebruikers van die locatie verwacht.

Wees bovendien gewaarschuwd dat het goede bots uit die regio kan weren. Googlebot kan bijvoorbeeld werken vanaf elke serverlocatie in de wereld, en u wilt zeker dat Googlebot toegang krijgt tot uw site.

Hier is een stap-voor-stap handleiding voor het blokkeren van landen in WordPress.

Schakel bladeren in mappen uit

Standaard zijn de meeste kernmappen en van WordPress openlijk toegankelijk via een browser. U kunt bijvoorbeeld yourwebsite.com/wp-includes in de URL-balk van uw browser typen, en de volledige inhoud van de map zal meestal zichtbaar zijn.

Hoewel het doorbladeren van mappen op zich geen kwetsbaarheid is, kan het informatie over de site onthullen die op zijn beurt kan worden gebruikt om kwetsbaarheden uit te buiten. De map /wp-content bevat plugins en thema’s, en als een hacker kan zien welke zijn geïnstalleerd en hun versienummers, kunnen ze mogelijk kwetsbaarheden vinden en misbruiken. Dit is een minder populaire vorm van brute force aanval, genaamd directory brute force.

Daarom is het zinvol het bladeren in mappen volledig uit te schakelen, als bescherming. Hier vind je een een handleiding voor het uitschakelen van directory browsing in WordPress.

Bekijk en verwijder regelmatig ongebruikte gebruikersaccounts

Slapende accounts zijn vaak een doelwit voor hackers omdat de kans groot is dat de gebruikers het niet merken als hun account wordt gekaapt. Bovendien hebben slapende accounts lange tijd dezelfde wachtwoorden, waardoor ze gemakkelijker te brute-forcen zijn.

Controleer daarom regelmatig gebruikersaccounts en verwijder alle accounts die niet actief worden gebruikt. Voor extra krediet: zorg ervoor dat elke account de minimale gebruikersrechten heeft die nodig zijn om zijn account te beheren. Het is bijvoorbeeld onverstandig om van iedereen een beheerder te maken.

Meer oorzaken en tips voor veilige website

Meer over gehackte websites en het voorkomen hiervan? Lees dan deze handleidingen:
Meest voorkomende oorzaken gehakte website
Tips voor beveiliging WordPress website


[aw_icon icon="icon: book" color="#0ba1bf" text_color="#333333" size="28" shape_size="20" radius="36" text_size="16" margin="0px 1px 1px 0px" url="https://www.cursuswp.com/groepscursus-wp-beginners-basis-training-workshop/" target="blank"][/aw_icon]

Meer informatie over Brute force DDos aanvallen oorzaak gehackte WP site 16%of info?

Wil je meer informatie? Veel bezoekers met interesse in Brute force DDos aanvallen oorzaak gehackte WP site 16% bekeken ook de onderstaande handleidingen:


[aw_icon icon="icon: graduation-cap" color="#0ba1bf" text_color="#333333" size="28" shape_size="20" radius="36" text_size="16" margin="0px 1px 1px 0px" url="https://www.cursuswp.com/groepscursus-wp-beginners-basis-training-workshop/" target="blank"][/aw_icon]

WordPress cursus onderhoud

De meeste problemen met WordPress websites ontstaan door een combinatie van factoren. Van webhosting tot de inrichting van je site. Ik heb de laatste 15 jaar vele WordPress websites vast zien lopen, langzaam of gehackt zien worden door de verkeerde aanpak.

Deze problemen, ellende en schade is te vermijden door de juiste aanpak en strategie. Het is even werk en vergt een investering in tijd, geld en energie maar daarna heb je gegarandeerd minder problemen, meer plezier, meer controle en een betere WordPress website of webshop.

WordPress cursus onderhoud en beheer

Leer hoe je websites beter kan beheren en beveiligen in de speciale onderhoudscursus:
WordPress training Onderhoud en beheer

WordPress Bootcamp

Leer hoe je je WordPress website of webshop sneller en gestroomlijnder kan bouwen in de WordPress Bootcamp:
Web-development in WordPress Bootcamp

[aw_icon icon="icon: question" color="#0ba1bf" text_color="#333333" size="28" shape_size="20" radius="36" text_size="16" margin="0px 1px 1px 0px" url="https://www.cursuswp.com/groepscursus-wp-beginners-basis-training-workshop/" target="blank"][/aw_icon]

Nog vragen over Brute force DDos aanvallen oorzaak gehackte WP site 16%?

Neem eventueel contact op met Arthur als je nog vragen hebt over onderhoud, beveiliging, Brute force DDos aanvallen oorzaak gehackte WP site 16% en WordPress sites.

WordPress expert

Arthur Wentzel, web-developer

06 20 83 05 83

Scroll naar boven