De laatste tijd merk ik dat er steeds meer inlog/hack pogingen zijn bij veel websites die ik beheer. Vaak wordt geprobeerd in te loggen met standaard inlognamen zoals 'admin'. De IP's blokkeer ik meestal, maar ik neem aan dat er gebruik gemaakt wordt van VPN dus dat zal weinig zin hebben.

Ondervinden jullie dit probleem ook en wat zijn goede manieren om dit (zoveel mogelijk) tegen te gaan? Zonder dat het voor de klant lastiger of omslachtiger wordt?

-Maximale loginpogingen (3)
-2FA beveiliging
-Wordfence (als je Wordpress hebt)
-Geen loginnaam "Admin"
-Wachtwoorden updaten / laten generen en in een password manager opslaan

De makkelijkste manier om dit tegen te gaan is door Cloudflare te gebruiken.

Bij WordPress websites kun je - naast een 'security plugin' installeren - verschillende maatregelen nemen:

• De inlog-URL veranderen (en plaats er sowieso geen link naar)
• 2FA autorisatie
• De username 'admin' niet gebruiken
• Zorgen dat de eerste gebruiker die je aanmaakt (met author id=1) geen enkele rechten heeft en een ongelooflijk moeilijke gebruikersnaam en wachtwoord heeft.
• Zorg dat de andere gebruikersnamen en wachtwoorden ook niet teveel voor de hand liggen, en wijzig de wachtwoorden regelmatig
• Beperk de rechten van de gebruikers zoveel mogelijk
• Een captcha op de inlog- en registratieformulieren zetten
• Zorgen dat je bestanden, themes en plugins up-to-date zijn
• Controleren of je geen abandoned themes en plugins hebt
• Ongebruikte themes (muv één twenty-*** theme als back-up) en plugins verwijderen
• Gebruik de meest recente php-versie
• Een goede, dagelijkse back-up die je ergens anders opslaat (vertrouw de hostingprovider nooit 100%)
• Disable XML-RPC

Ik ben er ongetwijfeld nog een paar vergeten. ;-)

Sites voor specifieke markten (bijv NL) zet ik op aparte server en dan block ik traffic van alle andere landen. Dat scheelt enoooooorm.

De meeste ken ik, maar zitten toch nog andere goede tips bij. Lees graag mee!:)

Origineel gepost door Tjeerd Koetje

De laatste tijd merk ik dat er steeds meer inlog/hack pogingen zijn bij veel websites die ik beheer. Vaak wordt geprobeerd in te loggen met standaard inlognamen zoals 'admin'. De IP's blokkeer ik meestal, maar ik neem aan dat er gebruik gemaakt wordt van VPN dus dat zal weinig zin hebben.

Ondervinden jullie dit probleem ook en wat zijn goede manieren om dit (zoveel mogelijk) tegen te gaan? Zonder dat het voor de klant lastiger of omslachtiger wordt?

Dit gebeurde altijd al veel, maar er zijn idd de laatste tijd veel meer geavanceerde hackpogingen dan een paar maanden terug.

Wachtwoord raders zijn niet de gevaarlijkste, zolang je maar niet een simpel wachtwoord gebruikt en beperk het aantal inlogpogingen.

Dat er zoveel proberen in te loggen op WP sites als admin, kan ook te maken hebben met het feit dat je openbaar profiel admin is.
Gebruik je een andere profielnaam, zorg dan dat deze anders is dan je inlog gebruikersnaam.



Gevaarlijker zijn bots/scripts die inventariseren welk cms, plugins en thema je gebruikt, om vervolgens via een eventuele exploit proberen binnen te komen. Zorg daarom voor goede en dagelijkse backups en na een hack probeer uit te vinden wanneer de hack was, plaats niet zomaar een backup terug om te denken dat je klaar bent. Vaak is de hack 2-3 weken of soms nog eerder al gebeurd.

Veel hostingaccounts hebben meerdere domeinen op 1 account en ze komen vaak via 1 domein binnen om vervolgens de andere domeinen te besmetten. Wellicht in de hoop dat de beheerder zich richt op de andere sites, waardoor de exploit blijft bestaan. Niet alle exploits worden snel opgelost, cq. zijn al ontdekt.

Mijn inlog url is standaard niet te zien. Als je de inlog url weet / goed gokt en er naar toe gaat wordt je automatisch geredirect naar de homepage.

Ga je naar /wp-admin: direct een ip block.dat gebeurt bij meerdere urls.

Hoe kun je dan wel inloggen?
Ik moet eerst naar een vrij aparte url gaan die je niet zo snel raad en dan wordt het ip toegevoegd aan de whitelist om in te loggen, dan kan ik pas naar de inlogpagina, die nog steeds moeilijk te raden is.

Origineel gepost door Jeroen Jaspers

Mijn inlog url is standaard niet te zien. Als je de inlog url weet / goed gokt en er naar toe gaat wordt je automatisch geredirect naar de homepage.

Ga je naar /wp-admin: direct een ip block.dat gebeurt bij meerdere urls.

Hoe kun je dan wel inloggen?
Ik moet eerst naar een vrij aparte url gaan die je niet zo snel raad en dan wordt het ip toegevoegd aan de whitelist om in te loggen, dan kan ik pas naar de inlogpagina, die nog steeds moeilijk te raden is.

Je admin url verbergen helpt uiteraard goed mee, wps hide plugin, ithemes, etc. zijn prima toevoegingen, maar bedenk wel dat het een schijnveiligheid is.

Ja je houdt de figuren buiten die denken dat je alleen via de voordeur naar binnen kunt, maar er zijn veel meer manieren.

Bedankt voor jullie tips. Er zitten inderdaad een paar handige (voor mij nieuwe) bij!

Klopt Iceblock.
Mijn site (geen WP) is gehacked doordat iemand een image kon uploaden, waar php code in zat... En toen stond er opeens een image op de server wat een php bestand was waarmee hij vanalles zou kunnen doen...

Ik heb nu een hacker die mijn site probeert te hacken en voor elke hackmogelijkheid (xss, session hacking etc) die hij vindt krijgt hij 200 euro. Ben ondertussen al meer dan duizend euro kwijt...

Dus ja, met alleen de inlog beschermen kom je er niet!

Mocht iemand interesse hebben in mijn etische hacker om je site te checken, stuur een pm.

[QUOTE=Jeroen Jaspers;1296960Ik heb nu een hacker die mijn site probeert te hacken en voor elke hackmogelijkheid (xss, session hacking etc) die hij vindt krijgt hij 200 euro. Ben ondertussen al meer dan duizend euro kwijt... [/QUOTE]

Ook dit is een momentopname, morgen komt een nieuwe WP, theme of plugin versie uit en moet je dit opnieuw doen.

Dan zou je beter een headless wp, een headless cms, helemaal geen WP of een headless wp converter gaan gebruiken.

Ik heb geen WP ;) Maak bijna alles zelf of een collega. Gebruik wel wat plugins, bijvoorbeeld een nieuwsbrief systeem, en ja, daar zat ook een exploit in...

Maar ja. We gebruiken php, myswql, nodejs, phpmyadmin etc. Daar zullen ook tzt exploits in komen. Dus veilig ben je nooit.... Maar hoor liever van een vriendelijke hacker dat er een probleem is dan dat opeens de hele site leeg is of spam zit te versturen...

Er wordt ook vaak gezegd dat je de html comments waarin zichtbaar is dat het op een WP-website gaat moet verwijderen. Laat dat maar achterwege, ze kunnen het ook gewoon aan de directorystructuur (/wp-content/ en zo) zien. Wat wel weer wat schijnt te helpen, is door de hele WP-installatie in een wachtwoord-beschermde directory te zetten. Die directory kun je eventueel nog een IP-whitelist geven, zoals een van mijn klanten doet.

Origineel gepost door B. van der Weerd

Er wordt ook vaak gezegd dat je de html comments waarin zichtbaar is dat het op een WP-website gaat moet verwijderen. Laat dat maar achterwege, ze kunnen het ook gewoon aan de directorystructuur (/wp-content/ en zo) zien.

Wil je het echt goed doen, dan zul je ook de api's, etc. moeten uitschakelen, zoals:
url.nl/wp-json/wp/v2/

Want het gaat de hackers om bulk, niet om een enkele website. Ze willen zoveel mogelijk sites infecteren, zodra een exploit wordt gevonden en voor deze word gedicht. Dat is wellicht ook de reden dat ze er 2-3 weken over doen, voor ze weer terug komen om te rotzooien.

Eigenlijk moet je geen WP gebruiken als ik dit allemaalzo terug lees ;-)

Origineel gepost door B. van der Weerd

Wat wel weer wat schijnt te helpen, is door de hele WP-installatie in een wachtwoord-beschermde directory te zetten. Die directory kun je eventueel nog een IP-whitelist geven, zoals een van mijn klanten doet.

Maar blokkeer je dan de site niet voor bezoekers?

Origineel gepost door iceblock

Want het gaat de hackers om bulk, niet om een enkele website. Ze willen zoveel mogelijk sites infecteren, zodra een exploit wordt gevonden en voor deze word gedicht. Dat is wellicht ook de reden dat ze er 2-3 weken over doen, voor ze weer terug komen om te rotzooien.

Ik schat in dat ze van miljoenen WP-websites uitzoeken met welke themes en plugins die draaien. Zodra er ergens een lek/exploit van een theme/plugin ontdekt wordt, weten ze precies waar ze hun slag moeten slaan.

Origineel gepost door iceblock

Maar blokkeer je dan de site niet voor bezoekers?

Ik weet niet precies hoe ze dat bij die klant doen, maar de meeste files zitten in een aparte directory. Ik kan alleen bij het inlogscherm (in die directory) komen als mijn IP-adres op de whitelist staat. Omdat internetproviders wel eens van IP-adres wisselen gebruik ik daarom een VPN-dienst met fixed IP-adres.

WP wel/niet gebruiken: tsja, als we allemaal op een ander CMS overstappen gaat daar op een gegeven moment hetzelfde gebeuren. ;-)