Aangezien ik in een ver, ver verleden ooit ook een ‘etchical’ hacker ben geweest, deel ik hier mijn persoonlijke ervaringen die mij opvielen en ook op te lossen zijn!

Ik zal je nu 11 hacks/plugins laten zien, waarmee je de beveiliging van jouw Administratie gedeelte ‘bijna’ op slot kunt gooien, zodat er geen vreemde zaken kunnen gebeuren.

Maak er gebruik van, want jouw wordpress website is zo gehackt. Wees gewaarschuwd, het gebeurd sneller dan je denkt…

1. Handgemaakte Login Links

Het is natuurlijk wel heel erg makkelijk om al in de administratie gedeelte te komen, want je hoeft alleen de url in te tikken van de website + /wp-login.php.

Mocht je een wachtwoord gebruiken die je op verschillende sites gebruikt, dan maak je de hackers het er alleen maar makkelijker op om de site te hacken. Er is een plugin beschikbaar : Stealth Login

Deze plugin maakt het mogelijk, om handgemaakte website-links te maken om in te loggen, uitloggen, administratie en de registratie pagina voor je WordPress blog. Het mooiste wat het is van deze plugin, is namelijk dat je in “Stealth Mode” kan gaan, zodat je directe toegang tot ‘wp-login.php’ helemaal wordt weggehaald. (Dus onzichtbaar…)

Je kunt dan jouw eigen url laten aanmaken, die jij zelf kent en cryptisch is omschreven. Ok, dit is natuurlijk niet de beste oplossing, maar mocht er ooit iemand jouw wachtwoord ergens vandaan halen, dan is het wel erg makkelijk om in te loggen op jouw website.

Want het wordt ze al moeilijk gemaakt bij toegang tot wp-login.php!

2. Een Sterk Wachtwoord

Je kunt het natuurlijk wel aan zien komen : Een sterk wachtwoord. Dit is een zeer voor de hand liggende stap, maar we het kan maar niet te vaak genoemd worden. Gebruik NIET hetzelfde wachtwoord op verschillende plekken.

Probeer elk wachtwoord verschillend en moeilijk te raden te maken. Controleer of de WordPress Wachtwoord Sterkte Detector het wachtwoord op zeer goed gemeld staat.

Wat ook handig kan zijn, is dat u regelmatig een nieuw wachtwoord insteld. Zodoende kan je het ook voorkomen dat ze het wachtwoord gaan raden na verloop van tijd.

3. Login Limiet

Als een hacker te werk gaat, gaan ze eerst op het logische af. Dus eerst een wachtwoord raden. Lukt het daarmee niet, dan gaan ze programma’s gebruiken om het voor hun te laten raden. Een handig script die loopt continue door om het wachtwoord te raden.

Wat je dan moet doen, is het inloggen maximaliseren op een aantal keren foutief inloggen. Je kunt het eenvoudig doen met behulp van een plugin genaamd : Inloggen Lockdown .
Deze plugin zal de gebruiker/bezoekers voor een bepaalde tijd blokkeren,als die het wachtwoord foutief invoert na een aantal keer, of binnen een bepaalde tijd.

Je kunt de instellingen wijzigen hiervoor in het Admin gedeelte.

4. Gebruik SSL Login Pagina’s

Het is mogelijk om in te loggen op WordPress Admin Panel, via een gecodeerd kanaal SSL. Dit betekend, dat er een https://www.site.nl/wp-admin.php komt te staan, in plaats van http://

Voordat je de volgende code toevoegde, vraag aan uw website hoster of je Gedeelde SSL, of u een eigen SSL certificaat hebt. Zodra je dit hebt bevestigd, plak dan de volgende code in je wp-config.php bestand:

define(’FORCE_SSL_ADMIN’, true);

Er is ook een plugin beschikbaar : Admin SSL. Deze plugin forceert SSL op alle pagina’s die er zijn. Het is makkelijker om deze plugin te installeren, maar sommigen willen deze optie wel eens met de hand toevoegen ivm Wordpress Upgrades.

5. Wachtwoord Beveiliging wp-admin Directory

Er is niets mis met twee wachtwoorden. Het voegt een extra stukje beveiliging toe aan de bestaande Wordpress Installatie. Dit kan door middel van de volgende plugin : AskApache Password Protect

Het maakt jouw wachtwoord dusdanig veilig, en maakt een .htacess bestand aan voor nog betere beveiliging. Simpel, maar zo treffend en zeker dat ik deze ook gebruik voor meerdere sites.

6. Beperk Toegang via IP adressen

Ok, dit is voor de specialisten onder ons. Je kunt beperkte toegang creeeren tot je wp-admin Panel, door middel van het beperken van de ip adressen. Het enige wat je moet doen, is een .htaccess bestand aanmaken in de /wp-admin/ folder.

En plaats de volgende code in :

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic

order deny,allow
deny from all
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx

Verander het IP adres, en het zal werken. Klein nadeel voor deze hack, mocht je van een andere werkplek/ip nummer de site dan willen benaderen, dan zal het zeker niet likken, tenzij je dat ip adres toevoegt aan het .htaccess bestand.

7. Gebruik NIET admin gebruikersnaam

Dit is de eerste gebruiker die wordt aangemaakt wanneer WordPress is geïnstalleerd. U moet dit nooit gebruiken of aanhouden voor langere tijd. In het verleden is vaker gebleken, dat er meerdere problemen zijn gevonden via brute force attack in combinatie van het admin gebruikersnaam. Je zou een andere gebruiker kunnen aanwijzen als eigenaar, en daarmee inlogt.

Probeer om deze gebruikersnaam aan te maken, dat niet duidelijk te raden is. Zodat het moeilijker is voor de hacker om het te raden. Dan verwijderen je de admin gebruiker! Kleine truc, maar wel handig.

8. Verwijder Foutmelding op Login Pagina

Wanneer je een verkeerde wachtwoord of een ongeldige gebruikersnaam invoert, krijg je een foutmelding op de login pagina. Dus als een hacker geen toegang krijgt, dan zal de foutmelding hem zal helpen het probleem te identificeren.

Daarom wordt eigenlijk aanbevolen, dat deze foutmelding geheel te verwijderen. Open uw functions.php zich in uw thema map en plak de volgende code:

add_filter(’login_errors’,create_function(’$a’, “return null;”));

Mocht je dit niet kunnen, dan is er gelukkig ook nog een plugin : Secure WordPress. Deze plugin regelt dit allemaal, maar ook extra zaken. Kijk maar eens op de informatie site (aanrader!)

9. Virusbeveiliging in Wordpress

Onlangs heeft een collega blogger: Positie1 en ook mijzelf problemen gehad met Google. Die vond namelijk, dat er schadelijke software werd geinstalleerd wanneer je de site bezocht. Soms kan een upgrade van Wordpresshulp bieden, maar soms ook andere zaken.

AntiVirus voor WordPress is een slimme en effectieve oplossing voor uw blog die tegen exploits en spam injecties te beschermen. Het speciale kenmerk van deze plugin is het handmatig testen van de website, met onmiddellijke verwijdering/advies van wat te doen. En met mooie dagelijkse controles met email aanmelding. Eigenlijk teveel om op te noemen.

10. Wordpress Firewall Plugin

WordPress Plugin Firewall meld, rapporteert en hersteld gevaarlijke instellingen in Wordpress. Simpel, maar zeer effectief.

Er worden veel plugins ondersteund, waardoor het allemaal net iets veilig wordt. Optioneel kun je aangeven dat deze plugin als eerste wordt geladen, voordat de website tevoorschijn komt. Nog een extraatje, het geeft je een optie om een e-mail te sturen met handige informatie over een eventuele aanval. We kunnen wel doorgaan met deze plugin, want er zitten ontzettend veel mogelijkheden op.

AANRADER

11. Sessie wachtwoorden

Met de One Time Password plugin, kun je eenmalig jouw inloggegevens koppelen aan een sessie. One Time Password voorkomt dat iemand anders met jouw wachtwoord vandoor gaat.

Zo kun je veilig in een InternetCafe, of bij iemand anders een veilige verbinding tot stand kan brengen zonder dat er bijvoorbeeld keyloggers zijn geinstalleerd.