WordPress-websites hebben steeds vaker met brute force-aanvallen te maken. Daarbij proberen de aanvallers om met veelgebruikte wachtwoorden in te loggen op een website. Beveiligingsbedrijf Sucuri, dat brute force-aanvallen op WordPress-websites bijhoudt, heeft dit onlangs bekendgemaakt.
Daniel Cid van Sucuri stelt dat brute force-aanvallen een belangrijke oorzaak zijn van hacks van websites: “Als je een onbeveiligde inlogpagina hebt zul je met brute force-pogingen te maken krijgen”, stelt hij. Beheerders van een WordPress-website hebben volgens hem meerdere opties om zich te wapenen tegen deze aanvallen.
Captcha, IP-whitelisting en twee-factor authenticatie
Wat kunnen WordPress gebruikers doen? Daniel Cid adviseert om captcha’s in te stellen, om alleen bepaalde IP-adressen toe te staan (IP-whitelisting) en om gebruik te maken van twee-factor authenticatie.
Htaccess/IIS-configuratie
Andere WordPress-beheerders vinden dat deze hacks gemakkelijk zijn te verhinderen door de URL van de inlogpagina te veranderen en deze te blokkeren in de htaccess/IIS-configuratie. WordPress wordt door ongeveer een kwart van alle websites op internet gebruikt, overeenkomstig gegevens van W3Techs. Regelmatig berichten beveiligingsbedrijven over grote aantallen WordPress-sites die zijn gehackt. Vervolgens worden deze websites ingezet om malware te verspreiden.