Hoe je WordPress-site te beschermen tegen Brute Force-aanvallen (stap voor stap)
Wilt u uw WordPress-site beschermen tegen brute force-aanvallen? Deze aanvallen kunnen uw website vertragen, ontoegankelijk maken en zelfs uw wachtwoorden laten kraken om malware op uw website te installeren. In dit artikel laten we u zien hoe u uw WordPress-site beschermt tegen brute force-aanvallen.
Wat is een Brute Force-aanval?
Brute Force Attack is een hackingmethode die gebruik maakt van trial and error-technieken om in te breken in een website, een netwerk of een computersysteem.
Hackers gebruiken geautomatiseerde software om een groot aantal verzoeken naar het doelsysteem te verzenden. Bij elke aanvraag proberen deze software de informatie te raden die nodig is om toegang te krijgen, zoals wachtwoorden of pincodes.
Deze tools kunnen zichzelf ook vermommen door verschillende IP-adressen en locaties te gebruiken, waardoor het voor het gerichte systeem moeilijker wordt om deze verdachte activiteiten te identificeren en te blokkeren.
Een succesvolle brute force-aanval kan hackers toegang geven tot het admingebied van uw website. Ze kunnen achterdeur installeren, malware, gebruikersinformatie stelen en alles op uw site verwijderen.
Zelfs mislukte brute force-aanvallen kunnen grote schade aanrichten door te veel verzoeken te verzenden die uw WordPress-servers vertragen en zelfs crashen.
Dat gezegd hebbende, laten we eens kijken hoe u uw WordPress-site kunt beschermen tegen brute force-aanvallen.
Stap 1. Installeer een WordPress Firewall-plug-in
Aanvallen met brute kracht belasten je servers enorm. Zelfs de niet-succesvolle versies kunnen uw website vertragen of de server volledig laten crashen. Daarom is het belangrijk om ze te blokkeren voordat ze bij je server komen.
Om dat te doen, heeft u een website-firewalloplossing nodig. Een firewall filtert slecht verkeer en blokkeert het toegang tot uw site.
Er zijn twee soorten website-firewalls die u kunt gebruiken.
Firewall op toepassingsniveau - Deze firewall-plug-ins onderzoeken het verkeer zodra het uw server bereikt, maar voordat de meeste WordPress-scripts worden geladen. Deze methode is niet zo efficiënt omdat een brute force-aanval nog steeds uw serverbelasting kan beïnvloeden.
DNS Level Website Firewall - Deze firewall routeert uw websiteverkeer via hun cloud-proxyservers. Hierdoor kunnen ze alleen echt verkeer naar uw belangrijkste webhostingserver sturen en tegelijkertijd uw WordPress-snelheid en -prestaties een boost geven.
We raden het gebruik van Sucuri aan. Het is de marktleider op het gebied van website-beveiliging en de beste WordPress-firewall op de markt. Omdat het een DNS-website-firewall is, betekent dit dat al uw websiteverkeer door hun proxy gaat waar slecht verkeer wordt uitgefilterd.
We gebruiken Sucuri op onze website en je kunt onze complete Sucuri-recensie lezen voor meer informatie.
Stap 2. Installeer WordPress Updates
Sommige veel voorkomende brute force-aanvallen richten zich actief op bekende kwetsbaarheden in oudere versies van WordPress, populaire WordPress-plug-ins of thema's.
WordPress-kern en populairste WordPress-plug-ins zijn open source en kwetsbaarheden worden vaak snel opgelost met een update. Als u echter geen updates installeert, laat u uw website kwetsbaar voor die oude bedreigingen.
Ga gewoon naar Dashboard »Updates pagina in WordPress admin gebied om te controleren op beschikbare updates. Deze pagina toont alle updates voor uw WordPress-kern, plug-ins en thema's.
Raadpleeg onze handleiding voor meer informatie over het correct bijwerken van WordPress-plug-ins voor meer informatie.
Stap 3. Bescherm WordPress Admin Directory
De meeste brute force-aanvallen op een WordPress-site proberen toegang te krijgen tot het WordPress-beheerdersgebied. U kunt wachtwoordbescherming toevoegen aan uw WordPress beheerdersdirectory op serverniveau. Dit zou ongeoorloofde toegang tot uw WordPress admin-gebied blokkeren.
Meld u aan bij uw WordPress hosting controlepaneel (cPanel) en klik op het pictogram 'Directory Privacy' onder het gedeelte Bestanden.
Notitie: We gebruiken Bluehost in onze screenshot, maar vergelijkbare instellingen zijn beschikbaar voor andere tophostingsbedrijven, zoals SiteGround, HostGator, enz..
Vervolgens moet u de wp-admin-map vinden en op de mapnaam klikken.
cPanel vraagt u nu om een naam op te geven voor de beperkte map, gebruikersnaam en wachtwoord. Nadat u deze informatie hebt ingevoerd, klikt u op de knop Opslaan om uw instellingen op te slaan.
Uw WordPress beheerdersdirectory is nu beveiligd met een wachtwoord. U ziet een nieuwe aanmeldingsprompt wanneer u uw WordPress-beheergebied bezoekt.
Als u een 404-fout tegenkomt of een foutmelding te veel omleidingen doorstuurt, moet u de volgende regel toevoegen aan uw WordPress .htaccess-bestand.
ErrorDocument 401 standaard
Zie ons artikel over het beveiligen van de WordPress-beheerdersmap voor meer informatie.
Stap 4. Voeg twee-factorenauthenticatie toe in WordPress
Twee-factor authenticatie voegt een extra beveiligingslaag toe aan uw WordPress login scherm. Kortom, gebruikers zullen hun telefoons nodig hebben om een eenmalige toegangscode te genereren, samen met hun inloggegevens om toegang te krijgen tot het WordPress admin gebied.
Het toevoegen van tweefactorauthenticatie maakt het moeilijker voor hackers om toegang te krijgen, zelfs als ze in staat zijn om je WordPress-wachtwoord te kraken.
Voor gedetailleerde stapsgewijze instructies, zie onze handleiding over hoe u two-factor authenticatie in WordPress kunt toevoegen
Stap 5. Gebruik unieke sterke wachtwoorden
Wachtwoorden zijn de sleutels om toegang te krijgen tot uw WordPress-site. U moet unieke sterke wachtwoorden gebruiken voor al uw accounts. Een sterk wachtwoord is een combinatie van cijfers, letters en speciale tekens.
Het is belangrijk dat u sterke wachtwoorden gebruikt, niet alleen voor uw WordPress-gebruikersaccounts, maar ook voor FTP, het configuratiescherm voor webhosting en uw WordPress-database..
De meeste beginners vragen ons hoe al deze unieke wachtwoorden onthouden kunnen worden? Nou, dat hoeft ook niet. Er zijn uitstekende wachtwoordmanager-apps beschikbaar die uw wachtwoorden veilig opslaan en automatisch voor u invullen.
Raadpleeg voor meer informatie onze beginnershandleiding over de beste manier om wachtwoorden voor WordPress te beheren.
Stap 6. Schakel het bladeren door mappen uit
Wanneer uw webserver geen indexbestand (dat wil zeggen een bestand als index.php of index.html) vindt, wordt standaard automatisch een indexpagina weergegeven met de inhoud van de map.
Tijdens een brute force-aanval kunnen hackers door mappen bladeren om kwetsbare bestanden te zoeken. Om dit op te lossen, moet u de volgende regel onderaan uw WordPress .htaccess-bestand toevoegen.
Opties -Indexen
Zie ons artikel over het uitschakelen van directory browsing in WordPress voor meer informatie.
Stap 7. Schakel PHP-bestandsuitvoering uit in specifieke WordPress-mappen
Hackers willen misschien een PHP-script installeren en uitvoeren in uw WordPress-mappen. WordPress is voornamelijk geschreven in PHP, wat betekent dat je dat niet in alle WordPress-mappen kunt uitschakelen.
Er zijn echter enkele mappen die geen PHP-scripts nodig hebben. Uw map met WordPress-uploads bijvoorbeeld bevindt zich in / wp-content / uploads.
Je kunt de uitvoering van PHP veilig uitschakelen in de map uploads. Dit is een gebruikelijke plek die hackers gebruiken om backdoor-bestanden te verbergen.
Eerst moet je een teksteditor zoals Notepad op je computer openen en de volgende code plakken:
ontken van iedereen
Bewaar dit bestand nu als .htaccess en upload het naar / wp-content / uploads / folders op uw website met behulp van een FTP-client.
Stap 8. Installeer en installeer een WordPress Backup-plug-in
Back-ups zijn het belangrijkste hulpmiddel in uw WordPress-beveiligingsarsenaal. Als al het andere niet lukt, kunt u met back-ups eenvoudig uw website herstellen.
De meeste WordPress-hostingbedrijven bieden beperkte back-upopties. Deze back-ups zijn echter niet gegarandeerd en u bent zelf verantwoordelijk voor het maken van uw eigen back-ups.
Er zijn verschillende geweldige back-upplug-ins voor WordPress, waarmee u automatische back-ups kunt plannen.
We raden aan UpdraftPlus te gebruiken. Het is beginnersvriendelijk en stelt u in staat om snel automatische back-ups in te stellen en op te slaan op externe locaties zoals Google Drive, Dropbox, Amazon S3 en meer.
Raadpleeg onze handleiding voor stapsgewijze instructies voor het maken van een back-up van en het herstellen van uw WordPress-site met UpdraftPlus
Alle bovengenoemde tips helpen u uw WordPress-site te beschermen tegen brute force-aanvallen. Voor een uitgebreidere beveiligingsconfiguratie moet u de instructies volgen in onze ultieme WordPress-beveiligingsgids voor beginners.
We hopen dat dit artikel je heeft geholpen om te leren hoe je je WordPress-site kunt beschermen tegen brute force-aanvallen. Misschien wilt u ook letten op de tekenen dat uw WordPress is gehackt en hoe u een gehackte WordPress-site kunt repareren.
Als je dit artikel leuk vond, meld je dan aan voor onze YouTube-video-tutorials over WordPress. U kunt ons ook vinden op Twitter en Facebook.