Bij de meeste WordPress sites is het relatief makkelijk om gebruikersnamen van accounts te achterhalen. De gebruikersnaam wordt namelijk bij berichten of reacties op de site weergegeven. Het enige wat een hacker nu nog nodig heeft om de site binnen te komen is het wachtwoord dat bij de gebruikersnaam hoort.

Om het wachtwoord te achterhalen, wordt er vaak gebruik gemaakt van de zogeheten ‘Brute-Force Attacks’. Dit houdt in dat er van één computer, of meerdere computers, gebruik wordt gemaakt om één voor één alle mogelijke wachtwoord combinaties langs te gaan, totdat de juiste is gevonden. Soms kan het kraken van wachtwoorden op deze manier erg lang duren, bijvoorbeeld als het een wachtwoord met veel tekens bedraagt, terwijl het de andere keer binnen een aantal minuten is gebeurd, als het wachtwoord dus uit weinig tekens bestaat.  De kracht van de Brute-Force techniek is dat het wachtwoord altijd achterhaald wordt, het is alleen een kwestie van tijd.

Een aantal manieren om de tijd van het achterhalen aanzienlijk te vergroten, en om de hacker dus op te laten geven voordat zijn doel is bereikt, zijn de volgende:

-Zorg ervoor dat je wachtwoord van een redelijke lengte is. Des te langer het wachtwoord, des te langer duurt het voordat de Brute-Force techniek het juiste wachtwoord heeft achterhaald. WordPress heeft als eis dat een wachtwoord minstens 7 tekens lang moet zijn, iets wat je bij een Brute-Force aanval toch wel minstens nodig zult hebben om het lastig voor de hacker te maken.

-Stel een maximum in op het aantal inlogpogingen en zorg voor een tijdelijke IP blokkade als dit maximum overschreden wordt. Het voordeel van WordPress is natuurlijk dat je zelf geen (ingewikkelde) aanpassingen hoeft te maken aan je site; er zijn namelijk plugins verkrijgbaar die het voor je doen. Als voorbeeld heb ik 2 van zulke plugins op mijn site beschreven; Limit Login Attempts en Login Lock.

-Stel een geheime vraag in die beantwoord moet worden voordat je in kan loggen op de site. Een goede plugin die hiervoor zorgt is Login Dongle . Het voordeel van een geheime vraag is dat je alleen in kan loggen als je het antwoord op de vraag weet, dus zelfs als je browser automatisch de logingegevens invult en iemand op jouw computer zit, kunnen ze nog steeds niet inloggen zonder het juiste antwoord op de vraag.

Michel Kraaijeveld

Michel Kraaijeveld is oprichter van WPsitemaken. Hij is ervan overtuigd dat het voor iedereen mogelijk moet zijn om een eigen website te maken, zonder lastige handleidingen door te hoeven nemen. Zelf is hij al 6 jaar actief met WordPress en probeert zijn kennis op een simpele manier over te brengen aan anderen.