Standaard zit er bij WordPress geen limiet aan het aantal inlogpogingen. Dit is dus een buitenkans voor hackers om op een relatief makkelijke manier toegang te krijgen tot je account. Een gebruikersnaam is zo achterhaald, bijvoorbeeld door de reacties door te kijken op je site of na te gaan door wie een artikel geschreven is, en het enige wat dan nog resteert is het wachtwoord. Er zijn verschillende manieren om het wachtwoord te achterhalen, maar alle manieren hebben meerdere inlogpogingen nodig voordat ze succesvol zijn. Daarom is het dus handig om het aantal inlogpogingen te limiteren.
Een wat uitgebreidere plugin om dit voor elkaar te krijgen, is Login Lock. De plugin is na het installeren en activeren, pas wel op; na het activeren log je automatisch uit dus zorg ervoor dat je je gebruikersnaam/wachtwoord bij de hand hebt, te vinden onder ‘Instellingen > Login Lock’. We krijgen dan het volgende scherm te zien:
We beginnen bovenaan bij de ‘Login Protection Settings’. De eerste opties die we in kunnen stellen is hoeveel foute inlogpogingen (login attempts) iemand mag ondergaan binnen een bepaalde tijd voordat er een blokkade optreedt. Standaard is het; 5 foute pogingen, binnen 30 minuten, resulteert in een blokkade van 60 minuten. Dit betekent dus dat als je bijvoorbeeld 4 fout inlog pogingen hebt gehad en daarna 30 minuten wacht, je weer 5 nieuwe pogingen hebt. Je moet voor jezelf kijken wat je hier fijne waardes voor vindt, maar zelf vind ik ze op deze manier goed ingesteld.
De volgende optie is of beheerders (admins) een email moeten ontvangen wanneer een IP adres geblokkeerd is. Dit houdt in dat er een email verstuurd wordt wanneer iemand 5 foute inlogpogingen heeft ondergaan en geblokkeerd is. Het is handig om dit aan te hebben staan, omdat je meteen op de hoogte wordt gesteld wanneer er iemand bezig is met het hacken van je account.
Daarna zien we ‘Password Policy Settings’ staan. De eerste optie is of deze ‘Password Policy Settings’ uitgevoerd moeten worden of niet. Standaard staat het op ja, maar ik kan begrijpen dat deze instellingen niet voor elke site gewenst zijn (bijvoorbeeld als er maar weinig beheerders zijn op een site).
Als eerste optie kunnen we kiezen om de hoeveel dagen het wachtwoord moet worden veranderd. Standaard staat deze optie op 30 dagen, dus elke keer als er 30 dagen verstreken zijn en iemand logt in, komt er een melding dat het wachtwoord veranderd moet worden. Als je deze optie uit wilt schakelen, moet je bij het aantal dagen ‘0’ invullen.
Nu komen we aan bij het aantal tekens dat het wachtwoord minimaal moet zijn. De plugin geeft aan tussen de 4 en 64 tekens, maar WordPress ondersteund geen wachtwoorden die korter zijn dan 7, dus eigenlijk heb je de keus tussen 7 en 64 tekens. Standaard staat deze optie op 12 tekens, wat zeker wel lang genoeg is. Daarnaast kan er ook nog ingesteld worden hoe ‘sterk’ het wachtwoord moet zijn. ‘Low’ houdt in dat er geen eisen gesteld worden aan het wachtwoord, behalve de minimale lengte die het moet zijn. ‘Medium’ heeft als eis dat er hoofdletters, kleine letters en nummers in het wachtwoord verwerkt moeten zijn en ‘High’ heeft als eis dat er hoofdletters, kleine letters, nummers, maar ook speciale tekens gebruikt moeten worden.
‘Password recycling’ is een erg handige optie, omdat dit ervoor zorgt dat je niet steeds je oude wachtwoord in hetzelfde wachtwoord kan veranderen als ‘nieuw’ wachtwoord; je moet dus elke keer echt een nieuw wachtwoord verzinnen. Het voordeel hiervan is dat hackers minder snel het wachtwoord kunnen achterhalen, omdat het steeds veranderd. Ook worden de laatste 5 wachtwoorden onthouden, dus je moet minstens 5 keer een nieuw wachtwoord hebben gehad, voordat je hetzelfde wachtwoord kan hergebruiken.
‘Idle Logout’ is nog een aparte optie die in veel gevallen handig kan zijn. Je kan hier namelijk instellen hoelang het duurt voordat iemand, die geen activiteit vertoond, automatisch wordt uitgelogd. Standaard staat dit op 15 minuten, dus na 15 minuten van inactiviteit wordt de betreffende persoon automatisch uitgelogd. Dit kan handig zijn wanneer er bijvoorbeeld gewerkt wordt in een drukke omgeving; mocht je dan weglopen zonder uit te loggen, dan gebeurt dit na een tijdje automatisch. Wederom zorgt een ‘0’ invoeren ervoor dat deze functie uitgeschakeld wordt.
Als laatste komen we aan bij de ‘Force Password Changes Now’ optie. Dit is een ‘panic button’ en zorgt ervoor dat iedereen die op dat moment is ingelogd, dus ook degene die deze optie in werking stelt, wordt uitgelogd. Daarnaast wordt het wachtwoord van elke account veranderd en krijgt iedereen een email toegestuurd met daarin het gegenereerde nieuwe wachtwoord en verdere instructies. Deze ‘panic button’ kan erg goed van pas komen wanneer er ooit een account gehackt blijkt te zijn en je er zeker van moet zijn dat de indringer eruit gegooid wordt.