Een weinig gekende truc om jouw website te beschermen tegen brute force-aanvallen
WordPress gebruikersnamen… De meeste mensen staan te weinig stil bij het kiezen ervan. Door dit niet te doen verhoog je de kans enorm op een gehackte WordPress site. Er is een heel eenvoudige trucje voor het kiezen van een gebruikersnaam, dat de kans dat jouw WordPress site gehackt wordt via een brute force login enorm verminderd.
Maar waarom zou je, het is gewoon een gebruikersnaam?
Eén van de meest voorkomende manieren waarop WordPress wordt gehackt is door middel van brute force aanvallen op gebruikersnamen en wachtwoorden (dwz. willekeurig verschillende variaties proberen totdat je succesvol bent). Het is al lang bekend dat de zwakste gebruikersnaam die je kan hebben deze is: “admin”.
Waarom? Het is de standaard gebruikersnaam die wordt gebruikt bij het opzetten van een nieuwe WordPress installatie, en het is pijnlijk duidelijk dat de gebruiker de hoogste privileges geniet. Als iemand probeert in te breken in je site, en ze weten de gebruikersnaam reeds, dan is de helft van het gevecht bij voorbaat gewonnen.
Nu zou je kunnen denken “dat is OK, ik zal gewoon een gebruikersnaam nemen verschillend van admin”. Maar een bijkomend nadeel is dat het mogelijk is om WordPress gebruikersnamen te ontdekken via de publieke kant van de site.
Het ontdekken van de gebruikersnamen voor een bepaalde WordPress site is relatief eenvoudig. De gebruiker moet wel een bericht hebben gepubliceerd. Maar dan volstaat een eenvoudige link naar de gebruiker z’n profiel. Een link die ik hier natuurlijk niet ga herhalen…
Echter, er is een weinig bekende truc voor het selecteren van een gebruikersnaam, die er voor zorgt dat de naam van een gebruiker niet af te leiden valt via deze manier:
Het @-symbool!
Hoe gebruik ik de @ om al mijn gebruikersnaam-ellende te verhelpen?
Bij het kiezen van een gebruikersnaam in WordPress is het je alleen toegestaan om letters, getallen en drie speciale tekens te kiezen. Twee daarvan zullen de meeste mensen bekend zijn:
– (koppelteken) en _ (underscore), maar er is een derde dat niet veel mensen weten: @ (het ‘at’ teken).
Dus kun je bijvoorbeeld dit doen bij het aanmaken van een gebruikersnaam:
- @admin
- Of admin@
- Of @@@@@@@@admin@@@@@@@@
- Of zelfs @a@d@m@i@n@
- Of iets totaal anders dat ook nog een @ bevat
Je bent alleen beperkt door jouw verbeelding over hoeveel @ symbolen je wil gebruiken en de plaatsing ervan.
Nu, hier komt het fantastische deel…
In tegenstelling tot het streepje en de underscore, die beide zichtbaar zijn in de auteur URL (http://[website.url]/author/test_user-example/ bijvoorbeeld), geldt dat niet voor het @-symbool. Dus, zolang je de ‘Gebruikersnaam’ en de ‘Schermnaam’ vermeldingen onder het gebruikersprofiel wijzigt, is er nergens een plaats waar de @ symbolen verschijnen op de publieke kant van de website.
Voor elk van de bovenstaande voorbeelden, zal de auteur URL altijd worden weergegeven als: http://[website.url]/author/admin/ maar als je probeert in te loggen met ‘admin’ als gebruikersnaam en ID – én ZELFS als je het juiste wachtwoord hebt -, zal de login toch mislukken.
Nu moet je aanvaller niet alleen je wachtwoord raden, maar ook nog je gebruikersnaam!
Bonus tip …
Daarbovenop, hier is nog een kleine bonus tip om de ontdekking van jouw gebruikersnaam nog moeilijker te maken, misschien zelfs onmogelijk:
Als een gebruiker geen berichten heeft, zal zijn naam nooit opduiken op een auteurs pagina.
Dus, als jouw nieuw aangemaakte @@admin@@ gebruiker niet de auteur is van zijn of haar berichten, dan is het niet eens mogelijk om dat profiel te vinden via een “auteur”-pagina. Als alle administrator-gebruikers niet geassocieerd zijn met één van de berichten, en dat is zoals het moet zijn, dan is hun gebruikers-ID gewoonweg onvindbaar.
Als dit wel het geval is, dan is het mogelijk om zijn of haar berichten opnieuw te koppelen aan een auteur met lagere privileges.
Samenvatting
Het maken van een onmogelijk-te-ontdekken-gebruikersnaam op WordPress is slechts een stap in het beveiligingsproces. Als je al deze goede raad volgt zul je eindigen met een gebruikersnaam die:
- niet makkelijk vindbaar is met behulp van de auteur/user_id url-detectiemethode
- nergens getoond wordt op het publieke zijde van de website, waardoor de ontdekking van de exacte gebruikers-ID onmogelijk is
‘Veiligheid door onduidelijkheid’ is slechts één laag in een meervoudig gelaagd beveiligingsmodel. Andere lagen kunnen bestaan uit zaken als:
- het gebruik van sterke wachtwoorden
- het gebruik van bepaalde andere veiligheidsmaatregelen zoals plugins en optimalisatie van andere kleine veiligheids issues
Voeg dit samen met een goed back-up plan, monitoring en het up-to-date houden van jouw site en jekan gerust slapen.
WPSecure is steeds bereid om te helpen, contacteer ons voor meer info.