Wereldwijde aanval op WordPress sites en wat je ertegen moet doen

massive attack on wordpress sitesAls meest gebruikt content management systeem ter wereld trekt WordPress ook de belangstelling van lieden die proberen websites te hacken, om wat voor redenen dan ook. Er zijn een aantal maatregelen die je absoluut moet nemen om je WordPress site hiertegen te beschermen.

Veiligheidsanalisten hebben ontdekt dat momenteel (13 april 2013) een doorlopende aanval aan de gang is over het hele internet, gericht op webservers waarop WordPress websites draaien. De onbekenden die achter de aanval zitten gebruiken meer dan 90.000 IP-adressen om in te breken in kwetsbare WordPress websites.

Een WordPress website kan bijvoorbeeld kwetsbaar zijn omdat hij niet is geüpdated naar de laatste WordPress-versie, waardoor de aanvallen een bekend veiligheidslek zou kunnen benutten.

Dat lijkt hier niet het geval. De strategie van de crackers is om met veel geweld de logins van kwetsbare WordPress sites te kraken. Bij deze zogenaamde brute force methode wordt een hele waslijst veelgebruikte wachtwoorden geprobeerd om met de gebruikersnaam ‘admin’ in te loggen.

Gebruik nooit ‘admin’ als gebruikersnaam

De standaard gebruikersnaam voor het beheerdersaccount, die door veel geautomatiseerde WordPress installatieprogramma’s wordt ingesteld, is ‘admin’. Het is een bijzonder groot risico om ‘admin’ te gebruiken. Je geeft daarmee een aanvaller al de helft van de sleutel tot jouw site in handen. Dat is ook precies waar de aanval van vandaag van uitgaat. Het maakt hen niet zo veel uit welke WordPress sites ze kraken, ze richten zich nu gewoon eerst op de gemakkelijkste prooi: de waarschijnlijk miljoenen WordPress sites waar ‘admin’ de naam is van het beheerdersaccount.

Wat moet je doen als op jouw site ‘admin’ de naam is van het beheerdersaccount?

Je kunt in WordPress een gebruikersnaam niet wijzigen. Dus gaan we dat via een omweggetje doen. We gaan eerst een nieuw beheerdersaccount aanmaken met een veilige gebruikersnaam en wachtwoord, en dan het admin-account verwijderen.

  1. Ten eerste moet je zo snel mogelijk inloggen op je site en een nieuw beheerdersaccount aanmaken (via Gebruikers > Nieuwe toevoegen). Kies bij voorkeur een gebruikersnaam die niet gemakkelijk te raden is en ook enkele bijzondere tekens heeft. 3R!kDeVr13s is bijvoorbeeld stukken veiliger dan Erikdevries. Kies bij deze gebruikersnaam ook een veilig wachtwoord, dat minstens uit 8 tekens bestaat en hoofdletters, kleine letters, cijfers én bijzondere tekens bevat (~!@#$%^&*()_-+={}[]:;”’|\<>,.?/|\). Let ook even op dat je de rechten van je nieuwe account op Beheerder zet.
  2. Bij het aanmaken van een nieuw gebruikersaccount moet je verplicht een e-mailadres opgeven. Dit mag niet hetzelfde zijn als een e-mailadres van een bestaand gebruikersaccount op je website. Je kunt hiervoor een tijdelijk e-mailadres opgeven; dat mag zelfs fake zijn. Na het verwijderen van het admin-account kun je het e-mailadres van je nieuwe beheerdersaccount veranderen.
  3. Zodra je je nieuwe beheerdersaccount hebt aangemaakt, log je uit en opnieuw in met je nieuwe veilige beheerdersaccount. Verwijder nu het admin-account. WordPress vraagt wat er met de berichten en pagina’s moet gebeuren die door admin zijn aangemaakt. Kies hier de optie dat deze worden overgedragen aan het nieuwe beheerdersaccount.

Pfff, je site is nu echt al stukken veiliger. Maar de mogelijkheid bestaat dat hij al gehackt was voordat jij je beheerdersaccount veranderde. Dat ga je nu controleren.

Is je site al besmet?

Ga naar Plugins > Nieuwe plugin en zoek op wordfence security. Als het goed is vind je deze plugin bovenaan de 2 zoekresultaten. Het gaat om deze plugin: http://wordpress.org/extend/plugins/wordfence
Installeer de plugin. Er verschijnt een nieuw item Wordfence in het WordPress menu. Klik in het Wordfence submenu op Scan en klik dan op de knop Start a Wordfence Scan.
Wordfence gaat nu jouw hele WordPress site minutieus controleren, waarbij alle bestanden worden vergeleken met de originele installatiebestanden van WordPress.org. Elk verschil wordt gerapporteerd.

Wanneer je na de scan in het paneel New Issues bestanden krijgt te zien die niet overeenkomen met de originele bestanden, is het belangrijk hier goed naar te kijken. Als je zelf niet kunt beoordelen of het om een hack gaat, laat dan je webbouwer of een andere WordPress-expert ernaar kijken. Dit is het moment om eventuele infecties te verwijderen.

De installatie van Wordfence maakt je WordPress site nog een stuk veiliger. Behalve dat de plugin je site automatisch dagelijks scant, kun je er ook handige dingen mee instellen zoals een beperking van het aantal login-pogingen of aanvragen voor het toesturen van het beheerderswachtwoord. Je kunt met Wordfence live naar het verkeer op je website kijken, waarbij je verkeer krijgt te zien dat je niet ziet in Google Analytics. Ik zie bijvoorbeeld in de Wordfence Live Activity onder Logins and Logouts dat mijn website vandaag gemiddeld 5 loginpogingen per uur krijgt met de gebruikersnaam ‘admin’. Uiteraard vangen al deze pogingen ‘bot’.

Wat is hier nu aan de hand?

De veiligheidsanalisten die ik erover heb gelezen gaan ervan uit dat deze grootscheepse aanval een voorbereiding is op een nog veel grotere aanval. Het gaat niet om de WordPress websites zelf, maar om de bouw van een botnet dat veel sterker is dan de botnets waarmee de afgelopen dagen de DDoS-aanvallen op de Nederlandse banken zijn uitgevoerd. Daarvoor waren vooral huis-, tuin- en keukenpc’s bij particulieren en bedrijven gebruikt, die eerder via phishing e-mails waren besmet. Bij deze wereldwijde aanval lijkt het de bedoeling een botnet van webservers op te zetten, dat veel krachtiger is omdat deze servers doorgaans robuuster zijn en betere verbindingen hebben met internet. Vanuit dit nieuwe botnet kunnen dan nog veel heftiger aanvallen worden uitgevoerd op bijvoorbeeld de online systemen van banken, en wellicht ook andere grote systemen, dan we de afgelopen tijd hebben meegemaakt.

Als dit waar is, is dit een zeer ernstige bedreiging.

Het is dan ook van het grootste belang deze instructie te verspreiden, zodat WordPress gebruikers over de gehele wereld deze basismaatregelen nemen om hun websites te beveiligen en zo nodig op te schonen. Daarom: retweet dit, plaats een berichtje op Facebook, zet een link op je blog of op je favoriete sociale medium. Zegt het voort.

Update 3 mei 2013

inlogpogingen-op-admin-account-wpwebbouw-3-5-2013a
Zoals uit bovenstaande grafiek blijkt was de intensiteit van de inlogpogingen op 1 mei sterk afgenomen. Het leek erop dat de gecoördineerde aanval was stopgezet. Op 3 mei zie ik echter een compleet ander beeld. Deze dag zijn er meer dan 1000 inlogpogingen op het admin-account! Uit nadere bestudering blijken de aanvallen in twee golven te komen, zie onderstaande grafiek. Ik houd het in de gaten en blijf hier updates posten.
inlogpogingen-admin-account-3-5-2013-per-uur

Bronnen:

Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack
Huge attack on WordPress sites could spawn never-before-seen super botnet
Selecting a Strong Password (wordpress.com)
Protecting Against WordPress Brute-Force Attacks
WordPress Under Attack: How To Avoid The Coming Botnet (Forbes)
Wordfence plugin

45 reacties op “Wereldwijde aanval op WordPress sites en wat je ertegen moet doen

  12. Pingback: Aanval op de Admin-gebruiker - Bronwasser Websites voor uw WordPress website.

  13. stephen

    Hoi Erik,
    Goed initiatief van je om hier een stuk over te schrijven. Ik schat zelf in dat dit nog maar het begin is, aangezien steeds meer mensen online gaan en WordPress toch wel heel gemakkelijk is. Voor het beveiligen van WordPress heb ik zelf een stuk geschreven. Het betreft de beste beveiligingsplugins voor WordPress van 2013. Alleen met alleen een beveiligingsplugin zijn we er niet natuurlijk. Als WordPress expert vind ik het belangrijk dat men ook weet hoe je een veilige WordPress installatie doet. Dat is wellicht nog veel belangrijker. Succes verder aan alle lezers.

    Stephen

    Reageren

  24. Pingback: Log je in op je Wordpress website met 'admin'?

  35. Pingback: Maak jouw WordPress site en blog in 5 stappen veilig tegen brute kracht aanvallen | Webmaster Resources

  43. Pingback: Aanvallen op WordPress-websites | Alva Design

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Let op!

Als je wilt dat je vraag serieus kan worden beantwoord, controleer dan of je hierboven minimaal het volgende hebt vermeld:

  • de url van de website
  • het gebruikte thema en of je dit hebt aangepast, al dan niet in een child-theme
  • indien van toepassing: de plugin die het probleem geeft
  • de pagina(s) waar het probleem zich voordoet
  • alle andere informatie die nodig kan zijn om het probleem te analyseren.