Als meest gebruikt content management systeem ter wereld trekt WordPress ook de belangstelling van lieden die proberen websites te hacken, om wat voor redenen dan ook. Er zijn een aantal maatregelen die je absoluut moet nemen om je WordPress site hiertegen te beschermen.
Veiligheidsanalisten hebben ontdekt dat momenteel (13 april 2013) een doorlopende aanval aan de gang is over het hele internet, gericht op webservers waarop WordPress websites draaien. De onbekenden die achter de aanval zitten gebruiken meer dan 90.000 IP-adressen om in te breken in kwetsbare WordPress websites.
Een WordPress website kan bijvoorbeeld kwetsbaar zijn omdat hij niet is geüpdated naar de laatste WordPress-versie, waardoor de aanvallen een bekend veiligheidslek zou kunnen benutten.
Dat lijkt hier niet het geval. De strategie van de crackers is om met veel geweld de logins van kwetsbare WordPress sites te kraken. Bij deze zogenaamde brute force methode wordt een hele waslijst veelgebruikte wachtwoorden geprobeerd om met de gebruikersnaam ‘admin’ in te loggen.
Gebruik nooit ‘admin’ als gebruikersnaam
De standaard gebruikersnaam voor het beheerdersaccount, die door veel geautomatiseerde WordPress installatieprogramma’s wordt ingesteld, is ‘admin’. Het is een bijzonder groot risico om ‘admin’ te gebruiken. Je geeft daarmee een aanvaller al de helft van de sleutel tot jouw site in handen. Dat is ook precies waar de aanval van vandaag van uitgaat. Het maakt hen niet zo veel uit welke WordPress sites ze kraken, ze richten zich nu gewoon eerst op de gemakkelijkste prooi: de waarschijnlijk miljoenen WordPress sites waar ‘admin’ de naam is van het beheerdersaccount.
Wat moet je doen als op jouw site ‘admin’ de naam is van het beheerdersaccount?
Je kunt in WordPress een gebruikersnaam niet wijzigen. Dus gaan we dat via een omweggetje doen. We gaan eerst een nieuw beheerdersaccount aanmaken met een veilige gebruikersnaam en wachtwoord, en dan het admin-account verwijderen.
- Ten eerste moet je zo snel mogelijk inloggen op je site en een nieuw beheerdersaccount aanmaken (via Gebruikers > Nieuwe toevoegen). Kies bij voorkeur een gebruikersnaam die niet gemakkelijk te raden is en ook enkele bijzondere tekens heeft. 3R!kDeVr13s is bijvoorbeeld stukken veiliger dan Erikdevries. Kies bij deze gebruikersnaam ook een veilig wachtwoord, dat minstens uit 8 tekens bestaat en hoofdletters, kleine letters, cijfers én bijzondere tekens bevat (~!@#$%^&*()_-+={}[]:;”’|\<>,.?/|\). Let ook even op dat je de rechten van je nieuwe account op Beheerder zet.
- Bij het aanmaken van een nieuw gebruikersaccount moet je verplicht een e-mailadres opgeven. Dit mag niet hetzelfde zijn als een e-mailadres van een bestaand gebruikersaccount op je website. Je kunt hiervoor een tijdelijk e-mailadres opgeven; dat mag zelfs fake zijn. Na het verwijderen van het admin-account kun je het e-mailadres van je nieuwe beheerdersaccount veranderen.
- Zodra je je nieuwe beheerdersaccount hebt aangemaakt, log je uit en opnieuw in met je nieuwe veilige beheerdersaccount. Verwijder nu het admin-account. WordPress vraagt wat er met de berichten en pagina’s moet gebeuren die door admin zijn aangemaakt. Kies hier de optie dat deze worden overgedragen aan het nieuwe beheerdersaccount.
Pfff, je site is nu echt al stukken veiliger. Maar de mogelijkheid bestaat dat hij al gehackt was voordat jij je beheerdersaccount veranderde. Dat ga je nu controleren.
Is je site al besmet?
Ga naar Plugins > Nieuwe plugin en zoek op wordfence security. Als het goed is vind je deze plugin bovenaan de 2 zoekresultaten. Het gaat om deze plugin: http://wordpress.org/extend/plugins/wordfence
Installeer de plugin. Er verschijnt een nieuw item Wordfence in het WordPress menu. Klik in het Wordfence submenu op Scan en klik dan op de knop Start a Wordfence Scan.
Wordfence gaat nu jouw hele WordPress site minutieus controleren, waarbij alle bestanden worden vergeleken met de originele installatiebestanden van WordPress.org. Elk verschil wordt gerapporteerd.
Wanneer je na de scan in het paneel New Issues bestanden krijgt te zien die niet overeenkomen met de originele bestanden, is het belangrijk hier goed naar te kijken. Als je zelf niet kunt beoordelen of het om een hack gaat, laat dan je webbouwer of een andere WordPress-expert ernaar kijken. Dit is het moment om eventuele infecties te verwijderen.
De installatie van Wordfence maakt je WordPress site nog een stuk veiliger. Behalve dat de plugin je site automatisch dagelijks scant, kun je er ook handige dingen mee instellen zoals een beperking van het aantal login-pogingen of aanvragen voor het toesturen van het beheerderswachtwoord. Je kunt met Wordfence live naar het verkeer op je website kijken, waarbij je verkeer krijgt te zien dat je niet ziet in Google Analytics. Ik zie bijvoorbeeld in de Wordfence Live Activity onder Logins and Logouts dat mijn website vandaag gemiddeld 5 loginpogingen per uur krijgt met de gebruikersnaam ‘admin’. Uiteraard vangen al deze pogingen ‘bot’.
Wat is hier nu aan de hand?
De veiligheidsanalisten die ik erover heb gelezen gaan ervan uit dat deze grootscheepse aanval een voorbereiding is op een nog veel grotere aanval. Het gaat niet om de WordPress websites zelf, maar om de bouw van een botnet dat veel sterker is dan de botnets waarmee de afgelopen dagen de DDoS-aanvallen op de Nederlandse banken zijn uitgevoerd. Daarvoor waren vooral huis-, tuin- en keukenpc’s bij particulieren en bedrijven gebruikt, die eerder via phishing e-mails waren besmet. Bij deze wereldwijde aanval lijkt het de bedoeling een botnet van webservers op te zetten, dat veel krachtiger is omdat deze servers doorgaans robuuster zijn en betere verbindingen hebben met internet. Vanuit dit nieuwe botnet kunnen dan nog veel heftiger aanvallen worden uitgevoerd op bijvoorbeeld de online systemen van banken, en wellicht ook andere grote systemen, dan we de afgelopen tijd hebben meegemaakt.
Als dit waar is, is dit een zeer ernstige bedreiging.
Het is dan ook van het grootste belang deze instructie te verspreiden, zodat WordPress gebruikers over de gehele wereld deze basismaatregelen nemen om hun websites te beveiligen en zo nodig op te schonen. Daarom: retweet dit, plaats een berichtje op Facebook, zet een link op je blog of op je favoriete sociale medium. Zegt het voort.
Update 3 mei 2013
Zoals uit bovenstaande grafiek blijkt was de intensiteit van de inlogpogingen op 1 mei sterk afgenomen. Het leek erop dat de gecoördineerde aanval was stopgezet. Op 3 mei zie ik echter een compleet ander beeld. Deze dag zijn er meer dan 1000 inlogpogingen op het admin-account! Uit nadere bestudering blijken de aanvallen in twee golven te komen, zie onderstaande grafiek. Ik houd het in de gaten en blijf hier updates posten.
Bronnen:
Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack
Huge attack on WordPress sites could spawn never-before-seen super botnet
Selecting a Strong Password (wordpress.com)
Protecting Against WordPress Brute-Force Attacks
WordPress Under Attack: How To Avoid The Coming Botnet (Forbes)
Wordfence plugin
RT @WPwebbouw: BREKEND Massieve aanval op WordPress sites
– en wat je ertegen kunt, nee moet doen http://t.co/UdHdZaUaO6 please RT
@nostromo dit: @WPwebbouw: BREKEND Massieve aanval op WordPress sites en wat je ertegen kunt, nee moet doen http://t.co/JLO9xozOL8 please RT
Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/pMcroAcaEW
RT @AlbertKooijman: Massale aanval op WordPress websites. Is jouw site goed beveiligd? http://t.co/Ag7hxX55jU #wordpress #tips
RT @frankmeeuwsen: Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen | WP Webbouw http://t.co/nlWfAwv0DV
RT @frankmeeuwsen: Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen | WP Webbouw http://t.co/nlWfAwv0DV
Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/UcFyrAq9cp
RT @frankmeeuwsen: Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen | WP Webbouw http://t.co/nlWfAwv0DV
RT @frankmeeuwsen: Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen | WP Webbouw http://t.co/nlWfAwv0DV
RT @e_rik: Goedemorgen. De aanvallen op WordPress sites gaan ook vandaag nog onverminderd door. Lees wat je ertegen moet doen http://t.co/dPriFAraKh
RT @WPwebbouw: Aanval op WorPress sites: miljoenen login pogingen per minuut op admin-accounts. Neem maatregelen! http://t.co/UdHdZaUaO6
Pingback: Aanval op de Admin-gebruiker - Bronwasser Websites voor uw WordPress website.
Hoi Erik,
Goed initiatief van je om hier een stuk over te schrijven. Ik schat zelf in dat dit nog maar het begin is, aangezien steeds meer mensen online gaan en WordPress toch wel heel gemakkelijk is. Voor het beveiligen van WordPress heb ik zelf een stuk geschreven. Het betreft de beste beveiligingsplugins voor WordPress van 2013. Alleen met alleen een beveiligingsplugin zijn we er niet natuurlijk. Als WordPress expert vind ik het belangrijk dat men ook weet hoe je een veilige WordPress installatie doet. Dat is wellicht nog veel belangrijker. Succes verder aan alle lezers.
Stephen
WordPress handig maar….lek als een mandje http://t.co/rcbCSDB1mE
RT @WPwebbouw: BREKEND Massieve aanval op WordPress sites
– en wat je ertegen kunt, nee moet doen http://t.co/UdHdZaUaO6 please RT
@bramderix Aanval op WorPress sites: miljoenen login pogingen per minuut op admin-accounts. Neem maatregelen! http://t.co/6f41XOIx3i“
RT @MarcelvanDriel: Hier meer over de WordPress attack: De site gehackt is niet de enige ramp. http://t.co/orDvkP7mLR
RT @ernohannink: Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/yRIFanczfO
RT @ernohannink: Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/hYB4Zqslk1
RT @frankmeeuwsen: Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen | WP Webbouw http://t.co/nlWfAwv0DV
RT @e_rik: Aanval op WorPress sites: miljoenen login pogingen per minuut op admin-accounts. Neem maatregelen! http://t.co/dPriFAraKh
RT @NathaliedeMaert: Handige tips om je website te beschermen: http://t.co/lrUDaNbWFs
WordPress websites vallen ten prooi aan hackers. Hoe je WordPress website beter te beschermen! http://t.co/MHHFeHJxNw
Pingback: Log je in op je Wordpress website met 'admin'?
Wereldwijde aanval op #WordPress sites en wat je er tegen moet doen: http://t.co/LoXonuTcic via @WPwebbouw
@JennyLuten “De aanvallen op WordPress sites gaan ook vandaag nog onverminderd door. Lees wat je ertegen moet doen http://t.co/as1ZUK6t6f”
RT @WPwebbouw: Goedemorgen. De aanvallen op WordPress sites gaan ook vandaag nog onverminderd door. Lees wat je ertegen moet doen http://t.co/UdHdZaUaO6
! “@frankmeeuwsen: Massieve aanval op WordPress sites – en wat je ertegen kunt moet doen | WP Webbouw http://t.co/RI610czNhQ”
RT @haayman: Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/hkYTyi8o6k
Of stap over naar Blogger.”@dieuwerdelange: Heb je een WordPress-site? Voorkom veel gelazer en lees dit even: http://t.co/ExfKiKO7oj“
Geen HOAX! Wereldwijde aanval op WordPress websites. Dit doe je er tegen http://t.co/8166mmgoO2
RT @WPwebbouw: Goedemorgen. De aanvallen op WordPress sites gaan ook vandaag nog onverminderd door. Lees wat je ertegen moet doen http://t.co/UdHdZaUaO6
RT @WPwebbouw: Goedemorgen. De aanvallen op WordPress sites gaan ook vandaag nog onverminderd door. Lees wat je ertegen moet doen http://t.co/UdHdZaUaO6
Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/lZ1qvyl8yO
Pingback: Maak jouw WordPress site en blog in 5 stappen veilig tegen brute kracht aanvallen | Webmaster Resources
Wereldwijde aanval op # WordPress sites en wat je ertegen (kunt) moet doen http://t.co/2XxIRJfUQ3
RT @Postmusparket: Wereldwijde aanval op # WordPress sites en wat je ertegen (kunt) moet doen http://t.co/2XxIRJfUQ3
Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/j1PZP5TQI3
RT @LarsOffringa: Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/j1PZP5TQI3
@AlexBaerts Ja, dankzij een tip van #datzoekenweop En achteraf werd in algemeen volgende link getweet: http://t.co/3635xAV9xS
Gedaan! Geen problemen. RT @e_rik Nog geen afname aanvallen op admin-accounts van WordPress sites. Neem maatregelen http://t.co/1FvroNUBbD
Let op! > Wereldwijde aanval op WordPress sites – en wat je ertegen kunt moet doen http://t.co/XcDHVrZWFC
Pingback: Aanvallen op WordPress-websites | Alva Design
RT @JohnKnappers: @nostromo dit: @WPwebbouw: BREKEND Massieve aanval op WordPress sites en wat je ertegen kunt, nee moet doen http://t.co/JLO9xozOL8 please RT
massieve-aanval-op-wordpress-sites-en-wat-je-ertegen-kunt-doen! #eenmooiewebsite http://t.co/Z71ZWvw9ec