Noem je WordPress beheerders account niet ‘admin’
WordPress is een zeer veel gebruikt content management systeem. Daardoor is het heel snel zeer gebruikersvriendelijk geworden en makkelijk aan te passen aan de wensen van de gebruikers door middel van Themes en Plugins. Dat het zo een wijdverbreid systeem is heeft ook zijn nadelen. WordPress sites zijn daardoor namelijk een geliefd doelwit voor hackers. Gelukkig zijn er ook voor de beveiliging van WordPress plugins ontwikkeld. Zorg er echter ook voor dat je beheerders account niet een standaard naam heeft.
De plugins die ik meestal inzet voor de beveiliging van een website zijn Wordfence of iThemes Security . Van beide plugins is een gratis versie beschikbaar, die in eerste instantie allebei prima voldoen.
Na installatie van één van deze plugins in je WordPress site, en zeker ook in combinatie met een logging-plugin als ‘Simple History’, zie je pas hoe vaak je website een mogelijk doelwit is van een hacker.
Foutieve inlogpogingen
Afbeelding 1 : foutieve inlogpogingen met de niet bestaande gebruikersnaam ‘admin’.
De security plugins sluiten vele ip-adressen, hosts en hele landen uit, op basis van verdacht gedrag. En de simple history plugin laat zien dat er tientallen pogingen worden gedaan om in te loggen.
Vaak blijkt men te proberen in te loggen met gebruikersnamen die niet bestaan. Gebruikersnamen die wel standaard in een WordPress site zitten, maar in mijn installaties nooit aanwezig zijn. Zo probeert men heel vaak met de gebruikersnaam ‘admin’ in te loggen. Als deze gebruikersnaam bestaat, wat in standaardinstallaties wel vaak het geval is, hoeft men alleen nog maar het wachtwoord te kraken. En dat kan met brute rekenkracht tegenwoordig best snel. Daarom is het dan ook verstandig om geen gebruiker met de naam ‘admin’ in je website te hebben. Bedenk zelf een goede alternatieve naam voor het beheerdersaccount. Dat account moet vanzelfsprekend ook voorzien zijn van een stevig wachtwoord.
Een goede aanpak zou kunnen zijn om in te loggen met de standaard admin gebruiker. In de database die onder WordPress ligt heeft deze gebruiker het nummer (ID) 1. Ook dit is informatie die potentiële hackers graag gebruiken.
Nadat je bent ingelogd met de gegevens voor deze gebruiker maak je een nieuwe gebruiker aan met de rol ‘administrator’. Daarna log je met deze nieuwe administrator in. Nu heb je twee mogelijkheden:
1) Je kunt de eerste admin gebruiker (met ID=1) verwijderen. Als er berichten en pagina’s gecreëerd zijn onder deze gebruiker kun je deze content overdragen aan een andere gebruiker binnen de website. Na deze actie zul je geen gebruikers meer hebben in de database met default gebruikersnamen en default ID’s (ID = 1). Dit maakt het hacken al iets moeilijker.
Afbeelding 2 : overzicht van gebruikers in database tabel. Gebruiker met ID = 1 is niet aanwezig.
2) Je kun de rechten van de eerste admin gebruiker veranderen. In plaats van de ‘administrator’ rol in WordPress kun je bijvoorbeeld ‘subscriber’ toekennen aan deze gebruiker. Nu heeft de gebruiker nog wel de naam ‘admin’ maar niet meer de bijbehorende rechten. Ook bestaat er nog steeds een account met ID = 1. Het hacken van dit account zal echter veel minder ernstige gevolgen hebben.
Mijn voorkeur gaat uit naar de eerste optie, maar de tweede optie is natuurlijk wel wat sneller geregeld.
Veel succes met het monitoren en beveiligen van je website.