Ik heb al een paar artikelen geschreven over de veiligheid van WordPress. Natuurlijk heb ik op mijn sites de nodige maatregelen genomen om te zorgen dat een site niet gehackt kan worden. Maar als er een aanval plaats vindt heeft dit ook een vervelend bij-effect. Bij een bruteforce attack worden er in korte tijd heel veel pogingen gedaan om in te loggen. Vele gebruikersnaam/wachtwoord combinaties worden afgevuurd op de wp-login.php. Elke keer moet WordPress weer teruggeven dat de gebruikersnaam-wachtwoord combinatie niet correct is. Dit kost serverkracht en de website (en alle andere websites op diezelfde server) wordt langzamer of gaat zelfs uit de lucht.
Nu schreef ik al eerder een stukje over het vervangen van het standaard inlogadres voor een ander, eigen adres ([intlink id=”8917″ type=”post”]WordPress een eigen inloglink[/intlink]). Dit biedt wel veiligheid maar op de server blijft de wp-login.php wel staan. Ga je rechstreeks naar dat bestand krijg je de melding dat je eerst moet inloggen. Als dit veel aanvragen zijn, wat met een bruteforce aanval het geval is, dan kan het toch nog gebeuren dat de server het niet aan kan.
Daarvoor zet ik een tweede beveiliging neer: een plugin die de bruteforce aanvallen herkent en ze al tegenhoudt voordat ze bij de inlog “aankloppen”. Deze plugin beschikt over een grote database met daarin de blacklist van alle IP adressen van de hackers. Deze plugin, BruteProtect kan ik iedereen aanraden. Het is op mijn server nu rustig. Na installatie en activatie kun je een gratis API-key aanvragen.
Hulp nodig bij de installatie van een plugin, of wil je graag dat iemand eens kijkt of jouw site wel veilig is? Neem dan [intlink id=”458″ type=”page”]contact[/intlink] met me op.
