Echte Meneer®

Twitter Facebook Linkedin Hart icon

Copyright © 2023 - Echte Meneer

Beveiliging, Plugins, Wordpress-blog

Hoe komt een hacker aan mijn username?

featured post image

Eigenlijk heel erg gemakkelijk. Dit komt omdat WordPress geen waterdicht login-systeem out-of-the-box heeft. En met de USERNAME in handen heeft de hacker al één been in de deur. Om in te loggen op een WordPress website heb je nl. maar twee stukjes informatie nodig. De ‘USERNAME’ en het ‘PASSWORD’.

Waarom werkt het niet goed?

De website eigenaar draagt veelal meerdere petten. Zo is de eigenaar zowel ‘Beheerder/Administrator’ als de ‘Schrijver/Author’ op de website. Lezers reageren op een blogpost en de ‘Schrijver/Author’ geeft daar dan weer zijn reactie op. Op dat moment is zijn ‘USERNAME’ te lezen in de broncode ( In Chrome > Weergave > Ontwikkelaar > Toon paginabron). Wat je absoluut niet wil is dan gebeurd. De ‘USERNAME’, de helft van de informatie om in te loggen, ligt op straat, of nog erger, staat vrij op het internet.

Hackers hebben dan software die deze beschikbare USERNAMES koppelen aan PASSWORDS uit databases die ooit gelekt zijn. Neem maar even een kijkje bij deze gelekte passwords-bibliotheek. Zo kunnen hackers (de schavuiten!) eindeloos veel PASSWORDS koppelen aan die USERNAME.

Wat kun je er tegen doen? Wat zou je moeten doen!

Verander de user_nicename. Het gemakkelijkste is om via je hosting klantenpaneel (DirectAdmin of CPanel) je PHPMyAdmin te openen. Hier ze je alle tabellen van de database waar je website de gegevens bewaart. Als je nu klikt op wp_users dan zie je de gegevens van de gebruikers. Klik op de gebruiker die je wil wijzigen en verander de user_nicename in iets anders. Klik op starten en de wijziging wordt bewaard. Deze user_nicename is de naam die je in de bron code zal terug vinden, maar verschilt na wijziging van je user_login (je USERNAME van het inlog scherm). Aan de voorzijde van de website veranderd er niets. De auteursnaam van de blogpost blijft hetzelfde. Missie volbracht!

Het wijzigen van je USERNAME kun je ook met de iThemes Security plugin doen. Dan heb je wel de PRO versie nodig.

Wat je verder nog kan doen!

Gebruik altijd een beveiliging plugin zoals iThemes Security of WordFence. Zodoende kun je o.a. instellen dat IP adressen geblocked worden als er 3x (kun je zelf instellen) of meer pogingen gedaan worden om in te loggen. Wordfence heeft in de ‘gratis’ versie zelfs de mogelijkheid om zgn. Two-Factor Authentication, zgn. 2FA in te stellen. Een extra beveiligingslaag om het inloggen door hackers te dwarsbomen. En maak het gebruik van sterke wachtwoorden verplicht! En vergeet natuurlijk niet een goed back-up protocol te hanteren.