Niemand weet, niemand weet, dat ik jouw gebruikersnaam weet
In dit blog laten we zien hoe een hacker gemakkelijk de gebruikersnaam van jouw wordpress website achterhaald en daarmee je website volledig over kan nemen. Heb je een contactformulier op je website? Dan staan de persoonsgegevens van je klanten op het spel!
Jouw website
We gaan er in dit artikel van uit dat je een simpele website hebt waar je artikelen op kunt plaatsen. Ook kunnen klanten contact opnemen via een contact formulier. Deze website is gemaakt met WordPress op basis van een leuk thema. De beheerder van de website kan deze aanpassen door in te loggen met een gebruikersnaam en wachtwoord.
Bij het opzetten van deze website zijn de standaardinstellingen in het slechtste geval:
- user_login(gebruiker): admin
- user_pass(wachtwoord): admin
Hiermee kan de beheerder inloggen op het wp-admin gedeelte van jouw website. Bijvoorbeeld: jouw-website.nl/wp-admin
In de standaardinstellingen krijgen de ‘user_nicename’ en ‘display_name’ dezelfde naam als de ‘user_login’. Waarom dit detail belangrijk is, leer je later in dit artikel.
Het eerste dat een hacker probeert
Omdat het opzetten van wordpress websites een standaard proces volgt kan een hacker misbruik maken van veel voorkomende configuratiefouten. Denk aan het niet aanpassen van de gebruikersnaam, en het kiezen van een zwak wachtwoord.
De meest simpele hack poging bestaat uit drie stappen:
- Kijken of de jouw-website.nl/wp-admin pagina bestaat
- Proberen in te loggen met Gebruiker: admin Wachtwoord: admin
- Als het wachtwoord ‘admin’ niet werkt, probeer het dan (geautomatiseerd) te raden zoals wordt uitgelegd in dit artikel van de autoriteit persoonsgegevens.
Wellicht denk je dat je je geen zorgen hoeft te maken over hacks want:
- Niemand weet toch nog dat mijn website bestaat?
- Niemand gaat toch de tijd nemen om mijn wachtwoord te kraken?
Die gedachten begrijpen we wel, maar ze zijn niet terecht. Hackers scannen geautomatiseerd het internet af naar nieuwe websites, dus je website is zo ontdekt. Met scripts kunnen ze vervolgens volledig geautomatiseerd je wachtwoord raden. Neem de veiligheid van je website dus serieus vanaf dag 1.
Een andere gebruikersnaam is niet voldoende
De oplossing lijkt simpel, kies een andere gebruikersnaam en een ander wachtwoord en je bent veilig. Nu ben je veilig toch? Het antwoord is nee! Wil je weten waarom? Dat leggen we uit in het volgende stuk.
Hoe hackers je gebruikersnaam achterhalen
We gaan er nu van uit dat je zojuist de beheerder van de website een eerste artikel heeft geplaatst. Je gaat naar je website en klikt op dit artikel. De kans is groot dat er staat wie dit artikel heeft gepubliceerd. Dit zou er zo uit kunnen zien:
Wanneer je op de auteur klikt wordt je waarschijnlijk doorverwezen naar de auteurs pagina, bijvoorbeeld:
https://www.jouw-website.nl/blog/author/username/
Het laatste deel van de url is jouw gebruikersnaam! We leggen je nu uit hoe hackers dit kunnen misbruiken.
Hoe hackers je gebruikersnaam misbruiken
Eerder legden we uit hoe een hacker gemakkelijk binnenkomt als je de standaard gebruikersnaam en wachtwoord niet verandert. Nu gaan we ervan uit dat je een andere gebruikersnaam had ingesteld, problem solved toch? Helaas, een hacker komt even gemakkelijk binnen. We leggen nu uit hoe.
De stappen zijn als volgt:
- Kijken of de jouw-website.nl/wp-admin pagina bestaat
- Kijken of er blogs gepubliceerd zijn
- Kijken wie de auteur is
- De gebruikersnaam uit de auteurs link halen
- Probeer (geautomatiseerd) het wachtwoord te raden zoals wordt uitgelegd in dit artikel van de autoriteit persoonsgegevens.
Je hebt het dus wel moeilijker gemaakt, maar als je wachtwoord niet sterk genoeg was, ben je alsnog de klos. Waarschijnlijk schrik je hier van, dit vertellen ze je niet als je met een wordpress website begint. Gelukkig ben je bij ons aan het juiste adres en vertellen we je hoe je dit probleem kunt oplossen.
Hoe je de hackers buiten de deur houd
Hoe onbekend ook, de oplossing is gemakkelijk en bestaat uit drie stappen.
- Zorg voor een lang random gegenereerd wachtwoord, dit zal niet voorkomen in de meest lijst met veelvoorkomende wachtwoorden
- Verander de ‘user_nicename’. Dit is de naam die in de url van de auteurspagina wordt gebruikt. Wanneer je er voor zorgt dat deze naam niet gelijk is aan je gebruikersnaam, kan een hacker je gebruikersnaam dus niet vinden.
- Verander de ‘display_name’, deze wordt getoond in het artikel zelf en mag dus ook niet gelijk zijn aan de gebruikersnaam
Hoe je dit in de praktijk doet laten we zien in de volgende paragraaf
Veranderen van je gebruikersinstellingen
Log in bij je hosting provider en op zoek te gaan naar de phpMyAdmin functionaliteit op de Direct Admin pagina. Daar vind je in de databases een tabel met gebruikers. Onderstaand een afbeelding van een voorbeeld van een database in phpMyAdmin.
Open de wp_users tabel en pas hier de user_login, user_pass, user_nicename, en de display_name aan om je website te beschermen tegen hackers.
- Gebruik niet 'admin' als user_login. Wanneer je die wel gebruikt heeft een hacker al 50% van de gegevens die nodig zijn om binnen te komen.
- Zorg dat user_login nooit gelijk is aan user_nicename en display_name. Zo kan een hacker je gebruikersnaam niet achterhalen.
- Gebruik een sterk wachtwoord. Een sterk wachtwoord is minimaal 16 karakters lang, en bevat hoofdletters, kleine letters, getallen, en speciale tekens. Een wachtwoord met maar 8 karakters kan binnen 1 minuut gekraakt worden. Een wachtwoord met 16 tekens kost meer dan 1000 jaar om te kraken. Een goed wachtwoord is daarom een korte zin die je goed kunt onthouden.
Een voorbeeld van hoe je instellingen er uit zouden kunnen zien zie je hier onder:
Password managers
We kunnen ons voorstellen dat het moeilijk is om een dergelijk wachtwoord te onthouden. Toch is het belangrijk om een dergelijk wachtwoord te kiezen. Bij Form Knox gebruiken we password managers om de vele sterke wachtwoorden die we voor verschillende diensten gebruiken veilig te bewaren. Mocht je nog geen password manager hebben adviseren we je om hier eens onderzoek naar te doen.
Is Form Knox iets voor U?
Ontdek binnen 3 minuten of uw contactformulier voldoet aan de AVG en voorkom boetes tot wel 4% van uw jaaromzet.
Doe de quickscan (3min)