Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 68, views: 30.327 •

Verschillende bedrijven melden een flinke toename in het aantal brute force-aanvallen van botnets op WordPress-sites, waarbij reeksen logins en wachtwoorden geprobeerd worden. Wordpress bevestigt de aanval en raadt gebruikers aan een sterk wachtwoord te nemen.

"Een botnet gaat langs alle WordPresses die het kan vinden en probeert in te loggen met de 'admin'-gebruikersnaam en een reeks wachtwoorden", erkent Matt Mullenweg, oprichter van de dienst. Systemen die onderdeel van het botnet zijn, proberen login/wachtwoordcombinaties uit bij /wp-login.php en /wp-admin om toegang tot de accounts te krijgen.

Volgens hem zijn de meeste gebruikers op een alternatieve login-naam overgestapt sinds WordPress 3.0, maar wie nog 'admin' gebruikt moet dit veranderen. Ook raadt hij aan een sterk wachtwoord te nemen, two-factor-authenticatie toe te passen en de laatste updates door te voeren. Een ip-filter zou weinig zin hebben tegen het botnet: er zijn volgens Mullenweg aanwijzingen dat het netwerk circa 90.000 ip-adressen gebruikt.

Signalen over deze omvang en een flinke toename in de afgelopen dagen komen van onder andere HostGatorCloudFlare en Immotion Hosting. WordPress-sites liggen vrijwel continu onder aanval van botnets, maar beveiligingsbedrijf Sucuri constateert dat in de laatste paar dagen gemiddeld 100.000 pogingen per dag ondernomen worden, waar dat in de vorige maanden op gemiddeld 30.000 tot 40.000 lag. De toename begon begin april, toen het gemiddelde naar 77.000 per dag toenam.

Reacties (68)

Naast de cijfers. Ook een reden van de stijging?
Vaak het verspreiden van spam, gebruik maken van de reputatie van de website voor het verhogen van de eigen reputatie (een soort onvrijwillige linkbuilding). Achterhalen van de gegevens van gebruikers van de website (email-adressen die bij het commenten zijn gebruikt).
Wordpress is, samen met Joomla, wel 't populairste en meest gebruikte CMS denk ik. Dus een goede reden om hier allerlei scriptjes voor te schrijven. Met weinig inzet toch een grote markt pakken.

Het is dus vaak veiliger om een wat minder populair pakket te nemen met de gebruikelijke veiligheidsnormen. Er zijn namelijk OS CMS pakketten die minstens net zo interessant zijn.
Alleen daar is dan het dan wel weer zo dat er veel minder voor te krijgen is plugin's etc
Daarnaast merk ik vaak bij klanten dat ze al ervaring hebben met Joomla of Wordpress en dat ze dat fijn vinden werken. Ik heb zelf meerdere CMS pakketten uitgeprobeerd maar daar is de gebruiksvriendelijkheid soms ver te zoeken.
Ik heb er ook al heel wat uitgeprobeerd, en voor de 99% van de KMO websites kon ik CMSMS gebruiken en eventueel er zelf wat bij programmeren dmv van UDT's. Je kan er lekker cleane html/css mee outputten, je kan er alle kanten mee op.

Volgens mij is cmsms het meest interessante pakket voor een front-end developer (met kennis van PHP - maar dat is standaard, toch?).

Joomla, drupal, and the likes vond ik een bazooka om een mug dood te schieten. Veel te veel overhead, veel te veel werk om alles in te stellen. En veel te moeilijk om de klant te leren zelf teksten aan te passen.

Het enige nadeel is dat je elke installatie apart moet updaten, wat je bij de meeste cms'en wel zal hebben.

edit: en veel plugins voor te vinden, en een goede support via forum en IRC

[Reactie gewijzigd door besluitloos op 13 april 2013 20:16]

Een alternatief CMS zoeken helpt, maar wat in mijn ervaring veel belangrijker nog is, is zorgen dat je CMS up-to-date blijft. Veel gebruikers (inclusief zakelijke) nemen een leuk CMS, betalen een designer om daar een mooi ontwerp voor te zetten, en gaan er vervolgens vanuit dat ze er niks meer aan hoeven te doen.

Vooral kleine bedrijven en particulieren zijn in mijn ervaring huiverig met het nemen van onderhoudscontracten, en als je dan een bekend CMS gebruikt zonder updates ben je vrij snel de sjaak.
Ik denk niet dat het alleen WordPress sites zijn. Op mijn Joomla sites zie ik de laatste tijd ook heel erg veel pogingen om in te loggen als admin. Die komen voornamelijk uit Vietnam, dus ik heb die IP reeks geblocked.
Op mijn Joomla sites zie ik de laatste tijd ook heel erg veel pogingen om in te loggen als admin. Die komen voornamelijk uit Vietnam, dus ik heb die IP reeks geblocked.
Misschien gaan we ooit wel weer terug naar nationale netwerken i.p.v. de internationale zoals we nu gewend zijn van het Internet.

Telkens als er een bot uit 1 land komt, dat land afsluiten. Als alle andere landen dat ook telkens doen, dan hoeft er maar 1 keer een botnet(je) vanuit Nederland gerunt te worden en wij kunnen dan ook nergens meer bij.
er word maar veel gecybercrimed de laatste tijd
Dit gebeurt al jaren alleen word er sinds de aanvallen op ING meer over geschreven.
BV banken in amerika worden al sinds 2012 aangevallen door een groep islamitische hackers en dit wordt door hun ook steeds aangekondigd op past bin.

Wat mij ook opvalt is dat je er pas van hoort als bv klanten er last van krijgen, het meeste wordt verzwegen.
Meer dan 90% van alle phishing-mailtjes die ik ontvang (ING / IcsCards / LinkedIn / etc.) linken naar urls op gehackte WP-websites. Van de overige 10% is waarschijnlijk 90% weer Joomla ... Disposable hosting is in trek ;)
Het viel me al op in mijn logs, dat wp-login en wp-admin de laatste tijd wel erg vaak bezocht werden. Ben ook benieuwd naar de reden.

Opvallen dat er zoveel mensen gewoon 'admin' als username nemen, terwijl het volgens mij zelfs in de installatie gids staat om iets anders te nemen...
1. gebruik geen 'admin' voor je admin-taken
2. zet xmlrpc uit op je wordpress (ivm man-in-middle attack)
3. zet evt. via htaccess je wp-admin dicht
4. probeer altijd meest actuele versie te draaien
5. zorg voor goeie backups!!!

[Reactie gewijzigd door himlims_ op 13 april 2013 09:27]

Ik heb weleens moeite met de meest actuele versies draaien. Dit zorgt namelijk ook nog wel eens voor problemen zoals nieuw ge´ntroduceerde veiligheids lekken of andere bugs (zie iOS updates en MS updates als grote voorbeelden). Ik wacht zelf meestal eventjes de reacties af van gebruikers voor ik de stap zet. Niet perse wordpress specifiek maar meer algemeen.
Mja je kan ook een plugin gebruiken als Login LockDown.
Het verbergt of je een verkeerde username of verkeerd wachtwoord hebt gebruikt, aan het login scherm kun je dus niet zien of er Řberhaupt zo'n user bestaat.
Verder kan het ook een IP bannen als hij het x aantal keer niet is gelukt in te loggen.

De plugin is al oud, maar werkt nog steeds perfect op mijn WP 3.5.1 site met buddypress :)

En anders heb je altijd nog deze plugin: http://wordpress.org/extend/plugins/login-security-solution/
Heb ik geen ervaring mee, maar het is wel een bad-ass lijstje aan features :9

Zelf heb ik wel een lichte stijging gezien van mensen die proberen in te loggen, maar dat proberen ze maar 1 malig, en dan zijn ze weer weg :+
hoe meer plugins er geladen moeten worden, hoe trager en onoverzichtelijker je installatie wordt. nog niet gesproken over incompatabiliteit bij updates.

kunt het -altijd- beter met de hand doen, ben ook JIJ de baas van jouw systeem.
Ooit van XCache gehoord?
Ik draai met gemak 27 actieve plugins, en pagina's worden razend snel gegenereerd. :)
Sowieso, als Login LockDown je site echt zo zwaar vertraagd zou ik toch eens naar een nieuwe host gaan zoeken, aangezien het nogal een lichte plugin is.

Bovendien, wat jij allemaal "met de hand" doet zijn allemaal non-solutions. Als je meerdere users heb in je wordpress installatie hebt zijn die "oplossingen" van jou totaal nutteloos.

Je wilt gewoon systemen hebben die actief aanvallen detecteren en afweren. Het zelfde met een windows pc, alleen updates installeren zal je ook niet beschermen van virussen.
beetje iphone mentaliteit: there is an app-for-that :+ maar goed, ieder zijn ding en persoonlijke voorkeur :Y)

[Reactie gewijzigd door himlims_ op 13 april 2013 15:44]

Het heeft er meer mee te maken wat en hoe de plugin werkt dan het feit dat het een plugin is. Als die plugin simpelweg via een hook een paar lijnen php verandert ga je het niet echt merken. Je hebt natuurlijk ook plugins die bij het laden 5-10 verschillende DB queries nodig hebben, op ELKE pagina 5 extra JS libraries zetten, geen rekening houden met grotere sites (denk 5-10k+ posts) en nog van dat soort dingen... Die plugin wil je natuurlijk wel vermijden...

Ik denk bijvoorbeeld aan een plugin die bij mij de Varnish cache up-to-date houdt als er nieuwe posts worden toegevoegd. Dit is niet meer dan 1 enkel php bestandje dat wat hooks naar verschillende acties plaats (nieuwe post, post geupdate, etc) en een request naar Varnish stuurt via curl. Dat ga je echt niet merken en ik weet niet hoe je het sneller zou doen...

Of denk aan een andere plugin die afbeeldingen lossless comprimeert nadat ze geupload zijn. Vraagt veel performance voor een plugin te zijn, maar er is geen enkele manier om het noemenswaardig sneller te doen verlopen. Wat ik wel weet is dat op veel afbeeldingen 30-50% winst kan worden gemaakt en er een meetbaar verschil is bij het laden van de pagina.

Maar ze zijn niet allemaal zo. Ik heb ook al rotte plugins gehad... Meestal kan je door een paar min in de source te kijken al zien of het extreem slecht of heel licht/snel is.
Wordfence is ook een goede plugin om misbruik van de wordpress installatie te voorkomen en hiervan te herstellen. Zo word je site regelmatig gescanned en word je op de hoogte gesteld van gewijzigde bestanden en plugins die geupdate moeten worden (veel hacks vinden plaats d.m.v. verouderde plugins) . Je kunt ook precies zien hoe het bestand er voor een update uitzag en geeft het je een indruk of er misschien "rare" wijzigingen plaats hebben gevonden na het updaten.

Ik had malware bestanden op mijn site staan waarvan ik helemaal geen weet had en deze plugin heeft deze gevonden en verwijderd. Nu word men automatisch een week geblokkeerd na 2 mislukte inlogpogingen en worden fake crawlers automatisch gedeblokkeerd.

[Reactie gewijzigd door dycell op 13 april 2013 13:33]

Mja, die is niet compatible met IPv6, knalt meteen een log vol aan errors als mensen via IPv6 verbinden :+

Ik gebruik nog steeds WordPress Sentinel om bestandswijzigingen te detecteren. Aangezien ik wekelijks backups heb van alle bestanden en van mijn databases kan ik makkelijk bestanden terug zetten die niet hadden moeten veranderen ;)
De IP-blokkade heeft alleen weinig zin aangezien er gebruik gemaakt wordt van een botnet met vele IP-adressen.
Ik merk ook dat m'n Drupal sites erg veel aandacht krijgen. Een oplossing in de vorm van Spamicide of Mollom is absoluut noodzakelijk bij iedere verse installatie.
Misschien handig om gebruikers een variabele toe-te laten voegen in de filename of in het pad waardoor er geen standaard pad meer is naar de wplogin.php en /wpadmin locaties?

Dat is wat ik zelf zou veranderen namelijk. Even uitzoeken hoe er in het systeem verwezen wordt naar deze paden en ze overal aanpassen en klaar is kees lijkt me zo. Helaas misschien niet voor iedereen te doen.
Ik zou het fijner vinden als ze een optie zouden bieden om een dynamisch pad voor eenmalig gebruik aanmaken en deze bijvoorbeeld via e-mail te laten versturen.
Ik heb gisteren van mijn hosting een bericht over ontvangen.
Dear customers using Wordpress,

*The following issue only concerns Wordpress installations and users, all other Servage services, clusters and scripts run smoothly.*

Due to Brute Force attacks on Wordpress Login pages we blocked Wordpress to protect our customers.

These attacks try to take over the blogs of Wordpress users.
We hope the attacks will be over very soon so you can use Wordpress again and we are doing everything to protect you again these hacking attacks.

If you have any questions concerning this, feel free to contact us via our support ticket system, phone, social media or others.

Thanks for your patience!

Kind regards,
your Servage-Team
Lijkt me een goede stap om de login pages te blocken.

Dat is het nadeel van een goed en veelgebruikte CMS.
Hopen dat ze snel 2 way verification gaan invoeren.
Je site ongevraagd offline halen. Wat een knake hosting. Een normaal security beleid toepassen op je eigen site en je hebt er sowieso geen last van.
Nee ze halen je site niet offline, maar ze zorgen voor een extra beveiliging. Ik draai er een wp site en ik kan nog inloggen. De username admin lijkt wel geblokt te zijn.
dan is dit wel een heel ongelukkige formulering
we blocked Wordpress
Ja die verificatie bedoelde ik, maar atm werkt die enkel op WordPress.com
Mits wat plugins ook te gebruiken op je eigen wp site
Heel simpel een host allow in je htaccess zetten. Is het natuurlijk wel van belang dat je een vaste ip adres heb.

Een maatregel die ik zelf heb genomen is rusland en oekraine te blokken. Tevens alle .ru domeinnamen. Heb gemerkt dat dat al heeeel veel scheelt.
Vreemd. Ik heb mijn Wordpress site ook gehost bij Servage, maar ik heb geen mail ontvangen en mijn site (incl. admin) is ook niet geblockt.
Ik heb toevallig van de week wel de two-factor authentication ge´nstalleerd op mijn site ;-)
Wat een slechte actie, Wordpress blokkeren. Zowiezo is Servage een bagger host. Veel problemen bij gehad.
Ik heb in ieder geval een captcha op de login pagina's van mijn wordpress sites. Dat zal het brute-forcen wel iets bemoeilijken.
Jah, mijn vader heeft er de laatste tijd ook veel last van. Een IP dat 6.3k pogingen heeft gedaan, en een hele lijst met ips die allemaal zeker 500 inlogpogingen hadden gedaan. Was wel even schrikken de eerste keer, opeens 50 mails in je inbox dat iemand probeert in te loggen :).

Goed om te weten dat het niet specifiek op hem is gericht...
Simpele captcha installeren houdt meeste bots ook buiten de deur

Op dit item kan niet meer gereageerd worden.