Overbelasting door Bruteforce WordPress sites
De CPU van de server schiet vaak omhoog en kan voor een overbelasting zorgen aangezien in korte tijd een groot aanval logins geprobeerd word. We hebben daarom voor jullie een lijstje met stappen gemaakt welke doorgelopen kunnen worden om je eigen WordPress site voor zover mogelijk te beveiligen hiertegen.
Er zijn enkele mogelijkheden die u zelf kunt uitvoeren binnen uw WordPress omgeving om de aanvallen “af te kaatsen”.
Door het wijzigen van enkele bestanden geeft u de “bot” het idee dat er geen wordpress meer is, of voldoende beveiligd is waardoor deze in de meeste gevallen zal afhaken.
Stappenplan
Stap 1: Wijzig uw inlognaam indien u de usernaam “admin” gebruikt naar een compleet andere naam(bijv voornaam + achternaam)
Stap 2: Wijzig uw wachtwoord naar een sterk wachtwoord, wij raden aan(http://www.pctools.com/guides/password/?length=15&phonetic=on&alpha=on&mixedcase=on&numeric=on&nosimilar=on&quantity=1&generate=true#password_generator).
Stap 3: Login op uw FTP (of filemanager) en wijzig het bestand “wp-login.php’ naar bijvoorbeeld “login.php”
Stap 4: Open het bestand “login.php” (heeft u net gerenamed) met een editor naar keuze en vervang alle “wp-login.php” verwijzingen in het bestand naar login.php
Stap 5: Open het bestand “functions.php” in uw themamap. Als er geen function.php is kunt u die aanmaken.
plaats de volgende PHP code in het bestand (functions.php):
//register url fix
add_filter(‘register’,’fix_register_url’);
function fix_register_url($link){
return str_replace(site_url(‘wp-login.php?action=register’, ‘login’),site_url(‘inloggen.php?action=register’, ‘login’),$link);
}
//login url fix
add_filter(‘login_url’,’fix_login_url’);
function fix_login_url($link){
return “/inloggen.php”;
}
//logout url fix
add_filter(‘logout_url’, ‘fix_logout_url’);
function fix_logout_url($link){
return wp_nonce_url(‘/inloggen.php?action=logout’,’log-out’);
}
//forgot password url fix
add_filter(‘lostpassword_url’,’fix_lostpass_url’);
function fix_lostpass_url($link){
return “/inloggen.php?action=lostpassword”;
}
//Site URL hack to overwrite register url
add_filter(‘site_url’,’fix_urls’,10,3);
function fix_urls($url, $path, $orig_scheme){
if ($orig_scheme !== ‘inloggen’)
return $url;
if ($path == ‘wp-login.php?action=register’)
return site_url(‘register’, ‘login’);
return $url;
}
Met deze code kaatst u de bruteforce aanvallen grotendeels af wat voor een lager CPU gebruik zal zorgen en minder snel voor een trage of overbelastende website zal zorgen.