Niemand weet, niemand weet, dat ik jouw gebruikersnaam weet

Door webmasterCybersecurity

In dit blog laten we zien hoe een hacker gemakkelijk de gebruikersnaam van jouw wordpress website achterhaald en daarmee je website volledig over kan nemen. Heb je een contactformulier op je website? Dan staan de persoonsgegevens van je klanten op het spel!

Jouw website

We gaan er in dit artikel van uit dat je een simpele website hebt waar je artikelen op kunt plaatsen. Ook kunnen klanten contact opnemen via een contact formulier. Deze website is gemaakt met WordPress op basis van een leuk thema. De beheerder van de website kan deze aanpassen door in te loggen met een gebruikersnaam en wachtwoord.

Bij het opzetten van deze website zijn de standaardinstellingen in het slechtste geval:

  • user_login(gebruiker): admin 
  • user_pass(wachtwoord): admin

Hiermee kan de beheerder inloggen op het wp-admin gedeelte van jouw website. Bijvoorbeeld:: jouw-website.nl/wp-admin

In de standaardinstellingen krijgen de ‘user_nicename’ en ‘display_name’ dezelfde naam als de ‘user_login’. Waarom dit detail belangrijk is, leer je later in dit artikel. 

Het eerste dat een hacker probeert

Omdat het opzetten van wordpress websites een standaard proces volgt kan een hacker misbruik maken van veel voorkomende configuratiefouten. Denk aan het niet aanpassen van de gebruikersnaam, en het kiezen van een zwak wachtwoord.

De meest simpele hack poging bestaat uit drie stappen:

  1. Kijken of de jouw-website.nl/wp-admin pagina bestaat
  2. Proberen in te loggen met Gebruiker: admin Wachtwoord: admin
  3. Als het wachtwoord ‘admin’ niet werkt, probeer het dan (geautomatiseerd) te raden zoals wordt uitgelegd in dit artikel van de autoriteit persoonsgegevens1.

Wellicht denk je dat je je geen zorgen hoeft te maken over hacks want:

  • Niemand weet toch nog dat mijn website bestaat? 
  • Niemand gaat toch de tijd nemen om mijn wachtwoord te kraken?

Die gedachten begrijpen we wel, maar ze zijn niet terecht. Hackers scannen geautomatiseerd het internet af naar nieuwe websites, dus je website is zo ontdekt. Met scripts kunnen ze vervolgens volledig geautomatiseerd je wachtwoord raden. Neem de veiligheid van je website dus serieus vanaf dag 1.

Een andere gebruikersnaam is niet voldoende

De oplossing lijkt simpel, kies een andere gebruikersnaam en een ander wachtwoord en je bent veilig. Nu ben je veilig toch? Het antwoord is nee! Wil je weten waarom? Dat leggen we uit in het volgende stuk.

Hoe hackers je gebruikersnaam achterhalen

We gaan er nu van uit dat je zojuist de beheerder van de website een eerste artikel heeft geplaatst. Je gaat naar je website en klikt op dit artikel. De kans is groot dat er staat wie dit artikel heeft gepubliceerd. Dit zou er zo uit kunnen zien:

Wanneer je op de auteur klikt wordt je waarschijnlijk doorverwezen naar de auteurs pagina, bijvoorbeeld:

https://www.jouw-website.nl/blog/author/username/

Het laatste deel van de url is jouw gebruikersnaam! We leggen je nu uit hoe hackers dit kunnen misbruiken.

Hoe hackers je gebruikersnaam misbruiken

Eerder legden we uit hoe een hacker gemakkelijk binnenkomt als je de standaard gebruikersnaam en wachtwoord niet verandert. Nu gaan we ervan uit dat je een andere gebruikersnaam had ingesteld, problem solved toch? Helaas, een hacker komt even gemakkelijk binnen. We leggen nu uit hoe.

De stappen zijn als volgt:

  1. Kijken of de jouw-website.nl/wp-admin pagina bestaat
  2. Kijken of er blogs gepubliceerd zijn
  3. Kijken wie de auteur is
  4. De gebruikersnaam uit de auteurs link halen
  5. Probeer (geautomatiseerd) het wachtwoord te raden zoals wordt uitgelegd in dit artikel van de autoriteit persoonsgegevens.

Je hebt het dus wel moeilijker gemaakt, maar als je wachtwoord niet sterk genoeg was, ben je alsnog de klos. Waarschijnlijk schrik je hier van, dit vertellen ze je niet als je met een wordpress website begint. Gelukkig ben je bij ons aan het juiste adres en vertellen we je hoe je dit probleem kunt oplossen.

Hoe je de hackers buiten de deur houd

Hoe onbekend ook, de oplossing is gemakkelijk en bestaat uit drie stappen. 

  1. Zorg voor een lang random gegenereerd wachtwoord, dit zal niet voorkomen in de meest lijst met veelvoorkomende wachtwoorden
  2. Verander de  ‘user_nicename’. Dit is de naam die in de url van de auteurspagina wordt gebruikt. Wanneer je er voor zorgt dat deze naam niet gelijk is aan je gebruikersnaam, kan een hacker je gebruikersnaam dus niet vinden. 
  3. Verander de ‘display_name’, deze wordt getoond in het artikel zelf en mag dus ook niet gelijk zijn aan de gebruikersnaam

Hoe je dit in de praktijk doet laten we zien in de volgende paragraaf

Veranderen van je gebruikersinstellingen

Log in bij je hosting provider en op zoek te gaan naar de phpMyAdmin functionaliteit op de Direct Admin pagina. Daar vind je in de databases een tabel met gebruikers. De structuur van deze tabel ziet er ongeveer zo uit als de afbeelding hieronder. 

Screenshot van de structuur van een standaard gebruikersdatabase in WordPress

Pas hier de user_login, user_pass, user_nicename, en de display_name aan om je website te beschermen tegen hackers. Een voorbeeld van hoe je instellingen er uit zouden kunnen zien zie je hier onder:

Een voorbeeld van goede gebruikers instellingen

Password managers

We kunnen ons voorstellen dat het moeilijk is om een dergelijk wachtwoord te onthouden. Toch is het belangrijk om een dergelijk wachtwoord te kiezen. Bij Form Knox gebruiken we password managers om de vele sterke wachtwoorden die we voor verschillende diensten gebruiken veilig te bewaren. Mocht je nog geen password manager hebben adviseren we je om hier eens onderzoek naar te doen.

Bronvermelding

  1. https://autoriteitpersoonsgegevens.nl/actueel/techblogpost-is-uw-wachtwoord-makkelijk-te-kraken ↩︎
Categorie:
Tags: [, , ]