Gebruikersnamen raden via wp-login.php is bij Klarned niet meer mogelijk. Dat is goed nieuws! Vanaf nu (14 juli 2016 red.) hebben we de meldingen die u ziet bij het inloggen aangepast. Het is niet meer mogelijk om via een normale login poging (gebruikersnaam en wachtwoord) een gebruikersnaam te raden.

Uiteraard had u al de plugin Limit login attempts in gebruik, die blokkeert pogingen om in te loggen na een paar foute inlogs. Daardoor wordt het lastiger om binnen hele korte tijd wachtwoorden te raden en in te tikken. En daarnaast bent u bij ons ook verzekerd van onze 2 factor login. Zelfs als iemand uw gebruikersnaam en wachtwoord weet moet die persoon (of geïnfecteerde computer) het token hebben.

Hoe werkt het gebruikersnamen raden via wp-login?

We nemen een werkend voorbeeld van http://blogs.mathworks.com/ , de mensen achter Matlab. We bezoeken het blog van schrijfster Loren op http://blogs.mathworks.com/loren/ en vervolgens gaan we naar http://blogs.mathworks.com/wp-login.php

Vervolgens proberen we of ‘loren’ een bestaande inlognaam is, we vullen ‘loren’ in als gebruikersnaam en ’test’ als wachtwoord. Laten we hopen dat die ons niet meteen laat inloggen in de wp-admin.

Login poging om te zien of loren als gebruikersnaam bestaat

Na het klikken op Login zien we de volgende melding:

Loren is een correcte login naam

Oftewel, loren is een correcte login naam. Nu was dat in dit geval niet extreem lastig, maar u zou een hele lijst van veelgebruikte gebruikersnamen kunnen proberen. Dat we het wachtwoord nu niet weten is niet erg, dat is iets voor een stukje cybercrime of social engineering. Daar gaan we hier niet op in.

Hoe werkt het bij Klarned.is/nl

Wij hebben een kleine wijziging in de tekst die je ziet. Ik laat het hierbij zien op een testdomein.

Eerst maken we een nieuwe WordPress gebruiker aan, met naam ’tester’ en een mooi aangemaakt wachtwoord.

Nieuwe WordPress gebruiker aanmaken

Vervolgens loggen we uit en gaan we naar de login pagina. Hier gaan we kijken of we kunnen zien of ’tester’ een juiste loginnaam is, net zoals we dat net bij Loren deden.

Inlogpoging met Tester als gebruikersnaam

We klikken op Log in en voila! -> geen enkele bevestiging dat ’tester’ een bestaande gebruikersnaam is. Dat zet een aanvaller op een verkeerd spoor.

Geen lek van de gebruikersnaam

Ik wil ook een betere beveiliging in mijn inloggen!

Allereerst: Goed dat u uw inloggen wil beschermen. Bent u al klant bij ons, dan hoef je niets te doen, het staat al op uw site, inclusief onze 2 factor login en checks of je gebruikersnaam wel sterk is.

Nog geen klant? Haast u dan naar onze WordPress hostingpakketten en richt u op core business, dan doen wij de rest.