Wij gaan hier op Moodlefacts een serie blogs schrijven over Moodle Security. Door de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 gehandhaafd wordt, is er een toenemende mate van aandacht voor informatieveiligheid. Wij merken dit bij Avetica door een toename van penetratietesten die klanten willen uitvoeren op de Moodle site en de vragen over informatieveiligheid bij overeenkomsten met nieuwe klanten. Een goede zaak vinden wij en onder andere middels deze serie blogs doen wij een bijdrage om de beveiliging in Moodle op te schroeven.
Volg daarnaast ook het speciale Twitter account Moodle Security.

Het eerste onderwerp in deze serie gaat over het instellen van een maximaal aantal ongeldige inlogpogingen. Je vindt de instellingen die we hier bespreken onder:

Sitebeheer | Veiligheid | Site reglement
https://<moodle-site>/admin/settings.php?section=sitepolicies

Helaas is de standaard instelling van Moodle ‘nee’. Stel ‘Duur blokkering account’ in op bv 10. Na 10 ongeldige inlogpogingen worden de instellingen  ‘Observatievenster geblokkeerde accounts’ en ‘Duur geblokkeerde account’ in werking gezet. De standaard waarden van deze instellingen staan op 30 minuten. Dit betekent dat na 30 minuten iemand of iets weer kan proberen in te loggen in Moodle.

Waarom is het veilig om deze instelling aan te zetten? Je wilt als organisatie voorkomen dat een aanvaller jouw Moodle site binnenkomt. Een aanvaller kan (geautomatiseerd) blijven proberen gebruikersnamen en wachtwoorden in te voeren, net zolang totdat het lukt. Er zijn allerlei programma’s op internet die het brute force raden van wachtwoorden aanbieden. Tijdelijk het account blokkeren zal de aanval onmoedigen en sowieso flink vertragen.