Aangepaste inlogpagina voor WordPress
Hoe u wp-login.php hernoemt, een aangepaste inlog-URL maakt en WordPress beschermt tegen geautomatiseerde brute-force- en botaanvallen.
English version: Custom login page for WordPress
De aangepaste inlogpaginafunctie is een geweldig hulpmiddel om het aanvalsoppervlak te verkleinen en spamregistraties te elimineren. Het is het eerste dat u moet inschakelen op een nieuw geïnstalleerde WordPress. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de plug-insmap van WordPress .
Waarom het ertoe doet en waarom het werkt
Volgens onze onderzoeken bij Cerber Lab zijn de meeste hackertools en -aanvallen gebaseerd op de veronderstelling dat een door WordPress aangedreven website van het slachtoffer de standaard inlogpagina heeft en dat plug-ins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om op geen enkele website standaardwaarden te gebruiken, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers deze met succes kunnen aanvallen. En dat is de reden waarom hackers zo dol zijn op WordPress, en op elk moment zien we honderdduizenden gehackte websites.
Configureer uw aangepaste inlogpagina
Met WP Cerber kunt u eenvoudig en veilig de standaard WordPress-inlog-URL wp-login.php wijzigen in elke gewenste URL. Met andere woorden, u kunt uw unieke, bij u bekende aangepaste inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php verbergen voor slechte actoren, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of de naam van het wp-login.php-bestand te wijzigen. Met WP Cerber kunt u het met enkele klikken configureren.
- Ga naar de beheerderspagina van de hoofdinstellingen van de plug-in.
- Voer uw nieuwe gewenste inlog-URL in het veld Aangepaste inlog-URL in en sla de instellingen op. Dat is het.
- Als u een caching-plug-in gebruikt, voegt u uw nieuwe inlog-URL toe aan de lijst met pagina's die u niet in de cache wilt opslaan.
- Zorg ervoor dat uw nieuwe inlog-URL correct werkt en u deze kunt gebruiken om in te loggen. Doe dat in een incognito browservenster. Meld u niet af van uw website totdat u zeker weet dat uw nieuwe inlog-URL goed werkt .
Custom WordPress login page settings
Hoe wp-login.php te verbergen voor bots en scanners
Nadat u de inlogpagina voor klanten heeft ingeschakeld, is het zinvol om de standaard WordPress-inlogpagina te verbergen om te voorkomen dat er brute-force-aanvallen op worden uitgevoerd. Om dit te bereiken, stelt u de instelling Verwerking van wp-login.php-authenticatieverzoeken in op "Toegang tot wp-login.php blokkeren". Wanneer u probeert toegang te krijgen tot de pagina, geeft WP Cerber de standaardpagina "404 Not Found" weer. Er is maar één nadeel waar je aan moet denken. Als een aanvaller slim genoeg is, kan hij doorgaan met het scannen van de website, op zoek naar uw echte inlogpagina.
Hoe wp-login.php uit te schakelen
Een andere, meer geavanceerde optie die u zou moeten overwegen, is het uitschakelen van wp-login.php zonder de toegang daartoe te blokkeren. Hoe werkt het? Deze unieke WP Cerber-functie stopt elke poging om te authenticeren via wp-login.php. Wanneer u probeert in te loggen, bootst WP Cerber de standaard onjuiste wachtwoordfout na en breekt het gebruikersauthenticatieproces af. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand mag inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling Verwerking van wp-login.php-authenticatieverzoeken in op "Authentificatie weigeren via wp-login.php".
Een waarschuwing om te onthouden
Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet kan worden gebruikt om in te loggen, kunt u of uw gebruiker nooit inloggen op de website en wordt deze vergrendeld na verschillende pogingen om wp-login.php te gebruiken.
Als u "Verwerking van wp-login.php authenticatieverzoeken" op een andere waarde dan de standaardwaarde heeft ingesteld, kunt u alleen uw aangepaste inlog-URL gebruiken. Zowel /wp-login.php als /wp-admin/ kunnen niet meer gebruikt worden om in te loggen.
Belangrijke dingen die u moet weten
- Als u een caching-plug-in zoals W3 Total Cache of WP Super Cache gebruikt, moet u de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
- Voor een WordPress-installatie op meerdere locaties wordt de nieuwe inlog-URL ingesteld voor alle sites wereldwijd.
- Verwijder het bestand wp-login.php niet handmatig en hernoem het ook niet. Nadat u uw WordPress hebt bijgewerkt naar een nieuwere versie, wordt wp-login.php hersteld en weer toegankelijk voor indringers.
Maak het veiliger met tweefactorauthenticatie
Overweeg om 2FA in te schakelen om de accounts van beheerders te beschermen. Tweefactorauthenticatie biedt een extra beveiligingslaag die naast een gebruikersnaam en wachtwoord een tweede identificatiefactor vereist.
Meer weten: Hoe u tweefactorauthenticatie voor WordPress kunt inschakelen
Problemen oplossen met de functie Aangepaste inlog-URL
Als u de aangepaste inlogpagina inschakelt, werken sommige plug-ins mogelijk niet meer. Als u een plug-in voor het aanpassen van de inlogpagina of een plug-in voor sociale login gebruikt, is het mogelijk dat zo'n plug-in niet meer werkt. Om dit probleem op te lossen, schakelt u 'Weergave van de aangepaste inlogpagina uitstellen' in. Lees meer over deze instelling .
Als u uw aangepaste inlog-URL heeft ingesteld en deze na een tijdje bent vergeten, controleer dan eerst het e-mailadres van de sitebeheerder voor een e-mailmelding over uw nieuwe inlog-URL of een wekelijks e-mailrapport. In die e-mails kunt u uw aangepaste inlog-URL zien. Als u een dergelijke e-mail niet kunt vinden, moet u WP Cerber handmatig opnieuw installeren door de onderstaande stappen te volgen.
- Verwijder de plug-inmap /wp-cerber/ handmatig met behulp van FTP of een bestandsbeheerder in uw hostingcontrolepaneel.
- Log zoals gewoonlijk in op uw WordPress-dashboard door de standaard /wp-login.php URL te gebruiken of een andere manier die u gebruikte voordat u de Aangepaste inlog-URL inschakelde.
- Installeer en activeer de WP Cerber Security-plug-in zoals gewoonlijk.
- Ga naar de pagina Hoofdinstellingen van de plug-in.
- Controleer het veld Aangepaste inlog-URL . Het toont uw aangepaste inlog-URL die u moet gebruiken. Onthoud het.
Volgende stappen die uw WordPress-beveiliging versterken
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.