Security Blog

Aangepaste inlogpagina voor WordPress

Hoe u wp-login.php hernoemt, een aangepaste inlog-URL maakt en WordPress beschermt tegen geautomatiseerde brute-force- en botaanvallen.


English version: Custom login page for WordPress


De functie voor aangepaste inlogpagina's is een geweldige tool om het aanvalsoppervlak te verkleinen en spamregistraties te elimineren. Het is het eerste wat je moet inschakelen op een nieuw geïnstalleerde WordPress-site. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de plugins-map van WordPress .

Waarom het belangrijk is en waarom het werkt

Volgens onze studies bij Cerber Lab zijn de meeste hackertools en -aanvallen gebaseerd op de aanname dat een WordPress-website de standaard inlogpagina heeft en dat plug-ins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om op geen enkele website standaardwaarden te gebruiken, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers ze met succes kunnen aanvallen. En dat is waarom hackers zo dol zijn op WordPress, en op elk willekeurig moment zien we honderdduizenden gehackte websites.

Configureer uw aangepaste inlogpagina

Met WP Cerber kunt u de standaard WordPress-inlog-URL wp-login.php eenvoudig en veilig wijzigen naar elke gewenste URL. Met andere woorden: u kunt uw unieke, voor u bekende aangepaste inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php verbergen voor kwaadwillenden, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of de naam van het bestand wp-login.php te wijzigen. Met WP Cerber kunt u dit met een paar klikken doen.

  1. Ga naar de beheerpagina van de hoofdinstellingen van de plugin.
  2. Voer de gewenste nieuwe inlog-URL in het veld 'Aangepaste inlog-URL' in en sla de instellingen op. Dat is alles.
  3. Als u een cacheplugin gebruikt, voegt u uw nieuwe inlog-URL toe aan de lijst met pagina's die u niet wilt cachen.
  4. Zorg ervoor dat je nieuwe inlog-URL correct werkt en dat je ermee kunt inloggen. Doe dit in een incognitobrowservenster. Log niet uit van je website totdat je zeker weet dat je nieuwe inlog-URL goed werkt .
WordPress login security and custom login page settings

Custom WordPress login page settings

Hoe wp-login.php te verbergen voor bots en scanners

Nadat u de inlogpagina voor klanten hebt ingeschakeld, is het verstandig om de standaard WordPress-inlogpagina te verbergen om brute-force-aanvallen te voorkomen. Om dit te doen, stelt u de instelling 'Verwerken van wp-login.php-authenticatieverzoeken' in op 'Toegang tot wp-login.php blokkeren'. Wanneer u de pagina probeert te openen, geeft WP Cerber de standaardpagina '404 Niet gevonden' weer. Er is slechts één nadeel om rekening mee te houden. Als een aanvaller slim genoeg is, kan hij de website blijven scannen en op zoek gaan naar uw echte inlogpagina.

Hoe wp-login.php uit te schakelen

Een andere, meer geavanceerde optie die u zou kunnen overwegen, is het uitschakelen van wp-login.php zonder de toegang ertoe te blokkeren. Hoe werkt dit? Deze unieke functie van WP Cerber blokkeert elke poging tot authenticatie via wp-login.php. Bij een poging tot inloggen imiteert WP Cerber de standaardfout 'onjuist wachtwoord' en wordt het authenticatieproces van de gebruiker afgebroken. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand mag inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling 'Verwerken van wp-login.php authenticatieverzoeken' in op 'Authenticatie via wp-login.php weigeren'.

Een waarschuwing om te onthouden

Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet gebruikt kan worden om in te loggen, dan zal u of uw gebruiker nooit meer kunnen inloggen op de website en wordt de website geblokkeerd na meerdere pogingen om wp-login.php te gebruiken.

Als u "Verwerking wp-login.php authenticatieverzoeken" op een andere waarde dan de standaardwaarde hebt ingesteld, kunt u alleen uw eigen inlog-URL gebruiken. Noch /wp-login.php noch /wp-admin/ kunnen nog worden gebruikt om in te loggen.

Belangrijke dingen die u moet weten

  • Als u een cacheplugin zoals W3 Total Cache of WP Super Cache gebruikt, moet u de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die u niet wilt cachen.
  • Voor een WordPress-multisite-installatie wordt de nieuwe inlog-URL voor alle sites wereldwijd ingesteld.
  • Verwijder of hernoem het bestand wp-login.php niet handmatig. Nadat u uw WordPress-site naar een nieuwere versie hebt bijgewerkt, wordt wp-login.php hersteld en is het weer toegankelijk voor indringers.

Maak het veiliger met twee-factorauthenticatie

Overweeg 2FA in te schakelen om beheerdersaccounts te beschermen. Twee-factorauthenticatie biedt een extra beveiligingslaag die een tweede identificatiefactor vereist naast alleen een gebruikersnaam en wachtwoord.

Meer informatie: Hoe u twee-factorauthenticatie voor WordPress inschakelt

Problemen met de functie Aangepaste inlog-URL oplossen

Het inschakelen van de aangepaste inlogpagina kan ertoe leiden dat sommige plug-ins niet meer werken. Als u een plug-in voor het aanpassen van de inlogpagina of een plug-in voor social media-aanmelding gebruikt, is het mogelijk dat deze plug-in niet meer werkt. Om dit probleem te verhelpen, schakelt u 'Weergave van de aangepaste inlogpagina uitstellen' in. Lees meer over deze instelling .

Als je je aangepaste inlog-URL hebt ingesteld en deze na een tijdje bent vergeten, controleer dan eerst het e-mailadres van de beheerder van de site voor een melding per e-mail over je nieuwe inlog-URL of een wekelijks rapport per e-mail. In die e-mails vind je je aangepaste inlog-URL. Als je deze e-mail niet kunt vinden, moet je WP Cerber handmatig opnieuw installeren volgens de onderstaande stappen.

  1. Verwijder de plugin-map /wp-cerber/ handmatig via FTP of een bestandsbeheerder in het controlepaneel van uw hosting.
  2. Meld u op de gebruikelijke manier aan bij uw WordPress-dashboard met de standaard-URL /wp-login.php of op een andere manier die u gebruikte voordat u de aangepaste inlog-URL inschakelde.
  3. Installeer en activeer de WP Cerber Security-plugin zoals gebruikelijk.
  4. Ga naar de pagina Hoofdinstellingen van de plugin.
  5. Controleer het veld 'Aangepaste inlog-URL' . Hier wordt uw aangepaste inlog-URL weergegeven die u moet gebruiken. Onthoud deze.

Volgende stappen om uw WordPress-beveiliging te versterken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments