Aangepaste inlogpagina voor WordPress
Hoe u wp-login.php hernoemt, een aangepaste inlog-URL maakt en WordPress beschermt tegen geautomatiseerde brute-force- en botaanvallen.
English version: Custom login page for WordPress
De functie voor aangepaste inlogpagina's is een geweldige tool om het aanvalsoppervlak te verkleinen en spamregistraties te elimineren. Het is het eerste wat je moet inschakelen op een nieuw geïnstalleerde WordPress-site. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de plugins-map van WordPress .
Waarom het belangrijk is en waarom het werkt
Volgens onze studies bij Cerber Lab zijn de meeste hackertools en -aanvallen gebaseerd op de aanname dat een WordPress-website de standaard inlogpagina heeft en dat plug-ins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om op geen enkele website standaardwaarden te gebruiken, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers ze met succes kunnen aanvallen. En dat is waarom hackers zo dol zijn op WordPress, en op elk willekeurig moment zien we honderdduizenden gehackte websites.
Configureer uw aangepaste inlogpagina
Met WP Cerber kunt u de standaard WordPress-inlog-URL wp-login.php eenvoudig en veilig wijzigen naar elke gewenste URL. Met andere woorden: u kunt uw unieke, voor u bekende aangepaste inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php verbergen voor kwaadwillenden, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of de naam van het bestand wp-login.php te wijzigen. Met WP Cerber kunt u dit met een paar klikken doen.
- Ga naar de beheerpagina van de hoofdinstellingen van de plugin.
- Voer de gewenste nieuwe inlog-URL in het veld 'Aangepaste inlog-URL' in en sla de instellingen op. Dat is alles.
- Als u een cacheplugin gebruikt, voegt u uw nieuwe inlog-URL toe aan de lijst met pagina's die u niet wilt cachen.
- Zorg ervoor dat je nieuwe inlog-URL correct werkt en dat je ermee kunt inloggen. Doe dit in een incognitobrowservenster. Log niet uit van je website totdat je zeker weet dat je nieuwe inlog-URL goed werkt .
Hoe wp-login.php te verbergen voor bots en scanners
Nadat u de inlogpagina voor klanten hebt ingeschakeld, is het verstandig om de standaard WordPress-inlogpagina te verbergen om brute-force-aanvallen te voorkomen. Om dit te doen, stelt u de instelling 'Verwerken van wp-login.php-authenticatieverzoeken' in op 'Toegang tot wp-login.php blokkeren'. Wanneer u de pagina probeert te openen, geeft WP Cerber de standaardpagina '404 Niet gevonden' weer. Er is slechts één nadeel om rekening mee te houden. Als een aanvaller slim genoeg is, kan hij de website blijven scannen en op zoek gaan naar uw echte inlogpagina.
Hoe wp-login.php uit te schakelen
Een andere, meer geavanceerde optie die u zou kunnen overwegen, is het uitschakelen van wp-login.php zonder de toegang ertoe te blokkeren. Hoe werkt dit? Deze unieke functie van WP Cerber blokkeert elke poging tot authenticatie via wp-login.php. Bij een poging tot inloggen imiteert WP Cerber de standaardfout 'onjuist wachtwoord' en wordt het authenticatieproces van de gebruiker afgebroken. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand mag inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling 'Verwerken van wp-login.php authenticatieverzoeken' in op 'Authenticatie via wp-login.php weigeren'.
Een waarschuwing om te onthouden
Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet gebruikt kan worden om in te loggen, dan zal u of uw gebruiker nooit meer kunnen inloggen op de website en wordt de website geblokkeerd na meerdere pogingen om wp-login.php te gebruiken.
Als u "Verwerking wp-login.php authenticatieverzoeken" op een andere waarde dan de standaardwaarde hebt ingesteld, kunt u alleen uw eigen inlog-URL gebruiken. Noch /wp-login.php noch /wp-admin/ kunnen nog worden gebruikt om in te loggen.
Belangrijke dingen die u moet weten
- Als u een cacheplugin zoals W3 Total Cache of WP Super Cache gebruikt, moet u de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die u niet wilt cachen.
- Voor een WordPress-multisite-installatie wordt de nieuwe inlog-URL voor alle sites wereldwijd ingesteld.
- Verwijder of hernoem het bestand wp-login.php niet handmatig. Nadat u uw WordPress-site naar een nieuwere versie hebt bijgewerkt, wordt wp-login.php hersteld en is het weer toegankelijk voor indringers.
Maak het veiliger met twee-factorauthenticatie
Overweeg 2FA in te schakelen om beheerdersaccounts te beschermen. Twee-factorauthenticatie biedt een extra beveiligingslaag die een tweede identificatiefactor vereist naast alleen een gebruikersnaam en wachtwoord.
Meer informatie: Hoe u twee-factorauthenticatie voor WordPress inschakelt
Problemen met de functie Aangepaste inlog-URL oplossen
Het inschakelen van de aangepaste inlogpagina kan ertoe leiden dat sommige plug-ins niet meer werken. Als u een plug-in voor het aanpassen van de inlogpagina of een plug-in voor social media-aanmelding gebruikt, is het mogelijk dat deze plug-in niet meer werkt. Om dit probleem te verhelpen, schakelt u 'Weergave van de aangepaste inlogpagina uitstellen' in. Lees meer over deze instelling .
Als je je aangepaste inlog-URL hebt ingesteld en deze na een tijdje bent vergeten, controleer dan eerst het e-mailadres van de beheerder van de site voor een melding per e-mail over je nieuwe inlog-URL of een wekelijks rapport per e-mail. In die e-mails vind je je aangepaste inlog-URL. Als je deze e-mail niet kunt vinden, moet je WP Cerber handmatig opnieuw installeren volgens de onderstaande stappen.
- Verwijder de plugin-map /wp-cerber/ handmatig via FTP of een bestandsbeheerder in het controlepaneel van uw hosting.
- Meld u op de gebruikelijke manier aan bij uw WordPress-dashboard met de standaard-URL /wp-login.php of op een andere manier die u gebruikte voordat u de aangepaste inlog-URL inschakelde.
- Installeer en activeer de WP Cerber Security-plugin zoals gebruikelijk.
- Ga naar de pagina Hoofdinstellingen van de plugin.
- Controleer het veld 'Aangepaste inlog-URL' . Hier wordt uw aangepaste inlog-URL weergegeven die u moet gebruiken. Onthoud deze.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.