Security Blog

Aangepaste inlogpagina voor WordPress

How to rename wp-login.php, create a custom login URL, and protect WordPress from automated brute-force and bot attacks.


English version: Custom login page for WordPress


De functie voor aangepaste inlogpagina's is een geweldig hulpmiddel om het aanvalsoppervlak te verkleinen en spamregistraties te elimineren. Het is het eerste dat u moet inschakelen op een nieuw geïnstalleerde WordPress. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de map met plug-ins van WordPress .

Waarom het ertoe doet en waarom het werkt

Volgens onze studies bij Cerber Lab zijn de meeste tools en aanvallen van hackers gebaseerd op de veronderstelling dat een door WordPress aangedreven website van het slachtoffer de standaard inlogpagina heeft en dat plug-ins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om op geen enkele website standaardwaarden te gebruiken, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers ze met succes kunnen aanvallen. En daarom houden hackers zo van WordPress, en op elk willekeurig moment zien we honderdduizenden gehackte websites.

Configureer uw aangepaste inlogpagina

Met WP Cerber kunt u eenvoudig en veilig de standaard WordPress-inlog-URL wp-login.php wijzigen in elke gewenste URL. Met andere woorden, u kunt uw unieke, bekende aangepaste inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php verbergen voor kwaadwillenden, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of het bestand wp-login.php te hernoemen. Met WP Cerber kunt u het met enkele klikken configureren.

  1. Ga naar de beheerpagina Hoofdinstellingen van de plug-in.
  2. Voer uw nieuwe gewenste inlog-URL in het veld Aangepaste inlog-URL in en sla de instellingen op. Dat is het.
  3. Als u een caching-plug-in gebruikt, voegt u uw nieuwe aanmeldings-URL toe aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
  4. Zorg ervoor dat uw nieuwe inlog-URL correct werkt en dat u deze kunt gebruiken om in te loggen. Doe dat in een incognito browservenster. Log niet uit van uw website voordat u zeker weet dat uw nieuwe inlog-URL goed werkt .
WordPress login security and custom login page settings

Custom WordPress login page settings

Hoe wp-login.php te verbergen voor bots en scanners

Zodra u de inlogpagina van de klant heeft ingeschakeld, is het logisch om de standaard WordPress-inlogpagina te verbergen om brute-force-aanvallen erop te voorkomen. Om dit te bereiken, stelt u de instelling Wp-login.php-authenticatieverzoeken verwerken in op "Toegang tot wp-login.php blokkeren". Wanneer u probeert toegang te krijgen tot de pagina, geeft WP Cerber de standaard "404 Not Found" -pagina weer. Er is maar één nadeel waar je aan moet denken. Als een aanvaller slim genoeg is, kunnen ze doorgaan met het scannen van de website, op zoek naar uw echte inlogpagina.

Hoe wp-login.php uit te schakelen

Een andere, meer geavanceerde optie die u zou moeten overwegen, is het uitschakelen van wp-login.php zonder de toegang ertoe te blokkeren. Hoe werkt het? Deze unieke WP Cerber-functie stopt elke poging tot authenticatie via wp-login.php. Wanneer u probeert in te loggen, bootst WP Cerber de standaard onjuiste wachtwoordfout na en breekt het gebruikersauthenticatieproces af. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand mag inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling Wp-login.php-authenticatieverzoeken verwerken in op "Authenticatie weigeren via wp-login.php".

Een waarschuwing om te onthouden

Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet kan worden gebruikt om in te loggen, kunt u of uw gebruiker nooit inloggen op de website en wordt deze vergrendeld na verschillende pogingen om wp-login.php te gebruiken.

Als je "Wp-login.php authenticatieverzoeken verwerken" hebt ingesteld op een andere waarde dan de standaardwaarde, kun je alleen je aangepaste inlog-URL gebruiken. Noch /wp-login.php noch /wp-admin/ kunnen meer gebruikt worden om in te loggen.

Belangrijke dingen die u moet weten

  • Als je een caching-plug-in zoals W3 Total Cache of WP Super Cache gebruikt, moet je de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
  • Voor een WordPress multisite-installatie wordt de nieuwe inlog-URL ingesteld voor alle sites wereldwijd.
  • Verwijder of hernoem het bestand wp-login.php niet handmatig. Na het updaten van uw WordPress naar een nieuwere versie, wordt wp-login.php hersteld en weer toegankelijk voor indringers.

Maak het veiliger met tweefactorauthenticatie

Overweeg om 2FA in te schakelen om beheerdersaccounts te beschermen. Twee-factorenauthenticatie biedt een extra beveiligingslaag die een tweede identificatiefactor vereist die verder gaat dan alleen een gebruikersnaam en wachtwoord.

Meer weten: Tweefactorauthenticatie inschakelen voor WordPress

Problemen oplossen met de functie Aangepaste aanmeldings-URL

Het inschakelen van de aangepaste inlogpagina kan ertoe leiden dat sommige plug-ins niet meer werken. Als u een plug-in voor het aanpassen van een inlogpagina of een plug-in voor sociale inlog gebruikt, is het mogelijk dat zo'n plug-in niet meer werkt. Om dit probleem op te lossen, schakelt u "Het weergeven van de aangepaste inlogpagina uitstellen" in. Lees meer over deze instelling .

Als je je aangepaste inlog-URL hebt ingesteld en deze na een tijdje bent vergeten, controleer dan eerst het e-mailadres van de sitebeheerder voor een e-mailmelding over je nieuwe inlog-URL of een wekelijks e-mailrapport. In die e-mails kunt u uw aangepaste inlog-URL zien. Als u een dergelijke e-mail niet kunt vinden, moet u WP Cerber handmatig opnieuw installeren door de onderstaande stappen te volgen.

  1. Verwijder de map met plug-ins /wp-cerber/ handmatig met behulp van FTP of een andere bestandsbeheerder in uw hostingconfiguratiescherm.
  2. Log zoals gewoonlijk in op uw WordPress-dashboard door de standaard /wp-login.php-URL te gebruiken of op een andere manier die u gebruikte voordat u de aangepaste inlog-URL inschakelde.
  3. Installeer en activeer de plug-in WP Cerber Security zoals gewoonlijk.
  4. Ga naar de pagina Hoofdinstellingen van de plug-in.
  5. Vink het veld Aangepaste aanmeldings-URL aan. Het toont uw aangepaste inlog-URL die u moet gebruiken. Onthoud het.

Volgende stappen die uw WordPress-beveiliging versterken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments