Aangepaste inlogpagina voor WordPress
Hoe u wp-login.php hernoemt, een aangepaste inlog-URL maakt en WordPress beschermt tegen geautomatiseerde brute-force- en botaanvallen.
English version: Custom login page for WordPress
De functie voor aangepaste inlogpagina's is een geweldig hulpmiddel om het aanvalsoppervlak te verkleinen en spamregistraties te elimineren. Het is het eerste dat u moet inschakelen op een nieuw geïnstalleerde WordPress. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de map met plug-ins van WordPress .
Waarom het ertoe doet en waarom het werkt
Volgens onze studies bij Cerber Lab zijn de meeste tools en aanvallen van hackers gebaseerd op de veronderstelling dat een door WordPress aangedreven website van het slachtoffer de standaard inlogpagina heeft en dat plug-ins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om op geen enkele website standaardwaarden te gebruiken, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers ze met succes kunnen aanvallen. En daarom houden hackers zo van WordPress, en op elk willekeurig moment zien we honderdduizenden gehackte websites.
Configureer uw aangepaste inlogpagina
Met WP Cerber kunt u eenvoudig en veilig de standaard WordPress-inlog-URL wp-login.php wijzigen in elke gewenste URL. Met andere woorden, u kunt uw unieke, bekende aangepaste inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php verbergen voor kwaadwillenden, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of het bestand wp-login.php te hernoemen. Met WP Cerber kunt u het met enkele klikken configureren.
- Ga naar de beheerpagina Hoofdinstellingen van de plug-in.
- Voer uw nieuwe gewenste inlog-URL in het veld Aangepaste inlog-URL in en sla de instellingen op. Dat is het.
- Als u een caching-plug-in gebruikt, voegt u uw nieuwe aanmeldings-URL toe aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
- Zorg ervoor dat uw nieuwe inlog-URL correct werkt en dat u deze kunt gebruiken om in te loggen. Doe dat in een incognito browservenster. Log niet uit van uw website voordat u zeker weet dat uw nieuwe inlog-URL goed werkt .
Hoe wp-login.php te verbergen voor bots en scanners
Zodra u de inlogpagina van de klant heeft ingeschakeld, is het logisch om de standaard WordPress-inlogpagina te verbergen om brute-force-aanvallen erop te voorkomen. Om dit te bereiken, stelt u de instelling Wp-login.php-authenticatieverzoeken verwerken in op "Toegang tot wp-login.php blokkeren". Wanneer u probeert toegang te krijgen tot de pagina, geeft WP Cerber de standaard "404 Not Found" -pagina weer. Er is maar één nadeel waar je aan moet denken. Als een aanvaller slim genoeg is, kunnen ze doorgaan met het scannen van de website, op zoek naar uw echte inlogpagina.
Hoe wp-login.php uit te schakelen
Een andere, meer geavanceerde optie die u zou moeten overwegen, is het uitschakelen van wp-login.php zonder de toegang ertoe te blokkeren. Hoe werkt het? Deze unieke WP Cerber-functie stopt elke poging tot authenticatie via wp-login.php. Wanneer u probeert in te loggen, bootst WP Cerber de standaard onjuiste wachtwoordfout na en breekt het gebruikersauthenticatieproces af. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand mag inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling Wp-login.php-authenticatieverzoeken verwerken in op "Authenticatie weigeren via wp-login.php".
Een waarschuwing om te onthouden
Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet kan worden gebruikt om in te loggen, kunt u of uw gebruiker nooit inloggen op de website en wordt deze vergrendeld na verschillende pogingen om wp-login.php te gebruiken.
Als je "Wp-login.php authenticatieverzoeken verwerken" hebt ingesteld op een andere waarde dan de standaardwaarde, kun je alleen je aangepaste inlog-URL gebruiken. Noch /wp-login.php noch /wp-admin/ kunnen meer gebruikt worden om in te loggen.
Belangrijke dingen die u moet weten
- Als je een caching-plug-in zoals W3 Total Cache of WP Super Cache gebruikt, moet je de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
- Voor een WordPress multisite-installatie wordt de nieuwe inlog-URL ingesteld voor alle sites wereldwijd.
- Verwijder of hernoem het bestand wp-login.php niet handmatig. Na het updaten van uw WordPress naar een nieuwere versie, wordt wp-login.php hersteld en weer toegankelijk voor indringers.
Maak het veiliger met tweefactorauthenticatie
Overweeg om 2FA in te schakelen om beheerdersaccounts te beschermen. Twee-factorenauthenticatie biedt een extra beveiligingslaag die een tweede identificatiefactor vereist die verder gaat dan alleen een gebruikersnaam en wachtwoord.
Meer weten: Tweefactorauthenticatie inschakelen voor WordPress
Problemen oplossen met de functie Aangepaste aanmeldings-URL
Het inschakelen van de aangepaste inlogpagina kan ertoe leiden dat sommige plug-ins niet meer werken. Als u een plug-in voor het aanpassen van een inlogpagina of een plug-in voor sociale inlog gebruikt, is het mogelijk dat zo'n plug-in niet meer werkt. Om dit probleem op te lossen, schakelt u "Het weergeven van de aangepaste inlogpagina uitstellen" in. Lees meer over deze instelling .
Als je je aangepaste inlog-URL hebt ingesteld en deze na een tijdje bent vergeten, controleer dan eerst het e-mailadres van de sitebeheerder voor een e-mailmelding over je nieuwe inlog-URL of een wekelijks e-mailrapport. In die e-mails kunt u uw aangepaste inlog-URL zien. Als u een dergelijke e-mail niet kunt vinden, moet u WP Cerber handmatig opnieuw installeren door de onderstaande stappen te volgen.
- Verwijder de map met plug-ins /wp-cerber/ handmatig met behulp van FTP of een andere bestandsbeheerder in uw hostingconfiguratiescherm.
- Log zoals gewoonlijk in op uw WordPress-dashboard door de standaard /wp-login.php-URL te gebruiken of op een andere manier die u gebruikte voordat u de aangepaste inlog-URL inschakelde.
- Installeer en activeer de plug-in WP Cerber Security zoals gewoonlijk.
- Ga naar de pagina Hoofdinstellingen van de plug-in.
- Vink het veld Aangepaste aanmeldings-URL aan. Het toont uw aangepaste inlog-URL die u moet gebruiken. Onthoud het.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.