Security Blog

Aangepaste inlogpagina voor WordPress

Hoe u wp-login.php hernoemt, een aangepaste inlog-URL maakt en WordPress beschermt tegen geautomatiseerde brute-force- en bot-aanvallen.


English version: Custom login page for WordPress


De aangepaste inlogpaginafunctie is een geweldig hulpmiddel om het aanvalsoppervlak te verkleinen en spamregistraties te elimineren. Het is het eerste dat u moet inschakelen op een nieuw geïnstalleerde WordPress. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de plug-insmap van WordPress .

Waarom het ertoe doet en waarom het werkt

Volgens onze onderzoeken bij Cerber Lab zijn de meeste hackertools en -aanvallen gebaseerd op de veronderstelling dat een door WordPress aangedreven website van het slachtoffer de standaard inlogpagina heeft en dat plug-ins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om op geen enkele website standaardwaarden te gebruiken, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers deze met succes kunnen aanvallen. En dat is de reden waarom hackers zo dol zijn op WordPress, en op elk moment zien we honderdduizenden gehackte websites.

Configureer uw aangepaste inlogpagina

Met WP Cerber kunt u eenvoudig en veilig de standaard WordPress-inlog-URL wp-login.php wijzigen in elke gewenste URL. Met andere woorden, u kunt uw unieke, bij u bekende aangepaste inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php verbergen voor slechte actoren, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of de naam van het wp-login.php-bestand te wijzigen. Met WP Cerber kunt u het met enkele klikken configureren.

  1. Ga naar de beheerderspagina van de hoofdinstellingen van de plug-in.
  2. Voer uw nieuwe gewenste inlog-URL in het veld Aangepaste inlog-URL in en sla de instellingen op. Dat is het.
  3. Als u een caching-plug-in gebruikt, voegt u uw nieuwe inlog-URL toe aan de lijst met pagina's die u niet in de cache wilt opslaan.
  4. Zorg ervoor dat uw nieuwe inlog-URL correct werkt en u deze kunt gebruiken om in te loggen. Doe dat in een incognito browservenster. Meld u niet af van uw website totdat u zeker weet dat uw nieuwe inlog-URL goed werkt .
WordPress login security and custom login page settings

Custom WordPress login page settings

Hoe wp-login.php te verbergen voor bots en scanners

Nadat u de inlogpagina voor klanten heeft ingeschakeld, is het zinvol om de standaard WordPress-inlogpagina te verbergen om te voorkomen dat er brute-force-aanvallen op worden uitgevoerd. Om dit te bereiken, stelt u de instelling Verwerking van wp-login.php-authenticatieverzoeken in op "Toegang tot wp-login.php blokkeren". Wanneer u probeert toegang te krijgen tot de pagina, geeft WP Cerber de standaardpagina "404 Not Found" weer. Er is maar één nadeel waar je aan moet denken. Als een aanvaller slim genoeg is, kan hij doorgaan met het scannen van de website, op zoek naar uw echte inlogpagina.

Hoe wp-login.php uit te schakelen

Een andere, meer geavanceerde optie die u zou moeten overwegen, is het uitschakelen van wp-login.php zonder de toegang daartoe te blokkeren. Hoe werkt het? Deze unieke WP Cerber-functie stopt elke poging om te authenticeren via wp-login.php. Wanneer u probeert in te loggen, bootst WP Cerber de standaard onjuiste wachtwoordfout na en breekt het gebruikersauthenticatieproces af. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand mag inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling Verwerking van wp-login.php-authenticatieverzoeken in op "Authentificatie weigeren via wp-login.php".

Een waarschuwing om te onthouden

Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet kan worden gebruikt om in te loggen, kunt u of uw gebruiker nooit inloggen op de website en wordt deze vergrendeld na verschillende pogingen om wp-login.php te gebruiken.

Als u "Verwerking van wp-login.php authenticatieverzoeken" op een andere waarde dan de standaardwaarde heeft ingesteld, kunt u alleen uw aangepaste inlog-URL gebruiken. Zowel /wp-login.php als /wp-admin/ kunnen niet meer gebruikt worden om in te loggen.

Belangrijke dingen die u moet weten

  • Als u een caching-plug-in zoals W3 Total Cache of WP Super Cache gebruikt, moet u de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
  • Voor een WordPress-installatie op meerdere locaties wordt de nieuwe inlog-URL ingesteld voor alle sites wereldwijd.
  • Verwijder het bestand wp-login.php niet handmatig en hernoem het ook niet. Nadat u uw WordPress hebt bijgewerkt naar een nieuwere versie, wordt wp-login.php hersteld en weer toegankelijk voor indringers.

Maak het veiliger met tweefactorauthenticatie

Overweeg om 2FA in te schakelen om de accounts van beheerders te beschermen. Tweefactorauthenticatie biedt een extra beveiligingslaag die naast een gebruikersnaam en wachtwoord een tweede identificatiefactor vereist.

Meer weten: Hoe u tweefactorauthenticatie voor WordPress kunt inschakelen

Problemen oplossen met de functie Aangepaste inlog-URL

Als u de aangepaste inlogpagina inschakelt, werken sommige plug-ins mogelijk niet meer. Als u een plug-in voor het aanpassen van de inlogpagina of een plug-in voor sociale login gebruikt, is het mogelijk dat zo'n plug-in niet meer werkt. Om dit probleem op te lossen, schakelt u 'Weergave van de aangepaste inlogpagina uitstellen' in. Lees meer over deze instelling .

Als u uw aangepaste inlog-URL heeft ingesteld en deze na een tijdje bent vergeten, controleer dan eerst het e-mailadres van de sitebeheerder voor een e-mailmelding over uw nieuwe inlog-URL of een wekelijks e-mailrapport. In die e-mails kunt u uw aangepaste inlog-URL zien. Als u een dergelijke e-mail niet kunt vinden, moet u WP Cerber handmatig opnieuw installeren door de onderstaande stappen te volgen.

  1. Verwijder de plug-inmap /wp-cerber/ handmatig met behulp van FTP of een bestandsbeheerder in uw hostingcontrolepaneel.
  2. Log zoals gewoonlijk in op uw WordPress-dashboard door de standaard /wp-login.php URL te gebruiken of een andere manier die u gebruikte voordat u de Aangepaste inlog-URL inschakelde.
  3. Installeer en activeer de WP Cerber Security-plug-in zoals gewoonlijk.
  4. Ga naar de pagina Hoofdinstellingen van de plug-in.
  5. Controleer het veld Aangepaste inlog-URL . Het toont uw aangepaste inlog-URL die u moet gebruiken. Onthoud het.

Volgende stappen die uw WordPress-beveiliging versterken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply