Sterke inlogbeveiliging met WP Cerber
English version: Strong login security with WP Cerber
Het is geen geheim dat kwaadwillenden binnen enkele minuten een nieuw geïnstalleerde WordPress-site kunnen binnendringen met een brute-force-aanval. Dit is mogelijk omdat WordPress geen ingebouwde mechanismen heeft om aanvallen te beperken, de standaard inlog-URL bekend is en de gebruikersnaam van de beheerder van een website gemakkelijk te achterhalen is. WP Cerber biedt alle benodigde tools om brute-force-aanvallen te beperken en gebruikersaccounts te beveiligen.
De inlogbeveiligingsinstellingen van WP Cerber configureren
De instellingen voor inlogbeveiliging bevinden zich op het tabblad Hoofdinstellingen. Hier kunt u de limieten voor inlogpogingen configureren, de toegang tot wp-login.php beperken en foutmeldingen configureren om te voorkomen dat gebruikersnamen en e-mailadressen worden ontdekt bij het gebruik van niet-bestaande gebruikersnamen en e-mailadressen.
Beperk inlogpogingen om brute-force-aanvallen te beperken
De standaard- en aanbevolen instellingen voor het beperken van inlogpogingen zijn gemarkeerd als #1 op de schermafbeelding. Deze instellingen zijn ingesteld toen u WP Cerber activeerde. Als u veel klanten op uw website hebt, bijvoorbeeld als u een WooCommerce-winkel beheert, is het zinvol om de limiet voor inlogpogingen te verhogen.
Verwerken van wp-login.php authenticatieverzoeken
Zie optie 2. WordPress gebruikt standaard wp-login.php als inlogpagina voor de website. Deze pagina verwerkt alle gebruikersaanmeldingen en biedt het registratieformulier en het wachtwoordherstelformulier. Als u de aangepaste inlog-URL hebt geconfigureerd, is het raadzaam om wp-login.php uit te schakelen. U hebt twee opties. U kunt de toegang tot wp-login.php volledig blokkeren en het bestand voor iedereen ontoegankelijk maken, of u kunt gebruikersauthenticatie via wp-login.php uitschakelen zonder de toegang tot het bestand te blokkeren. U kunt een van de opties kiezen. Beide blokkeren gebruikersauthenticatie via wp-login.php.
Wanneer de eerste optie is ingeschakeld, genereert en retourneert WP Cerber de foutmelding "404 Pagina niet gevonden" alsof er geen dergelijk bestand op de website staat. Zo hebben kwaadwillenden niets om aan te vallen.
Wanneer de tweede optie is ingeschakeld, blokkeert WP Cerber elke gebruikersauthenticatie, zelfs met correcte gebruikersnamen en wachtwoorden. Dit betekent dat niemand kan inloggen met wp-login.php. Na een poging om in te loggen via wp-login.php, toont WP Cerber de standaard foutmelding voor een onjuist wachtwoord, wat het standaard WordPress-authenticatieproces nabootst. Deze aanpak helpt WP Cerber om langzame brute-force-aanvallen te detecteren door wp-login.php als detectie-honeypot te gebruiken. Alle pogingen om in te loggen via wp-login.php worden geregistreerd in het activiteitenlogboek van WP Cerber, zoals te zien is op de onderstaande schermafbeelding.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Voorkom dat kwaadwillenden de echte gebruikersnamen en e-mailadressen van klanten ontdekken
De standaard foutmeldingen bij het inloggen en het opnieuw instellen van wachtwoorden die WordPress genereert, zijn vrij uitgebreid en helpen hackers om echte gebruikersnamen en e-mailadressen te achterhalen, zodat ze deze kunnen gebruiken voor brute-force- of social engineering-aanvallen.
Schakel de standaard foutmelding bij inloggen uit
Wanneer deze optie is ingeschakeld, geven de foutmeldingen bij het inloggen geen ongeldige gebruikersnamen en e-mailadressen aan bij een poging tot inloggen met niet-bestaande gebruikersnamen . In plaats daarvan geeft WP Cerber de standaard WordPress-foutmelding weer die wordt gebruikt wanneer een gebruiker een onjuist wachtwoord invoert. Dit helpt voorkomen dat kwaadwillenden geldige gebruikersnamen en e-mailadressen raden. Deze aanpak staat ook bekend als het uitschakelen van loginhints.
Met de professionele versie van WP Cerber kunt u uw eigen foutmelding bij het inloggen opgeven via het veld Aangepaste foutmelding bij inloggen .
Schakel de standaardfoutmelding voor het opnieuw instellen van het wachtwoord uit
Indien ingeschakeld, geven de foutmeldingen bij het opnieuw instellen van het wachtwoord geen ongeldige gebruikersnamen en e-mailadressen aan bij een poging om het wachtwoord voor een niet-bestaande gebruikersnaam of e-mailadres opnieuw in te stellen. In plaats daarvan bootst WP Cerber het standaardproces voor het opnieuw instellen van wachtwoorden na en toont het volgende bericht wanneer gebruikers geldige of niet-bestaande gebruikersnamen en e-mailadressen invoeren.
Deze aanpak voorkomt dat kwaadwillenden geldige gebruikersnamen raden. Dit staat bekend als het uitschakelen van hints voor het opnieuw instellen van wachtwoorden.
Met de professionele versie van WP Cerber kunt u uw eigen foutmelding voor het opnieuw instellen van het wachtwoord opgeven via het veld Aangepaste foutmelding bij inloggen .
Houd er rekening mee dat de hierboven beschreven functies niet van toepassing zijn op de IP-adressen in de White IP Access List .