WordPress Security How To

Sterke inlogbeveiliging met WP Cerber


English version: Strong login security with WP Cerber


Het is geen geheim dat slechte actoren binnen een paar minuten kunnen inbreken in een nieuw geïnstalleerde WordPress door een brute-force aanval uit te voeren. Dit is mogelijk omdat WordPress geen ingebouwde mechanismen heeft om aanvallen te beperken, de standaard inlog-URL bekend is en de gebruikersnaam van de beheerder van een website gemakkelijk kan worden achterhaald. WP Cerber biedt alle noodzakelijke tools om brute-force-aanvallen te beperken en gebruikersaccounts te beveiligen.

Configureren van de login-beveiligingsinstellingen van WP Cerber

De beveiligingsinstellingen voor inloggen bevinden zich op het tabblad Hoofdinstellingen. Hier kunt u de limieten voor inlogpogingen configureren, de toegang tot wp-login.php beperken en foutmeldingen configureren om te voorkomen dat gebruikersnamen en e-mailadressen worden ontdekt wanneer u niet-bestaande gebruikersnamen en e-mailadressen gebruikt.

Beperking van inlogpogingen om brute-force-aanvallen te beperken

De standaard- en aanbevolen instellingen voor het beperken van inlogpogingen zijn gemarkeerd als #1 op de schermafbeelding. Deze instellingen zijn ingesteld toen u WP Cerber activeerde. Als u bijvoorbeeld veel klanten op de website heeft of een WooCommerce-winkel heeft, is het zinvol om de limiet voor inlogpogingen te verhogen.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Verwerken van wp-login.php authenticatieverzoeken

Zie selectie #2. Standaard gebruikt WordPress wp-login.php als de inlogpagina van de website die alle gebruikersaanmeldingen verwerkt en het registratieformulier en het formulier voor het opnieuw instellen van het wachtwoord levert. Als u de aangepaste inlog-URL heeft geconfigureerd, wordt aanbevolen om wp-login.php uit te schakelen. Je hebt twee opties. U kunt de toegang tot wp-login.php volledig blokkeren en het bestand voor iedereen ontoegankelijk maken, of u kunt de gebruikersauthenticatie uitschakelen via wp-login.php zonder de toegang tot het bestand te blokkeren. U kunt een van de opties kiezen. Beide voorkomen gebruikersauthenticatie via wp-login.php.

Wanneer de eerste optie is ingeschakeld, geeft WP Cerber de foutpagina "404 Page Not Found" weer alsof er geen dergelijk bestand op de website staat. Slechte acteurs hebben dus niets om aan te vallen.

Wanneer de tweede optie is ingeschakeld, voorkomt WP Cerber elke gebruikersauthenticatie, zelfs met correcte gebruikersnamen en wachtwoorden. Dit betekent dat niemand kan inloggen met wp-login.php. Na een poging om in te loggen via wp-login.php, toont WP Cerber de standaardfoutmelding voor een onjuist wachtwoord, die het standaard WordPress-authenticatieproces nabootst. Door deze aanpak te gebruiken, kan WP Cerber langzame brute-force-aanvallen detecteren door wp-login.php te gebruiken als detectie-honeypot. Alle pogingen om in te loggen via wp-login.php worden vastgelegd in het activiteitenlogboek van WP Cerber, zoals weergegeven in de onderstaande schermafbeelding.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Voorkom dat kwaadwillenden echte gebruikersnamen en e-mailadressen van klanten ontdekken

De standaard foutmeldingen voor het inloggen en opnieuw instellen van het wachtwoord die door WordPress worden gegenereerd, zijn behoorlijk uitgebreid en helpen hackers echte gebruikersnamen en e-mailadressen te detecteren om deze te gebruiken voor brute force- of social engineering-aanvallen.

Schakel het standaardaanmeldingsfoutbericht uit

Indien ingeschakeld, geven de aanmeldingsfoutmeldingen geen ongeldige gebruikersnamen en e-mailadressen aan wanneer u probeert in te loggen met niet-bestaande gebruikersnamen . In plaats daarvan geeft WP Cerber het standaard WordPress-foutbericht weer dat wordt gebruikt wanneer een gebruiker een onjuist wachtwoord invoert. Dit helpt voorkomen dat kwaadwillenden geldige gebruikersnamen en e-mailadressen raden. Deze aanpak wordt ook wel het uitschakelen van inloghints genoemd.

Met de professionele versie van WP Cerber kunt u uw eigen inlogfoutmelding opgeven met behulp van het instellingsveld Aangepaste inlogfoutmelding .

Schakel het standaardfoutbericht voor het opnieuw instellen van het wachtwoord uit

Indien ingeschakeld, geven de foutmeldingen voor het opnieuw instellen van het wachtwoord geen ongeldige gebruikersnamen en e-mailadressen aan wanneer wordt geprobeerd het wachtwoord opnieuw in te stellen voor een niet-bestaande gebruikersnaam of een niet-bestaand e-mailadres. In plaats daarvan bootst WP Cerber het standaardproces van het opnieuw instellen van wachtwoorden na en geeft het volgende bericht weer wanneer gebruikers geldige of niet-bestaande gebruikersnamen en e-mailadressen invoeren.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Deze aanpak helpt voorkomen dat kwaadwillenden geldige gebruikersnamen raden en staat bekend als het uitschakelen van hints voor het opnieuw instellen van wachtwoorden.

Met de professionele versie van WP Cerber kunt u uw eigen foutmelding voor het opnieuw instellen van het wachtwoord opgeven met behulp van het veld Aangepaste login-foutmelding .

Houd er rekening mee dat alle hierboven beschreven functies niet van toepassing zijn op de IP-adressen in de White IP Access List .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.