WordPress Security How To

Sterke inlogbeveiliging met WP Cerber


English version: Strong login security with WP Cerber


Het is geen geheim dat kwaadwillenden binnen een paar minuten kunnen inbreken in een pas geïnstalleerde WordPress door een brute-force-aanval uit te voeren. Dit is mogelijk omdat WordPress geen ingebouwde mechanismen voor het beperken van aanvallen heeft, de standaard inlog-URL bekend is en de gebruikersnaam van de beheerder van een website gemakkelijk kan worden achterhaald. WP Cerber biedt alle benodigde tools om brute-force aanvallen te verminderen en gebruikersaccounts te beschermen.

De inlogbeveiligingsinstellingen van WP Cerber configureren

De beveiligingsinstellingen voor inloggen bevinden zich op het tabblad Hoofdinstellingen. Hier kun je de limieten voor inlogpogingen configureren, de toegang tot wp-login.php beperken en foutmeldingen configureren om te voorkomen dat gebruikersnamen en e-mails worden ontdekt bij het gebruik van niet-bestaande gebruikersnamen en e-mails.

Beperking van inlogpogingen om brute-force aanvallen te beperken

De standaard en aanbevolen instellingen voor het beperken van inlogpogingen zijn gemarkeerd als #1 op de schermafbeelding. Deze instellingen zijn ingesteld toen u WP Cerber activeerde. Als je veel klanten op de website hebt, bijvoorbeeld als je een WooCommerce-winkel hebt, is het logisch om de limiet voor inlogpogingen te verhogen.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Wp-login.php authenticatieverzoeken verwerken

Zie selectie #2. WordPress gebruikt standaard wp-login.php als de inlogpagina van de website die alle gebruikersaanmeldingen verwerkt, evenals het registratieformulier en het formulier voor het opnieuw instellen van het wachtwoord. Als u de aangepaste inlog-URL hebt geconfigureerd, is het raadzaam om wp-login.php uit te schakelen. Je hebt twee opties. U kunt de toegang tot wp-login.php volledig blokkeren en het bestand voor iedereen ontoegankelijk maken, of u kunt gebruikersauthenticatie uitschakelen via wp-login.php zonder de toegang tot het bestand te blokkeren. U kunt een van de opties kiezen. Beide voorkomen gebruikersauthenticatie via wp-login.php.

Wanneer de eerste optie is ingeschakeld, geeft WP Cerber de foutpagina "404-pagina niet gevonden" weer en retourneert deze alsof er geen dergelijk bestand op de website staat. Slechte acteurs hebben dus niets om aan te vallen.

Wanneer de tweede optie is ingeschakeld, voorkomt WP Cerber elke gebruikersauthenticatie, zelfs met de juiste gebruikersnamen en wachtwoorden. Dit betekent dat niemand kan inloggen met wp-login.php. Na een poging om in te loggen via wp-login.php, toont WP Cerber het standaard onjuiste wachtwoord-foutbericht dat het standaard WordPress-authenticatieproces nabootst. Door deze aanpak te gebruiken, kan WP Cerber trage brute-force-aanvallen detecteren door wp-login.php te gebruiken als een detectie-honeypot. Alle pogingen om in te loggen via wp-login.php worden gelogd in het activiteitenlogboek van WP Cerber, zoals te zien is op de onderstaande schermafbeelding.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Voorkom dat kwaadwillenden echte gebruikersnamen en e-mails van klanten ontdekken

De standaard login- en wachtwoordreset-foutmeldingen die door WordPress worden gegenereerd, zijn behoorlijk uitgebreid en helpen hackers echte gebruikersnamen en e-mails te detecteren om ze te gebruiken voor brute-force of social engineering-aanvallen.

Schakel de standaard inlogfoutmelding uit

Indien ingeschakeld, geven de aanmeldingsfoutmeldingen geen ongeldige gebruikersnamen en e-mailadressen aan wanneer wordt geprobeerd in te loggen met niet-bestaande gebruikersnamen . In plaats daarvan geeft WP Cerber de standaard WordPress-foutmelding weer die wordt gebruikt wanneer een gebruiker een onjuist wachtwoord invoert. Dit helpt voorkomen dat kwaadwillenden geldige gebruikersnamen en e-mails raden. Deze benadering wordt ook wel het uitschakelen van inloghints genoemd.

Met de professionele versie van WP Cerber kunt u uw eigen aanmeldingsfoutmelding specificeren met behulp van het veld Aangepaste aanmeldingsfoutmelding .

Schakel het standaard reset wachtwoord-foutbericht uit

Indien ingeschakeld, geven de foutmeldingen voor het opnieuw instellen van het wachtwoord geen ongeldige gebruikersnamen en e-mails aan wanneer wordt geprobeerd het wachtwoord opnieuw in te stellen voor een niet-bestaande gebruikersnaam of een niet-bestaand e-mailadres. In plaats daarvan bootst WP Cerber het standaardproces van het opnieuw instellen van wachtwoorden na en geeft het volgende bericht weer wanneer gebruikers geldige of niet-bestaande gebruikersnamen en e-mails invoeren.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Deze aanpak helpt voorkomen dat kwaadwillenden geldige gebruikersnamen raden en staat bekend als het uitschakelen van hints voor het opnieuw instellen van wachtwoorden.

Met de professionele versie van WP Cerber kunt u uw eigen foutbericht voor het opnieuw instellen van het wachtwoord specificeren met behulp van het veld voor het instellen van het aangepaste inlogfoutbericht .

Houd er rekening mee dat alle hierboven beschreven functies niet van toepassing zijn op de IP-adressen in de White IP Access List .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.