Sterke inlogbeveiliging met WP Cerber
English version: Strong login security with WP Cerber
Het is geen geheim dat kwaadwillenden binnen enkele minuten kunnen inbreken in een nieuw geïnstalleerde WordPress-website door middel van een brute-force-aanval. Dit is mogelijk omdat WordPress geen ingebouwde mechanismen heeft om aanvallen te voorkomen, de standaard inlog-URL algemeen bekend is en de gebruikersnaam van de beheerder van een website gemakkelijk te achterhalen is. WP Cerber biedt alle benodigde tools om brute-force-aanvallen te voorkomen en gebruikersaccounts te beschermen.
De beveiligingsinstellingen voor het inloggen van WP Cerber configureren
De beveiligingsinstellingen voor het inloggen vindt u op het tabblad 'Hoofdinstellingen'. Hier kunt u limieten instellen voor het aantal inlogpogingen, de toegang tot wp-login.php beperken en foutmeldingen configureren om te voorkomen dat gebruikersnamen en e-mailadressen worden achterhaald wanneer u niet-bestaande gebruikersnamen en e-mailadressen gebruikt.
Het beperken van inlogpogingen om brute-force-aanvallen te voorkomen.
De standaard- en aanbevolen instellingen voor het beperken van inlogpogingen zijn gemarkeerd met #1 in de schermafbeelding. Deze instellingen zijn ingesteld toen u WP Cerber activeerde. Als u veel klanten op uw website heeft, bijvoorbeeld omdat u een WooCommerce-winkel beheert, is het verstandig om de limiet voor inlogpogingen te verhogen.
WordPress Login Security – WP Cerber Settings
Verwerking van authenticatieverzoeken voor wp-login.php
Zie selectie #2. Standaard gebruikt WordPress wp-login.php als de inlogpagina van de website. Deze pagina verwerkt alle gebruikersaanmeldingen en biedt ook het registratieformulier en het formulier voor het opnieuw instellen van het wachtwoord. Als u een aangepaste inlog-URL hebt geconfigureerd, is het raadzaam om wp-login.php uit te schakelen. U hebt twee opties. U kunt de toegang tot wp-login.php volledig blokkeren en het bestand voor iedereen ontoegankelijk maken, of u kunt gebruikersauthenticatie via wp-login.php uitschakelen zonder de toegang tot het bestand te blokkeren. U kunt een van beide opties kiezen. Beide opties voorkomen gebruikersauthenticatie via wp-login.php.
Wanneer de eerste optie is ingeschakeld, geeft WP Cerber de foutpagina "404 Pagina niet gevonden" weer, alsof het betreffende bestand niet op de website aanwezig is. Hierdoor hebben kwaadwillenden geen aanknopingspunt voor een aanval.
Wanneer de tweede optie is ingeschakeld, voorkomt WP Cerber elke gebruikersauthenticatie, zelfs met correcte gebruikersnamen en wachtwoorden. Dit betekent dat niemand kan inloggen via wp-login.php. Na een poging om in te loggen via wp-login.php, toont WP Cerber de standaard foutmelding 'onjuist wachtwoord', waarmee het standaard WordPress-authenticatieproces wordt nagebootst. Deze aanpak helpt WP Cerber bij het detecteren van trage brute-force-aanvallen door wp-login.php als detectie-honeypot te gebruiken. Alle pogingen om in te loggen via wp-login.php worden vastgelegd in het activiteitenlogboek van WP Cerber, zoals te zien is in de onderstaande schermafbeelding.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Voorkom dat kwaadwillenden echte gebruikersnamen en e-mailadressen van klanten achterhalen.
De standaard foutmeldingen voor inloggen en wachtwoordherstel die WordPress genereert, zijn nogal uitgebreid en helpen hackers om echte gebruikersnamen en e-mailadressen te achterhalen, die ze vervolgens kunnen gebruiken voor brute-force-aanvallen of social engineering-aanvallen.
Schakel het standaard inlogfoutbericht uit.
Wanneer deze functie is ingeschakeld, geven de inlogfoutmeldingen geen ongeldige gebruikersnamen en e-mailadressen weer wanneer geprobeerd wordt in te loggen met niet-bestaande gegevens . In plaats daarvan toont WP Cerber de standaard WordPress-foutmelding die wordt gebruikt wanneer een gebruiker een onjuist wachtwoord invoert. Dit helpt voorkomen dat kwaadwillenden geldige gebruikersnamen en e-mailadressen kunnen raden. Deze aanpak staat ook bekend als het uitschakelen van inloghints.
De professionele versie van WP Cerber biedt u de mogelijkheid om uw eigen inlogfoutmelding op te geven via het instellingsveld 'Aangepaste inlogfoutmelding' .
Schakel het standaard foutbericht voor het opnieuw instellen van het wachtwoord uit.
Wanneer deze functie is ingeschakeld, geven de foutmeldingen voor het opnieuw instellen van wachtwoorden geen ongeldige gebruikersnamen en e-mailadressen weer wanneer geprobeerd wordt het wachtwoord opnieuw in te stellen voor een niet-bestaande gebruikersnaam of een niet-bestaand e-mailadres. In plaats daarvan bootst WP Cerber het standaardproces voor het opnieuw instellen van wachtwoorden na en geeft het volgende bericht weer, ongeacht of gebruikers geldige of niet-bestaande gebruikersnamen en e-mailadressen invoeren.
The new WordPress password reset message generated by WP Cerber Security
Deze aanpak helpt voorkomen dat kwaadwillenden geldige gebruikersnamen raden en staat bekend als het uitschakelen van wachtwoordhints.
De professionele versie van WP Cerber biedt u de mogelijkheid om uw eigen foutmelding voor het opnieuw instellen van uw wachtwoord te specificeren via het instellingsveld 'Aangepaste foutmelding voor inloggen' .
Houd er rekening mee dat alle hierboven beschreven functies niet van toepassing zijn op de IP-adressen in de lijst met toegestane IP-adressen .
WP Cerber Security 8.6.3
Wat is RID en hoe gebruik je het?
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.