5-stappen naar een veilige WordPress-aanmeldingspagina

Artikel geschreven door:
  • WordPress
  • Bijgewerkt: okt 17, 2019

Het beschermen van uw inlogpagina kan niet door een specifieke techniek worden uitgevoerd, maar er zijn zeker stappen en gratis beveiligingsplug-ins u kunt nemen om aanvallen te doen die minder snel zullen slagen.

De inlogpagina van uw site is zeker een van de meest kwetsbare pagina's op uw website, dus laten we beginnen met het maken van uw WordPress-site inlogpagina een beetje veiliger.

1. Gebruik een sterk wachtwoord en een rare gebruikersnaam

Brute dwingende aanmeldingspagina's is een van de meest voorkomende vormen van webaanvallen waarmee uw website waarschijnlijk wordt geconfronteerd. Als u een gemakkelijk te raden wachtwoord of gebruikersnaam hebt, zal uw website vrijwel zeker niet alleen een doelwit zijn, maar uiteindelijk ook een slachtoffer.

Splash-gegevens heeft een lijst samengesteld met veelgebruikte wachtwoorden voor 2014.

Wachtwoord per rang in termen van gebruik.

  1. 123456
  2. wachtwoord
  3. 12345
  4. 12345678
  5. QWERTY
  6. 123456789
  7. 1234
  8. baseball
  9. draak
  10. voetbal

Als u een van die wachtwoorden gebruikt en uw website helemaal geen verkeer ontvangt, zal uw website vrijwel zeker vroeg of laat worden verwijderd.

Gebruik sterke wachtwoorden en ongebruikelijke gebruikersnamen. Eerder met WordPress moest je beginnen met een standaard beheerders-gebruikersnaam, maar dat is niet meer zo. Toch gebruiken de meeste nieuwe webbeheerders de standaard gebruikersnaam en moeten ze hun gebruikersnaam wijzigen. Je kunt gebruiken Admin Renamer Extended om uw admin-gebruikersnaam te wijzigen.

Met beveiligingsplug-ins kunt u eenvoudig sterke wachtwoorden afdwingen voor al uw gebruikers. Je zou toch niet willen dat iemand met een editor-niveau nu zwakke wachtwoorden gebruikt? Het brengt uw veiligheid sterk in gevaar.

Gebruik een willekeurig gegenereerde wachtwoordgenerator die online beschikbaar is zoals Secure Password Generator or Nortons wachtwoordgenerator or LastPass. Ze zijn allemaal gratis te gebruiken.

Als u problemen ondervindt bij het onthouden van uw wachtwoorden, kunt u gebruiken KeePass wachtwoord veilig or Dashlane's wachtwoordbeheerder.

2. Verberg de inlogpagina en Wp-beheerderspagina

Een hacker moet uw inlogpagina vinden als hij of zij dat van plan is brute kracht de inlogpagina om toegang te krijgen. U kunt dit voorkomen door gebruik te maken van wat sommigen beveiliging door middel van obscuriteit noemen, het idee dat het verbergen van uw inlogpagina u zal beschermen, aangezien de aanvaller geen potentieel punt van binnenkomst kan identificeren. Uw website zou het equivalent zijn van een bank zonder deur of een ander openbaar toegangspunt.

De meeste WordPress-websites hebben het inlogpunt voor inloggen op yourwebsite.com/login.php.

Typ webhostingsecretrevealed.net/login.php in de adresbalk van uw browser. Werkt niet, toch? Omdat het niet bestaat. Het login-item voor WHSR bevindt zich op een andere URL.

Evenzo kunt u het toegangspunt op uw website naar iets anders wijzigen. In wezen wij verander de inlogpagina-URL.

ProtectYourAdmin

Net als bij de login.php pagina, is er de wp-admin map die ook beschermd moet worden. Het is vrij eenvoudig om te doen met een van de twee plug-ins - WPS Verberg Login Bescherm uw beheerder.

3. SSL

SSL of Secure Socket Layer is een extra beveiligingslaag die alle informatie die u verzendt en ontvangt tussen uw browser en server onleesbaar maakt. Als iemand de informatie zou onderscheppen, zou hij deze niet kunnen lezen en zou het nergens op slaan.

SSL wordt altijd gebruikt voor financiële transactiepoorten en wanneer gevoelige informatie wordt gedeeld. Websites slaan veel informatie over gebruikers op en SSL helpt die informatie veilig te houden.

Evenzo werkt SSL op inlogpagina's door het proces voor communicatie tussen de browser en de server een stuk veiliger te maken.

SimpleSSl

Voor individuele bloggers en kleine bedrijven, een gratis, gedeelde SSL - die u meestal kunt krijgen van uw hostingprovider, Laten we encryptenof CloudFlare - is meestal meer dan goed genoeg.

Voor bedrijven die de betaling van klanten verwerken - het is het beste dat u koop een speciaal SSL-certificaat van uw webhost of een certificeringsinstantie (CA). Echt eenvoudige SSL WP Force SSL beide helpen u bij het instellen van SSL op uw website, zodra u het SSL-certificaat hebt gekocht.

4. Beperking van het aantal inlogpogingen

Dit is een ongelooflijk eenvoudige techniek om brute force-aanvallen op je inlogpagina in hun tracks te stoppen. Een brute force-aanval werkt door te proberen je gebruikersnaam en wachtwoord goed te krijgen door meerdere combinaties keer op keer te proberen.

Als het specifieke IP-adres waarmee de aanval wordt gepleegd, wordt bijgehouden, kunt u de herhaalde brute forcing-pogingen blokkeren en uw site beveiligen. Dit is ook de reden waarom wereldwijde DDOS-aanvallen plaatsvinden met meerdere IP-adressen met verschillende aanvallen, om hostingdiensten en website-beveiliging te weren.

LoginLockdown

Inloggen LockDown Inloggen Security Solution beide bieden geweldige oplossingen om de inlogpagina's van uw website te beschermen. Ze volgen IP-adressen en beperken het aantal inlogpogingen om uw website te beschermen.

5. Twee-factorenauthenticatie

Google Authenticator is een WordPress plug-in die werkt via een app die is geïnstalleerd op je Android / iPhone / Blackberry. De plug-in genereert een QR-code die u kunt scannen met uw mobiele apparaat of u kunt de geheime code handmatig invoeren.

Autorisatie code

Uw login vereist een authenticatiecode die op uw mobiele apparaat wordt gegenereerd om in te loggen. De plug-in kan per gebruiker worden gebruikt en wordt niet aanbevolen voor gebruikers met minder rechten. Aangezien het zeer onwaarschijnlijk is dat de hacker fysieke toegang tot uw mobiele apparaat heeft, is de inlogpagina van uw website inderdaad zeer veilig (ervan uitgaande dat er geen andere kwetsbaarheden zijn).

Extra beveiliging

We hebben het verbergen / hernoemen van de inlogpagina en de wp-admin-directory besproken, SSL op inlogpagina's ingeschakeld, tweefactorauthenticatie gebruikt, inlogpogingen beperkt en sterke wachtwoorden en ongebruikelijke gebruikersnamen gebruikt. U moet er ook rekening mee houden dat sommige webhosts sommige van deze beveiligingsprocedures aan hun gebruikers opleggen.

Als je wilt, kun je ook een volwaardige beveiligingsplug-in gebruiken IThemes Security or Wordfence die naast de algehele beveiligingsmaatregelen van WordPress ook veel beveiligingsfuncties bieden.

Nee WordPress beveiligingsartikel is compleet zonder te vermelden dat de beveiliging altijd in gevaar kan worden gebracht. Plan vooruit en maak een back-up van uw website met een gratis tool zoals Updraft Plus of een premium solution provider zoals VaultPress or BackUp Buddy.

Ik hoop dat het artikel nuttig was en uw website een beetje veiliger heeft gemaakt.

Over Vishnu

Vishnu is 's nachts een freelance schrijver en werkt overdag als een data-analist.