Naar alle artikelen Cyber Security

Waarom cybercriminelen de standaard WordPress inlogpagina, /wp-login.php, als doelwit hebben

Rian Ouwendijk - 3 oktober 2023

WordPress inlogpagina

De standaard inlogpagina van een WordPress-website is voor velen bekend en eenvoudig te vinden. Typisch is deze bereikbaar via routes zoals jouwsite.com/wp-login.php, jouwsite.com/wp-login of jouwsite.com/wp-admin, waarbij ‘jouwsite.com’ natuurlijk staat voor het daadwerkelijke webadres van je site. Deze voorspelbaarheid biedt kwaadwillenden een ideaal startpunt voor hun aanvallen.

Elke WordPress-expert weet dat de inlogpagina bij een standaardconfiguratie van WordPress een geliefd doelwit is. Het is een van de meest kwetsbare punten van elke WordPress-site. Maar wat maakt deze pagina zo aantrekkelijk voor cybercriminelen? Het antwoord ligt grotendeels in de techniek van brute force aanvallen.

Bij een brute force aanval proberen aanvallers met geautomatiseerde scripts talloze combinaties van gebruikersnamen en wachtwoorden om toegang te krijgen. De voorspelbaarheid en bekendheid van de /wp-login.php pagina maken het voor hen een ideale plek om deze aanvallen uit te voeren. Door het razendsnel uitproberen van verschillende combinaties hopen ze uiteindelijk de juiste inloggegevens te vinden. In dit licht is het cruciaal om de WordPress inlogpagina goed te beveiligen en in dit artikel leer je hoe je dat zelf kunt doen.

Verander de WP admin inlog URL met de plugin WPS Hide Login

De lichte en gratis plugin WPS Hide Login stelt je in staat om eenvoudig en veilig de URL van de inlogpagina te wijzigen naar een door jou gekozen adres. Het verandert of hernoemt geen bestanden in de kern van WordPress en voegt ook geen herschrijfregels toe. In plaats daarvan onderschept het simpelweg pagina-aanvragen en werkt het op elke WordPress-website. De standaard wp-admin map en wp-login.php pagina worden onbereikbaar, dus het is raadzaam om de nieuwe URL te onthouden of ergens op te slaan. Als je deze plugin deactiveert, keert je site terug naar de oorspronkelijke staat.

WPS Hide Login

Om “WPS Hide Login” te gebruiken:

  • Ga binnen de WordPress-admin (/wp-admin/ omgeving) naar Plugins › Nieuwe toevoegen.
  • Zoek naar “WPS Hide Login”.
  • Vind deze plugin, download en activeer het.
  • De pagina zal je doorsturen naar de instellingen. Hier kun je jouw inlog-URL wijzigen.
  • Je kunt deze optie altijd wijzigen door terug te gaan naar Instellingen › WPS Hide Login.

Het is belangrijk om te begrijpen dat het verbergen van je inlogpagina slechts één stap is in het beveiligen van je WordPress-website. Het is altijd een goed idee om regelmatig de beveiliging van je site te evalueren en te updaten waar nodig.

WPS Hide Login Instellingen

Afschermen van de WordPress inlogpagina voor specifieke IP-adressen via .htaccess

Een vervangende of aanvullende strategie om je inlogpagina (extra) te beveiligen, is door enkel toegang te verlenen aan bepaalde IP-adressen. Dit is met name nuttig als jij en je team doorgaans vanaf een vast IP-adres toegang zoeken. Hier lees je hoe je dit instelt:

  • Backup eerst je website en .htaccess-bestand. Voordat je wijzigingen aanbrengt, is het altijd een goed idee om een backup te maken van je website en je huidige .htaccess-bestand.
  • Open het .htaccess-bestand. Dit bestand bevindt zich in de hoofdmap van je WordPress-installatie. Je kunt toegang krijgen tot dit bestand via FTP of via het cPanel van je hostingaccount.
  • Voeg de volgende code toe aan je .htaccess-bestand:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

  • Vervang xxx.xxx.xxx.xxx door het IP-adres dat je wilt toestaan. Als je meerdere IP-adressen wilt toestaan, voeg dan extra Allow from regels toe, zoals:

Allow from xxx.xxx.xxx.xxx
Allow from yyy.yyy.yyy.yyy

  • Sla de wijzigingen op en upload het .htaccess-bestand terug naar je server.
  • Test de toegang. Probeer toegang te krijgen tot je inlogpagina vanaf een toegestaan IP-adres en vanaf een niet-toegestaan IP-adres om te bevestigen dat de beperkingen correct werken.

Let op: Als je jezelf per ongeluk buitensluit van je website, kun je altijd het .htaccess-bestand bewerken via FTP of cPanel en de toegevoegde regels verwijderen.

Bonus: De rol van accountenumeratie en gebruikersnaam gokken

Voordat cybercriminelen overgaan tot brute force aanvallen, maken ze vaak gebruik van technieken zoals accountenumeratie en het gokken van gebruikersnamen. Bij accountenumeratie proberen aanvallers te achterhalen welke gebruikersnamen geldig zijn op een website. Dit doen ze door te letten op specifieke foutmeldingen of reacties van het systeem bij het invoeren van verschillende gebruikersnamen. Aan de andere kant, bij het gokken van gebruikersnamen, baseren aanvallers zich op populaire of veelvoorkomende namen, of gebruiken ze informatie die ze uit andere bronnen hebben verkregen. Door deze technieken te combineren, kunnen cybercriminelen hun brute force aanvallen veel gerichter en efficiënter uitvoeren, waardoor hun kans op succes toeneemt. Het is daarom essentieel om niet alleen je inlogpagina te beveiligen, maar ook alert te zijn op tekenen van deze voorbereidende activiteiten.

Ben je onzeker over de beveiliging van jouw WordPress website? Overweeg dan een WordPress pentest om een duidelijk beeld te krijgen van de huidige beveiligingsstatus van jouw site.

Bespreek de mogelijkheden

Ben jij op zoek naar een partner om jouw ambities te verwezenlijken? Twijfel niet en neem contact op met Systego.

  • Vrijblijvend advies. Maak kennis zonder enige verplichting.
  • Binnen 48 uur een reactie. Je kan kan spoedig een reactie verwachten.
  • Geen verborgen kosten. We zijn helder en eerlijk over prijzen en wat je kunt verwachten.

"*" geeft vereiste velden aan