Elke WordPress site logt standaard in via /wp-admin of /wp-login.php. Handig voor jou, maar net zo handig voor hackers. Iedereen weet waar de voordeur zit. In dit artikel laat ik zien waarom je die voordeur verplaatst en hoe je dat in een paar minuten regelt.
Waarom je de inloglocatie verbergt
Aanvallers richten zich op de standaard inloglocatie, omdat ze weten dat de meeste mensen die nooit aanpassen. Ze sturen botnets op je site af die de bekende adressen aflopen en wachtwoorden blijven proberen. Dat heet een brute force aanval.
Het loont voor ze. Uit onderzoek van beveiligingsbedrijf Sucuri bleek dat 90% van de gehackte sites in 2018 op WordPress draaide. Niet omdat WordPress onveilig is, maar omdat het zo veel gebruikt wordt en mensen de basis laten liggen.
Een aangepaste inlog URL helpt tegen:
- Brute force aanvallen, waarbij wachtwoorden eindeloos worden geprobeerd.
- Botnets die automatisch de standaard locaties afzoeken.
Vinden ze de inlogpagina niet, dan hebben ze niks om op te schieten.
Zo verander je de inlog URL
Je hebt hiervoor geen technische kennis nodig. We gebruiken de gratis plugin Admin and Site Enhancements (ook bekend als ASE). Die doet veel meer, maar voor nu pakken we alleen het verbergen van de login.
Plugin installeren
Log in op je dashboard via /wp-admin. Ga naar Plugins en dan Nieuwe plugin toevoegen. Zoek op Admin and Site Enhancements, installeer de plugin en klik op de blauwe knop om hem te activeren.
Nieuwe URL instellen
Ga naar Tools en open Enhancements. Zoek de optie voor de inlogpagina en vul je eigen adres in. Kies iets dat alleen jij kent, bijvoorbeeld /hallo123 of de naam van je hond. Hoe minder voor de hand liggend, hoe beter. Sla op.
Testen of het werkt
Log uit en probeer in te loggen via je nieuwe adres. Dat moet werken. Probeer daarna het oude /wp-admin. Krijg je daar geen inlogscherm meer, dan staat het goed.
Let op: noteer je nieuwe adres ergens veilig. Vergeet je het, dan kom je er zelf ook niet meer in zonder hulp.
Maak het meteen goed
Het verbergen van de inlog is een mooie eerste stap, maar geen volledige beveiliging. Pak deze drie er meteen bij:
- Twee-factor authenticatie, zodat een wachtwoord alleen niet genoeg is om binnen te komen.
- Sterke, unieke wachtwoorden, vooral voor je adminaccount. Geen wachtwoord dat je ergens anders ook gebruikt.
- Alles up-to-date houden, dus WordPress zelf, je thema en je plugins. Verouderde software is het makkelijkste gat om misbruik van te maken.
Met deze stappen verklein je de kans op een gehackte site flink. Het kost je een kwartier en bespaart je een hoop ellende achteraf. Twijfel je of je site goed staat, laat het dan een keer nakijken.
