Inloggen
Join Ons
Home / WordPress / Hoe bescherm jij je WordPress beheerdersgedeelte

Hoe bescherm jij je WordPress beheerdersgedeelte

Maikel van de Weerd

Hoe bescherm jij je WordPress beheerdersgedeelte

Het beschermen van het WordPress beheerdersgedeelte en de loginpagina is belangrijk.

Hackers kunnen je website aanvallen met bepaalde script, maar ook jij kan een beveiligingsrisico zijn voor je eigen website.

Het draait er allemaal om dat alles correct is ingesteld en je niet zomaar iedereen laat registreren en dergelijke. Gelukkig bescherm jij je WordPress beheerdersgedeelte vrij eenvoudig met een aantal simpele tips die in dit artikel volgen.

Kies voor sterke inloggegevens

Sterke inloggegevens zijn ontzettend belangrijk en dit is niet alleen voor je eigen website, maar ook je inloggegevens op andere websites.

Je moet ervoor zorgen dat je een goede gebruikersnaam kiest (geen admin). Heb je toch voor de gebruikersnaam admin gekozen bij de installatie van WordPress? In het artikel “Gebruikersnaam Admin verwijderen in WordPress” kun je lezen hoe je dit kunt aanpassen.

Verder moet je zorgen dat het wachtwoord lang is en allerlei verschillende karakters, nummer en symbolen heeft. Korte wachtwoorden zijn nou eenmaal makkelijker te kraken. Zeker als het normale woorden zijn. Gebruik verder ook niet altijd voor alle websites hetzelfde wachtwoord, dit is zeer onverstandig.

Daarnaast zijn niet alleen jouw inloggegevens belangrijk. De inloggegevens van andere beheerdersaccounts op jouw WordPress-website zijn net zo belangrijk. Zorg dus dat iedereen een sterk wachtwoord heeft.

Tip: Om een sterke wachtwoord te genereren hoef je overigens helemaal niet veel moeite te doen. Login op je website en ga naar “Gebruikers -> Je profiel”. Bij het kopje Gebruikersbeheer zie je een knop “Wachtwoord genereren”, waar WordPress voor jou een sterk wachtwoord maakt.

Maak gebruik van authenticatie in twee stappen

Authenticatie in twee stappen, ook wel Two Factor Authentication (2FA) genoemd, is een methode om je account extra te beschermen. Naast je gebruikersnaam en wachtwoord krijg je namelijk een extra unieke code of token via je smartphone.

Wanneer iemand dus je inloggegevens bemachtigd, zal hij of zij alsnog een extra code nodig hebben om echt in te kunnen inloggen.

Voor WordPress zijn er allerlei verschillende plugins die je kunnen helpen met authenticatie in twee stappen. Zo kun je gebruik maken van plugins als Google Authenticator, Keyy of een andere plugin.

Limiteer de inlogpogingen

Met brute force attacks wordt er een poging gedaan om je inloggegevens te achterhalen door allerlei combinaties automatisch uit te voeren en te testen. Het is een populaire methode om een website binnen te dringen. Het is daarom verstandig om de inlogpogingen die gedaan mogen worden te limiteren.

Er zijn diverse plugins beschikbaar die je hiermee van dienst kunnen zijn. Het is zelfs zo dat er hostingproviders zijn die al maatregelen hebben genomen en een extra scherm tussen de inlogscherm zet om automatische scripts te weten.

Wanneer je met een plugin de inlogpogingen wilt limiteren, kun je kijken naar plugins als Login Lockdown.

WordPress inlogpagina verbergen

Een mogelijkheid die je ook nog hebt, is de inlogpagina van je WordPress-website te verbergen voor de buitenwereld. Wel kan het soms voor conflicten zorgen met sommige plugins, waardoor het een twijfel tussen gebruiksgemak en veiligheid kan zijn.

Het voordeel van de slug aanpassen van de inlogpagina is gewoonweg dat de scripts niet zoeken naar deze pagina, deze zijn puur gericht op wp-login.php.

Een plugin die je zou kunnen gebruiken om de slug van de inlogpagina van WordPress te veranderen is WPS Hide Login. Wel moet je natuurlijk onthouden waar je het in aanpast.

Bepaal de gebruikersrol per gebruiker

Te vaak zie ik dat mensen voor andere mensen die aan de website mogen werken de gebruikersrol Beheerder hebben. Elke beheerder is in principe een extra gevaar voor je website, want deze gebruiker kan echt overal bij.

Schrijft er iemand voor je website? Geef deze dan de rol Schrijver of Redacteur. De schrijver kan dan nog steeds overal bij waar hij of zij bij zou moeten kunnen.

Wil je nog een stapje verder, dan kun je met een plugin als User Role Editor de gebruikersrollen nog verder customizen. Je kunt met deze plugin namelijk alle gebruikersopties helemaal naar wens aanpassen.

Verder is het natuurlijk ook handig om gebruikers die niet meer actief zijn te verwijderen van je website. Indien je meer informatie wilt over het geven van de juiste gebruikersrol, kun je het artikel “Geef altijd de juiste gebruikersrol in WordPress” lezen.

Conclusie

Wanneer het gaat om de veiligheid van je website zijn er een hoop dingen waar je aan kunt denken. Een eenvoudig onderdeel is de controle houden over wie er ‘binnen’ mag komen op je website.

Geef je hier totaal geen aandacht aan, dan moet je niet raar kijken als het een keer fout gaat en dit gevolgen heeft voor je website.

In dit artikel heb ik je een aantal tips gegeven waar je over na zou kunnen denken. Het is aan jou de keuze of je hier iets mee doet of niet.

WordPress Hulp Nodig? Join Het WP Lab

Het WordPress Lab Mockup

Heb je vragen aan de hand van dit artikel of wil je verder op weg geholpen worden met je website?

Sluit je aan bij Het WordPress lab, een community voor WordPress-liefhebbers waarin ik antwoord geef op jouw WordPress vragen en je toegang krijgt tot al mijn WordPress cursussen.

Ja, ik doe mee. We doen dit samen!
«
»

6 reacties op “Hoe bescherm jij je WordPress beheerdersgedeelte”

  1. Paul de Jong avatar
    Paul de Jong

    Zelf merk ik dat ik vaak wordt aangevallen via diverse ip adressen. Vaak uit verre landen. Mijn plug-in: Limit Login Attempts Reloaded Plugin. Deze geeft dan een melding. Is er niet een methode of plug-in die regelt dat er alleen vanaf bepaalde IP-adressen mag worden ingelogd? Bijv alleen uit NL.

    1. Maikel van de Weerd avatar
      Maikel van de Weerd

      Je kunt altijd een bepaalde ip-range op de blacklist zetten. Op die manier kun je landen uitsluiten in de plugin.

  2. maryse avatar
    maryse

    Hallo Maikel,
    weer een heel interessant artikel. Helaas lukt het mij niet om mijn wachtwoord van mijn WP website te veranderen. Ik begrijp niet waarom de site het precies niet ‘oppikt’. Ik geef een nieuw wachtwoord in, het krijgt een groene kleur en melding sterk, ik klik op knop ‘profiel bijwerken’ en vervolgens log ik uit. Als ik weer inloggen wil, werkt enkel mijn oude wachtwoord. Niet het nieuwe. Hoe kan dat nu?
    vriendelijke groeten
    Maryse

    1. Maikel van de Weerd avatar
      Maikel van de Weerd

      Dat is vreemd en heb ik eerlijk gezegd nog nooit eerder gehoord. Ik durf helaas niet 1, 2, 3 te zeggen waar het aan ligt.

  3. Madelon Revermann avatar
    Madelon Revermann

    Dag Maikel,

    Dank je wel voor de info, .
    Op mijn website staat dat je de gebruikersnaam (admin) niet kunt veranderen.
    Wat nu?

    + hartelijke groet,

    Madelon

    1. Maikel van de Weerd avatar
      Maikel van de Weerd

      Ik heb het artikel even bijgewerkt. Hoe je dit kunt doen kun je lezen in het volgende artikel: Gebruikersnaam admin verwijderen in WordPress.