Beveiliging is een onderdeel van een website waar iedereen rekening mee zou moeten houden.
Dit is een van de redenen waarom je ook altijd een back-up van je WordPress website moet maken.
Een van de meest gebruikte aanvallen waarmee een WordPress website te maken mee krijgt is een Brute Force Attack. Dit betekent simpel gezegd dat een hacker je gebruikersnaam en wachtwoord probeert te raden tot hij het goed heeft. Bij WordPress websites wordt met name de gebruikersnaam “Admin” aangevallen.
In de meeste gevallen is dit allemaal voorgeprogrammeerd en hoeft er alleen maar een script aangezet te worden die massaal websites langsgaat en wachtwoorden probeert te raden.
Met de plugin Limit Login Attempts kun je het aantal mislukte inlogpogingen bijhouden en limiteren.
In de video hieronder kun je zien hoe je de plugin kunt instellen en hoe het werkt.
Hieronder volgt meer informatie en tekstuitleg over de plugin.
Niemand weet mijn gebruikersnaam toch?
Een gebruikersnaam op een WordPress website is eenvoudiger te achterhalen dan je wellicht denkt. Er zijn verschillende factoren in WordPress die je gebruikersnaam kunnen onthullen. Het is daarom extra belangrijk dat je een veilig wachtwoord neemt.
Ben je benieuwd of de gebruikersnaam op jouw website makkelijk te achterhalen is? Try me! Neem contact met me op via het contactformulier en we zullen eens zien :-).
Daarnaast maken nog altijd veel te veel mensen gebruik van de gebruikersnaam “Admin”, dit is dan ook de gebruikersnaam waar de meeste Brute Force Attacks op gericht zijn.
Waarom moet je de inlogpogingen limiteren in WordPress?
Wanneer een hacker een Brute Force Attack op jouw website uitvoert, probeert hij oneindig vaak wachtwoorden te raden tot het goede wachtwoord geraden is.
Met de plugin Limit Login Attempts kun je precies instellen hoe vaak iemand mag proberen in te loggen en hoelang hij een ban krijgt na het overschrijden van het limiet.
Limit Login Attempts plugin instellen
Nadat je Limit Login Attempts hebt geïnstalleerd en geactiveerd, zal de plugin automatisch je WordPress website beschermen.
Het is echter verstandig om nog wel even naar de instellingen te kijken. Je kunt naar de instellingen gaan door naar “Instellingen -> Limit Login Attempts” te gaan. Je krijgt vervolgens dit te zien:
Blokkade
Bovenaan krijg je de statistieken van alle blokkades. Aangezien je de plugin net hebt geïnstalleerd zal dit natuurlijk op “Nog geen blokkes actief” staan.
Daaronder kun je instellen hoeveel inlogpogingen je maximaal krijgt en hoeveel minuten het IP adres geblokkeerd wordt na teveel foutieve inlogpogingen.
Vervolgens kun je instellen hoeveel tijd het desbetreffende IP adres geblokkeerd moet worden na 4 blokkades (16 inlogpogingen).
Als laatste in het onderdeel blokkade kun je instellen na hoeveel uur het aantal ondernomen inlogpogingen gereset mag worden. Wanneer je een foute inlogpoging hebt gedaan en binnen 12 uur nog een keer een foute inlogpogingen doet, dan zal dit je tweede foutieve inlogpoging zijn.
Na 12 uur wordt dit aantal weer op nul gezet. Je zou dit kunnen verlagen om gewenste gebruikers iets meer ruimte te geven om een menselijke fout te maken.
Verbinding van deze website
Hier hoef je niets aan te passen, je website is in 99,99% van de gevallen direct te bereiken en anders zou je zelf wel weten dat je dit moet aanpassen.
Omgaan met cookie loginverzoeken
Bij “Omgaan met cookie loginverzoeken” hoef je ook niets te doen, “Ja” is de juiste keuze. Het aantal inlogpogingen is hierdoor ook beperkt wanneer er cookies gebruikt worden.
Waarschuwen in het geval van een blokkade
Tot slot kun je instellen dat je een log te zien krijgt van alle geblokkeerde IP-adressen en hoeveel blokkades deze IP-adressen hebben hebben.
Je kunt tevens instellen dat je een notificatie e-mail krijgt bij een x aantal blokkades. Deze mail ontvangt alleen de beheerder van de website.
Klik op “Instellingen aanpassen” om je instellingen op te slaan.
Log van blokkades
Wanneer je hebt ingesteld om een log bij te houden krijg je zoiets te zien als onderstaande afbeelding. Dit waren aanvallen op mijn website.
Het valt je misschien op dat er met de gebruikersnaam admin is geprobeerd in te loggen.
Admin is natuurlijk niet mijn gebruikersnaam, maar dit is wel het bewijs dat je nooit admin als gebruikersnaam moet nemen.
De gebruikersnaam admin wordt nou eenmaal als eerste aangevallen.
Je WordPress website is weer wat veiliger
Met deze plugin is jouw website alweer een stukje veiliger. Je website geheel waterdicht krijgen is niet mogelijk, maar je maakt het een hacker met deze plugin alweer een stukje lastiger.
19 reacties op “WordPress inlogpogingen limiteren”
He Maikel,
ik heb Admin al gewijzigd met de plugin Hide Login, maar dat helpt niet, er wordt nog net zoveel geprobeerd in te loggen. Zie wel dat het op de ene website altijd wel en een andere website helemaal niet gebeurd. Is er iets anders aan de hand/
Nee, er is niks aan de hand, dit gaat allemaal geautomatiseerd. De ene website heeft er meer last van dan de ander.
toch zie ik in een aantal gevallen bij Limit Login dat er ook geprobeerd is in te loggen met mijn toch wel bijzondere en afwijkende gebruiksnaam.
Hoe komen ze daar dan achter en heeft het zin om dit te veranderen?
Daar zijn verschillende manieren voor. WordPress verbergt dit niet altijd even goed, dus dan kan het opgepikt worden en aangevallen.
Zolang je de aanvallen limiteert en je hebt een sterk wachtwoord, dan is de kans heel erg klein dat ze erdoorheen komen.
he Maikel,
dank voor de informatie
Kan akismet niet hetzelfde probleem geven? Kan voor 9 uur niet meer inloggen. Als ik via cpanel de plugin verwijder zal mijn wp site dan crashen?
Nee, akismet is een anti-spam plugin en staat hier compleet los van en zal dit nooit kunnen veroorzaken. Een plugin verwijderen kan altijd zonder dat je website op tilt gaat.
Ik heb mijn eigen ip adres geblokkeerd. door verkeerd gebruik van het aanmaken van een formulier om aan te melden. Hoe los ik dit op=
Je kunt de plugin deactiveren (via ftp door de mapnaam van de plugin aan te passen). Vervolgens kun je weer inloggen.
Hoi, ik gebruik deze plugin ook.
Ik krijg dagelijks mailtjes dat is aangevallen wordt, nu heb ik via ftp mijn .htacces bestand ook zo ingesteld dat er vanaf slechts 1 ip adres de inlogpagina te benaderen is….
Dit is 7 dagen goed gegaan, nu wederom aanvallen….wel 50x per dag op verschillende ip adressen..
Hoe kan dit ?
Ik kan vanaf een willekeurige computer op mijn werk of bij familie niet op de inlogpagina komen omdat deze ip adressen niet zijn toegekend, waarom lukt het de hackers dan wel om mijn inlogpagina te benaderen ?
Limit login attempts werkt naar behoren aangezien ik elke aanval voor 9999 uur uitsluit..
Daarom toch wel aan te raden…..;)
Heb jij misschien tips hoe of wat ?
Greetz,
Dennis
WordPress heeft meerdere manier om in te loggen, zoals ook via xmlrpc. Ik weet echter niet zeker of limit login attempts dit ook blokkeert. Andere plugins kunnen soms ook voor extra manieren zorgen om in te loggen. Dit zouden in elk geval de oorzaken kunnen zijn.
Je zou inloggen via xmlrpc ook kunnen uitschakelen (indien je hier zelf geen gebruik van maakt) en kijken of dit het probleem oplost.
Hoi,
Bedankt voor je reactie..
Ik heb inmiddels xmlrpc.php ook in het htaccess bestand geblokkeerd.
Ben inmiddels 24uur vrij van aanvallen 😉
Voor diegene die de code ook willen toevoegen aan hun htaccess bestand, hierbij de code..
Order Allow,Deny
deny from all
Dit is de code..
Order Allow,Deny
deny from all
Op de 1 of andere manier blijft de code niet zoals ik hem heb getypt ??
Goed om te horen dat je geen aanvallen meer hebt.
Klopt, codes komen er over het algemeen niet zomaar doorheen, omdat er anders misbruik gemaakt kan worden van de reacties in WordPress om binnen te dringen.
Wat kan je doen als je 24 uur geblokt bent?
De eenvoudigste methode om toch weer je website in te komen is door de plugin te verwijderen via FTP. Je kunt de plugin vervolgens op een later tijdstip weer installeren.
Wanneer je bekend bent met MySQL kun je eventueel de kolom limit_login_lockouts verwijderen in wp_options.
Volgens mij is het standaard verwerkt in de nieuwe versie van wp, want ik kan me niet herinneren de pulgin te hebben geinstalleerd, maar ik zal even chekken..
Yes! het werkt.. zo simpel ook
Fijn om te horen dat het gelukt is.