Home / WordPress / WordPress inlogpogingen limiteren

WordPress inlogpogingen limiteren

Inlogpogingen limiteren in WordPress

Beveiliging is een onderdeel van een website waar iedereen rekening mee zou moeten houden.

Dit is een van de redenen waarom je ook altijd een back-up van je WordPress website moet maken.

Een van de meest gebruikte aanvallen waarmee een WordPress website te maken mee krijgt is een Brute Force Attack. Dit betekent simpel gezegd dat een hacker je gebruikersnaam en wachtwoord probeert te raden tot hij het goed heeft. Bij WordPress websites wordt met name de gebruikersnaam “Admin” aangevallen.

In de meeste gevallen is dit allemaal voorgeprogrammeerd en hoeft er alleen maar een script aangezet te worden die massaal websites langsgaat en wachtwoorden probeert te raden.

Met de plugin Limit Login Attempts kun je het aantal mislukte inlogpogingen bijhouden en limiteren.

In de video hieronder kun je zien hoe je de plugin kunt instellen en hoe het werkt.

Abonneer je op mijn YouTube kanaal

Hieronder volgt meer informatie en tekstuitleg over de plugin.

Niemand weet mijn gebruikersnaam toch?

Een gebruikersnaam op een WordPress website is eenvoudiger te achterhalen dan je wellicht denkt. Er zijn verschillende factoren in WordPress die je gebruikersnaam kunnen onthullen. Het is daarom extra belangrijk dat je een veilig wachtwoord neemt.

Ben je benieuwd of de gebruikersnaam op jouw website makkelijk te achterhalen is? Try me! Neem contact met me op via het contactformulier en we zullen eens zien :-).

Daarnaast maken nog altijd veel te veel mensen gebruik van de gebruikersnaam “Admin”, dit is dan ook de gebruikersnaam waar de meeste Brute Force Attacks op gericht zijn.

Waarom moet je de inlogpogingen limiteren in WordPress?

Wanneer een hacker een Brute Force Attack op jouw website uitvoert, probeert hij oneindig vaak wachtwoorden te raden tot het goede wachtwoord geraden is.

Met de plugin Limit Login Attempts kun je precies instellen hoe vaak iemand mag proberen in te loggen en hoelang hij een ban krijgt na het overschrijden van het limiet.

Limit Login Attempts plugin instellen

Nadat je Limit Login Attempts hebt geïnstalleerd en geactiveerd, zal de plugin automatisch je WordPress website beschermen.

Het is echter verstandig om nog wel even naar de instellingen te kijken. Je kunt naar de instellingen gaan door naar “Instellingen -> Limit Login Attempts” te gaan. Je krijgt vervolgens dit te zien:
Inlogpogingen limiteren

Blokkade

Bovenaan krijg je de statistieken van alle blokkades. Aangezien je de plugin net hebt geïnstalleerd zal dit natuurlijk op “Nog geen blokkes actief” staan.

Daaronder kun je instellen hoeveel inlogpogingen je maximaal krijgt en hoeveel minuten het IP adres geblokkeerd wordt na teveel foutieve inlogpogingen.

Vervolgens kun je instellen hoeveel tijd het desbetreffende IP adres geblokkeerd moet worden na 4 blokkades (16 inlogpogingen).

Als laatste in het onderdeel blokkade kun je instellen na hoeveel uur het aantal ondernomen inlogpogingen gereset mag worden. Wanneer je een foute inlogpoging hebt gedaan en binnen 12 uur nog een keer een foute inlogpogingen doet, dan zal dit je tweede foutieve inlogpoging zijn.

Na 12 uur wordt dit aantal weer op nul gezet. Je zou dit kunnen verlagen om gewenste gebruikers iets meer ruimte te geven om een menselijke fout te maken.

Verbinding van deze website

Hier hoef je niets aan te passen, je website is in 99,99% van de gevallen direct te bereiken en anders zou je zelf wel weten dat je dit moet aanpassen.

Omgaan met cookie loginverzoeken

Bij “Omgaan met cookie loginverzoeken” hoef je ook niets te doen, “Ja” is de juiste keuze. Het aantal inlogpogingen is hierdoor ook beperkt wanneer er cookies gebruikt worden.

Waarschuwen in het geval van een blokkade

Tot slot kun je instellen dat je een log te zien krijgt van alle geblokkeerde IP-adressen en hoeveel blokkades deze IP-adressen hebben hebben.

Je kunt tevens instellen dat je een notificatie e-mail krijgt bij een x aantal blokkades. Deze mail ontvangt alleen de beheerder van de website.

Klik op “Instellingen aanpassen” om je instellingen op te slaan.

Log van blokkades

Wanneer je hebt ingesteld om een log bij te houden krijg je zoiets te zien als onderstaande afbeelding. Dit waren aanvallen op mijn website.
Log van blokkades

Het valt je misschien op dat er met de gebruikersnaam admin is geprobeerd in te loggen.

Admin is natuurlijk niet mijn gebruikersnaam, maar dit is wel het bewijs dat je nooit admin als gebruikersnaam moet nemen.

De gebruikersnaam admin wordt nou eenmaal als eerste aangevallen.

Je WordPress website is weer wat veiliger

Met deze plugin is jouw website alweer een stukje veiliger. Je website geheel waterdicht krijgen is niet mogelijk, maar je maakt het een hacker met deze plugin alweer een stukje lastiger.


WordPress Hulp Nodig? Join Het WP Lab

Het WordPress Lab Mockup

Heb je vragen aan de hand van dit artikel of wil je verder op weg geholpen worden met je website?

Sluit je aan bij Het WordPress lab, een community voor WordPress-liefhebbers waarin ik antwoord geef op jouw WordPress vragen en je toegang krijgt tot al mijn WordPress cursussen.

«
»

19 reacties op “WordPress inlogpogingen limiteren”

  1. Auke Feenstra avatar

    He Maikel,

    ik heb Admin al gewijzigd met de plugin Hide Login, maar dat helpt niet, er wordt nog net zoveel geprobeerd in te loggen. Zie wel dat het op de ene website altijd wel en een andere website helemaal niet gebeurd. Is er iets anders aan de hand/

    1. Maikel van de Weerd avatar

      Nee, er is niks aan de hand, dit gaat allemaal geautomatiseerd. De ene website heeft er meer last van dan de ander.

      1. Auke Feenstra avatar

        toch zie ik in een aantal gevallen bij Limit Login dat er ook geprobeerd is in te loggen met mijn toch wel bijzondere en afwijkende gebruiksnaam.
        Hoe komen ze daar dan achter en heeft het zin om dit te veranderen?

      2. Maikel van de Weerd avatar

        Daar zijn verschillende manieren voor. WordPress verbergt dit niet altijd even goed, dus dan kan het opgepikt worden en aangevallen.

        Zolang je de aanvallen limiteert en je hebt een sterk wachtwoord, dan is de kans heel erg klein dat ze erdoorheen komen.

        1. Auke Feenstra avatar
          Auke Feenstra

          he Maikel,
          dank voor de informatie

  2. Niel Sagaert avatar
    Niel Sagaert

    Kan akismet niet hetzelfde probleem geven? Kan voor 9 uur niet meer inloggen. Als ik via cpanel de plugin verwijder zal mijn wp site dan crashen?

    1. Maikel van de Weerd avatar

      Nee, akismet is een anti-spam plugin en staat hier compleet los van en zal dit nooit kunnen veroorzaken. Een plugin verwijderen kan altijd zonder dat je website op tilt gaat.

  3. els avatar

    Ik heb mijn eigen ip adres geblokkeerd. door verkeerd gebruik van het aanmaken van een formulier om aan te melden. Hoe los ik dit op=

    1. Maikel van de Weerd avatar

      Je kunt de plugin deactiveren (via ftp door de mapnaam van de plugin aan te passen). Vervolgens kun je weer inloggen.

  4. dennis avatar

    Hoi, ik gebruik deze plugin ook.
    Ik krijg dagelijks mailtjes dat is aangevallen wordt, nu heb ik via ftp mijn .htacces bestand ook zo ingesteld dat er vanaf slechts 1 ip adres de inlogpagina te benaderen is….
    Dit is 7 dagen goed gegaan, nu wederom aanvallen….wel 50x per dag op verschillende ip adressen..

    Hoe kan dit ?
    Ik kan vanaf een willekeurige computer op mijn werk of bij familie niet op de inlogpagina komen omdat deze ip adressen niet zijn toegekend, waarom lukt het de hackers dan wel om mijn inlogpagina te benaderen ?

    Limit login attempts werkt naar behoren aangezien ik elke aanval voor 9999 uur uitsluit..
    Daarom toch wel aan te raden…..;)

    Heb jij misschien tips hoe of wat ?

    Greetz,
    Dennis

    1. Maikel van de Weerd avatar

      WordPress heeft meerdere manier om in te loggen, zoals ook via xmlrpc. Ik weet echter niet zeker of limit login attempts dit ook blokkeert. Andere plugins kunnen soms ook voor extra manieren zorgen om in te loggen. Dit zouden in elk geval de oorzaken kunnen zijn.

      Je zou inloggen via xmlrpc ook kunnen uitschakelen (indien je hier zelf geen gebruik van maakt) en kijken of dit het probleem oplost.

      1. Dennis avatar

        Hoi,
        Bedankt voor je reactie..

        Ik heb inmiddels xmlrpc.php ook in het htaccess bestand geblokkeerd.
        Ben inmiddels 24uur vrij van aanvallen 😉
        Voor diegene die de code ook willen toevoegen aan hun htaccess bestand, hierbij de code..

        Order Allow,Deny
        deny from all

      2. Dennis avatar

        Dit is de code..

        Order Allow,Deny
        deny from all

        Op de 1 of andere manier blijft de code niet zoals ik hem heb getypt ??

        1. Maikel van de Weerd avatar

          Goed om te horen dat je geen aanvallen meer hebt.

          Klopt, codes komen er over het algemeen niet zomaar doorheen, omdat er anders misbruik gemaakt kan worden van de reacties in WordPress om binnen te dringen.

  5. Armando Ello avatar

    Wat kan je doen als je 24 uur geblokt bent?

    1. Maikel van de Weerd avatar

      De eenvoudigste methode om toch weer je website in te komen is door de plugin te verwijderen via FTP. Je kunt de plugin vervolgens op een later tijdstip weer installeren.

      Wanneer je bekend bent met MySQL kun je eventueel de kolom limit_login_lockouts verwijderen in wp_options.

      1. Armando Ello avatar

        Volgens mij is het standaard verwerkt in de nieuwe versie van wp, want ik kan me niet herinneren de pulgin te hebben geinstalleerd, maar ik zal even chekken..

        1. Armando Ello avatar

          Yes! het werkt.. zo simpel ook

          1. Maikel van de Weerd avatar

            Fijn om te horen dat het gelukt is.