WordPress inlogpogingen limiteren

Beveiliging is een onderdeel van een website waar iedereen rekening mee zou moeten houden.

Dit is een van de redenen waarom je ook altijd een back-up van je WordPress website moet maken.

Een van de meest gebruikte aanvallen waarmee een WordPress website te maken mee krijgt is een Brute Force Attack. Dit betekent simpel gezegd dat een hacker je gebruikersnaam en wachtwoord probeert te raden tot hij het goed heeft. Bij WordPress websites wordt met name de gebruikersnaam “Admin” aangevallen.

In de meeste gevallen is dit allemaal voorgeprogrammeerd en hoeft er alleen maar een script aangezet te worden die massaal websites langsgaat en wachtwoorden probeert te raden.

Met de plugin Limit Login Attempts kun je het aantal mislukte inlogpogingen bijhouden en limiteren.

In de video hieronder kun je zien hoe je de plugin kunt instellen en hoe het werkt.

Abonneer je op mijn YouTube kanaal

Hieronder volgt meer informatie en tekstuitleg over de plugin.

Niemand weet mijn gebruikersnaam toch?

Een gebruikersnaam op een WordPress website is eenvoudiger te achterhalen dan je wellicht denkt. Er zijn verschillende factoren in WordPress die je gebruikersnaam kunnen onthullen. Het is daarom extra belangrijk dat je een veilig wachtwoord neemt.

Ben je benieuwd of de gebruikersnaam op jouw website makkelijk te achterhalen is? Try me! Neem contact met me op via het contactformulier en we zullen eens zien :-).

Daarnaast maken nog altijd veel te veel mensen gebruik van de gebruikersnaam “Admin”, dit is dan ook de gebruikersnaam waar de meeste Brute Force Attacks op gericht zijn.

Waarom moet je de inlogpogingen limiteren in WordPress?

Wanneer een hacker een Brute Force Attack op jouw website uitvoert, probeert hij oneindig vaak wachtwoorden te raden tot het goede wachtwoord geraden is.

Met de plugin Limit Login Attempts kun je precies instellen hoe vaak iemand mag proberen in te loggen en hoelang hij een ban krijgt na het overschrijden van het limiet.

Limit Login Attempts plugin instellen

Nadat je Limit Login Attempts hebt geïnstalleerd en geactiveerd, zal de plugin automatisch je WordPress website beschermen.

Het is echter verstandig om nog wel even naar de instellingen te kijken. Je kunt naar de instellingen gaan door naar “Instellingen -> Limit Login Attempts” te gaan. Je krijgt vervolgens dit te zien:
Inlogpogingen limiteren

Blokkade

Bovenaan krijg je de statistieken van alle blokkades. Aangezien je de plugin net hebt geïnstalleerd zal dit natuurlijk op “Nog geen blokkes actief” staan.

Daaronder kun je instellen hoeveel inlogpogingen je maximaal krijgt en hoeveel minuten het IP adres geblokkeerd wordt na teveel foutieve inlogpogingen.

Vervolgens kun je instellen hoeveel tijd het desbetreffende IP adres geblokkeerd moet worden na 4 blokkades (16 inlogpogingen).

Als laatste in het onderdeel blokkade kun je instellen na hoeveel uur het aantal ondernomen inlogpogingen gereset mag worden. Wanneer je een foute inlogpoging hebt gedaan en binnen 12 uur nog een keer een foute inlogpogingen doet, dan zal dit je tweede foutieve inlogpoging zijn.

Na 12 uur wordt dit aantal weer op nul gezet. Je zou dit kunnen verlagen om gewenste gebruikers iets meer ruimte te geven om een menselijke fout te maken.

Verbinding van deze website

Hier hoef je niets aan te passen, je website is in 99,99% van de gevallen direct te bereiken en anders zou je zelf wel weten dat je dit moet aanpassen.

Omgaan met cookie loginverzoeken

Bij “Omgaan met cookie loginverzoeken” hoef je ook niets te doen, “Ja” is de juiste keuze. Het aantal inlogpogingen is hierdoor ook beperkt wanneer er cookies gebruikt worden.

Waarschuwen in het geval van een blokkade

Tot slot kun je instellen dat je een log te zien krijgt van alle geblokkeerde IP-adressen en hoeveel blokkades deze IP-adressen hebben hebben.

Je kunt tevens instellen dat je een notificatie e-mail krijgt bij een x aantal blokkades. Deze mail ontvangt alleen de beheerder van de website.

Klik op “Instellingen aanpassen” om je instellingen op te slaan.

Log van blokkades

Wanneer je hebt ingesteld om een log bij te houden krijg je zoiets te zien als onderstaande afbeelding. Dit waren aanvallen op mijn website.
Log van blokkades

Het valt je misschien op dat er met de gebruikersnaam admin is geprobeerd in te loggen.

Admin is natuurlijk niet mijn gebruikersnaam, maar dit is wel het bewijs dat je nooit admin als gebruikersnaam moet nemen.

De gebruikersnaam admin wordt nou eenmaal als eerste aangevallen.

Je WordPress website is weer wat veiliger

Met deze plugin is jouw website alweer een stukje veiliger. Je website geheel waterdicht krijgen is niet mogelijk, maar je maakt het een hacker met deze plugin alweer een stukje lastiger.

14 reacties Voeg ook een reactie toe

  1. Kan akismet niet hetzelfde probleem geven? Kan voor 9 uur niet meer inloggen. Als ik via cpanel de plugin verwijder zal mijn wp site dan crashen?

  2. Ik heb mijn eigen ip adres geblokkeerd. door verkeerd gebruik van het aanmaken van een formulier om aan te melden. Hoe los ik dit op=

  3. Hoi, ik gebruik deze plugin ook.
    Ik krijg dagelijks mailtjes dat is aangevallen wordt, nu heb ik via ftp mijn .htacces bestand ook zo ingesteld dat er vanaf slechts 1 ip adres de inlogpagina te benaderen is….
    Dit is 7 dagen goed gegaan, nu wederom aanvallen….wel 50x per dag op verschillende ip adressen..

    Hoe kan dit ?
    Ik kan vanaf een willekeurige computer op mijn werk of bij familie niet op de inlogpagina komen omdat deze ip adressen niet zijn toegekend, waarom lukt het de hackers dan wel om mijn inlogpagina te benaderen ?

    Limit login attempts werkt naar behoren aangezien ik elke aanval voor 9999 uur uitsluit..
    Daarom toch wel aan te raden…..;)

    Heb jij misschien tips hoe of wat ?

    Greetz,
    Dennis

    • WordPress heeft meerdere manier om in te loggen, zoals ook via xmlrpc. Ik weet echter niet zeker of limit login attempts dit ook blokkeert. Andere plugins kunnen soms ook voor extra manieren zorgen om in te loggen. Dit zouden in elk geval de oorzaken kunnen zijn.

      Je zou inloggen via xmlrpc ook kunnen uitschakelen (indien je hier zelf geen gebruik van maakt) en kijken of dit het probleem oplost.

      • Hoi,
        Bedankt voor je reactie..

        Ik heb inmiddels xmlrpc.php ook in het htaccess bestand geblokkeerd.
        Ben inmiddels 24uur vrij van aanvallen 😉
        Voor diegene die de code ook willen toevoegen aan hun htaccess bestand, hierbij de code..

        Order Allow,Deny
        deny from all

        • Goed om te horen dat je geen aanvallen meer hebt.

          Klopt, codes komen er over het algemeen niet zomaar doorheen, omdat er anders misbruik gemaakt kan worden van de reacties in WordPress om binnen te dringen.

Geef een reactie