18.09.22
bijgewerkt 27.10.23
Tobias Schüring
0 commentaren
Inhoudsopgave
Hide WordPress Admin

Verberg WP Admin: Hoe effectief zijn WPS Hide Login & Co. echt?

Bijna iedereen weet hoe je standaard de inlogbarrière voor het beheerdersgedeelte van WordPress kunt bereiken. Omdat meer dan 34 procent van alle websites op WordPress draait, is het voor hackers gemakkelijk om de inloggebieden van deze websites te vinden en aan te vallen. Dit is precies de reden waarom dergelijke aanvallen, zoals brute force aanvallen, tot de meest voorkomende aanvallen op WordPress websites behoren. Het verbergen van het WP admingebied lijkt een eenvoudige beschermingsmaatregel. Vandaag laat ik je zien hoe handig deze techniek is en hoe je deze kunt implementeren met plugins zoals WPS Hide Login.

Brute force aanvallen zijn waarschijnlijk het meest voorkomende type aanval op WordPress websites. Alleen al de beveiligingsprovider Wordfence heeft in sommige maanden van 2017 bijna 1 miljard van dit soort aanvallen gemeten - het aantal niet gerapporteerde gevallen niet meegerekend. Om het beveiligingsrisico van brute force aanvallen te beperken, is het in principe zinvol om inlogpogingen te beperken na te veel mislukte pogingen. Daarnaast gebruiken veel WordPress webmasters een andere methode: ze verplaatsen het WP admin gebied zodat het niet meer te vinden is onder het achtervoegsel wp-admin.

Veel beveiligingsplugins bieden ook een overeenkomstige functie. Wie dat durft, kan ook het .htaccess bestand gebruiken. Maar het verbergen van het WP admingebied alleen is geen echt goede beveiligingsmaatregel. Het kan echter wel een nuttige aanvulling zijn.

WP admin verbergen: wat heeft het voor zin?

Achter het idee om het beheergebied van WP te verbergen zit het principe van beveiliging door onduidelijkheid - het idee dat de beveiliging van een systeem sterker is zolang de functionaliteit ervan geheim blijft. Of met andere woorden: als de aanvaller niet weet waar je voordeur is, kan hij wel rondsluipen in je huis, maar niet inbreken.

Security through obscurity – een tandeloze tijger in de praktijk

Deze aanpak wordt onder deskundigen omstreden besproken – en niet zonder reden. In dit geval betekent het feit dat informatie beveiligd is niet dat ze helemaal niet meer toegankelijk is. Het is er wel – maar het is verborgen. Maar met de juiste tools kunnen hackers nog steeds je inlogpagina vinden als ze dat willen.

En dit is waar het echte probleem met security through obscurity om de hoek komt kijken: de aanpak wordt vaak gebruikt om problemen te verbergen die eigenlijk helemaal geëlimineerd zouden moeten worden. Als je adminnaam admin is en je wachtwoord123!, dan is de hacker in een mum van tijd in je backend als hij je verborgen inlogpagina heeft gevonden.

Kortom, een verborgen admingebied weerhoudt aanvallers er niet van om aan te vallen, maar vergroot alleen de tijd die nodig is om de aanval uit te voeren. Helaas is het echter onmogelijk om volledig te verbergen dat je projecten WordPress websites zijn. Het verbergen van de WP admin moet dus zeker niet je enige beveiligingsmaatregel zijn. Wie het op jou gemunt heeft zal niet kunnen ontsnappen.

Het concept van security through obscurity is daarom idealiter een van de vele lagen van je beveiligingsconcept. Limit Login Attempts (LLA), een sterk wachtwoord inclusief twee-factor authenticatie en – als je er uiteindelijk een gebruikt – een netjes geconfigureerde beveiligingsplugin zijn een verstandige mix. Het verbergen van het beheerdersgedeelte is slechts de kers op de taart.

In sommige gevallen is het nog steeds zinvol om de WP admin te verbergen

Er zijn situaties waarin het zinvol kan zijn om de WP admin te verbergen:

  • Het verbergen van de WP-admin heeft een sterke invloed op de waargenomen veiligheid van een WordPress website. Vooral als je in opdracht van een klant werkt, is een verborgen WP-admin zinvol om de veiligheidsbeleving van je klant te maximaliseren.
  • Als hackers een brute force aanval op je website uitvoeren, kan je webserver "oververhit" raken door het grote aantal verzoeken. Als je het beheerdersgedeelte verplaatst, neem je in ieder geval meteen vanaf het begin de wind uit de zeilen van primitieve brute force aanvallen.
  • Je kunt sommige klanten positief verrassen door het admingebied te verbergen, bijvoorbeeld door het te verplaatsen naar /NameOfYourCompany. Zo kun je een klein maar subtiel branding effect creëren.

Zoals je kunt zien, zijn deze maatregelen meer van cosmetische aard. Maar zelfs een hogere waargenomen veiligheid kan soms helpen. Daarom laat ik je hieronder zien hoe je je WP admin kunt beveiligen met en zonder plugins.

Verberg WP Admin met Plugins

Met goede beveiligingsplugins kun je ook het admingebied en de precieze aard van je website verbergen, naast vele andere functies. Zoals gezegd bekijk ik dit kritisch: het installeren van een omvangrijke plugin alleen om een URL te veranderen lost niet in één klap al je problemen op. Pas na een grondig onderzoek kun je beslissen welke beveiligingsmaatregelen zinvol zijn voor jouw project.

Wat betreft plugins heb je echter in principe twee opties:

  • Kleine plugins alleen ontworpen voor het verbergen van het inloggedeelte
  • Plugins die het verbergen van het inloggedeelte omvatten, maar veel meer kunnen

Uitgebreide beveiligingsplugins zijn omslachtiger door hun uitgebreide functionaliteit. Daarom hebben ze alleen zin als je weet wat je ermee wilt bereiken: bijvoorbeeld het blokkeren van specifieke IP's, het gebruik van de web application firewall (WAF) of het profiteren van de reporting van de plugins.

Een grote plugin installeren alleen maar om het admingebied te verbergen is overkill. Je laadsnelheid lijdt eronder en het komt erop neer dat je weinig toegevoegde waarde hebt. En het is geen vervanging voor het omgaan met veiligheidsfeatures.

Het admingebied verbergen met een plugin is daarom alleen aan te raden als je het kunt gebruiken zonder groot verlies van prestaties of functionaliteit – als een nice to have, zeg maar. Een grote plugin als iThemes Security of Wordfence zou ik speciaal voor dit doel niet aanraden om te installeren.

In plaats daarvan zijn hier twee slankere alternatieven om je admingebied te verbergen:

WPS Hide Login

Hide WP Admin Plugin WPS Hide Login
Bijvoorbeeld, de WP admin kan verborgen worden met de WPS Hide Login Plugin .

De gratis plugin WPS Hide Login doet precies één ding: het verandert de twee URL's /wp-admin en /wp-login.php in adressen die jij opgeeft. Dit voegt een hindernis toe voor hackers en maakt je website een beetje veiliger. Met meer dan een miljoen actieve installaties en een gemiddelde beoordeling van 4,9 sterren (met meer dan 2.000 reviews!) heeft de plugin zich in de praktijk bewezen.

WP Hide & Security Enhancer

Hide WP Admin Plugin WP Hide Security Enhancer
Een ander alternatief is de iets omvangrijkere Plugin WP Hide Security Enhancer.

Deze gratis plugin verbergt het feit dat je website op WordPress draait. Of dat in principe zin heeft valt nog te bezien (met een tool als BuiltWith kan het snel weer aan het licht worden gebracht), maar tegelijkertijd verandert het de URL's /wp-admin en /wp-login.php in een willekeurige andere URL. Meer dan 80.000 webmasters gebruiken de plugin momenteel, en de gemiddelde waardering is 4,3 sterren.

Wees niet bang voor slechte code: beveiligen met .htaccess

Als je wilt verbergen dat je website een WordPress installatie is, kun je dit doen via plugins zoals WPS Hide Login. Of je kunt het .htaccess bestand direct aanpakken. Dit is een van de belangrijkste bestanden voor WordPress installaties die op Apache servers draaien. Het .htaccess definieert bijvoorbeeld welke bestanden en mappen van je website zichtbaar zijn en wie toegang heeft tot wat.

.htaccess en Raidboxes

Raidboxes Websites draaien niet op Apache servers, dus de .htaccess heeft geen invloed op de webserver. Als je je WordPress hosting hebt ondergebracht bij Raidboxes , kun je onze inlogbeveiliging gebruiken.

Met kleine wijzigingen in dit bestand kun je je website een extra beveiligingslaag geven. Concreet voeg je individuele code snippets toe die de toegang tot wp-config.php beperken of bepaalde IP's blokkeren. Ik raad je aan om altijd een back-up van dit bestand te maken voordat je wijzigingen aanbrengt – als er iets fout gaat, kun je dan snel en gemakkelijk terug naar de oorspronkelijke staat. En met .htaccess kan zelfs een klein foutje in de code genoeg zijn om je website lam te leggen.

Variant 1: Alleen bepaalde IP's toestaan

In principe kan elke directory worden beschermd met een .htaccess – in dit geval wil je specifiek het admin-gedeelte beschermen. Daarom upload je een nieuwe .htaccess in de wp-admin directory. Als je in plaats daarvan in de hoofddirectory van WordPress aangeeft dat alleen bepaalde IP's toegang hebben, sluit je alle anderen uit van je hele website in plaats van alleen van het admin-gedeelte.

In de .htaccess van de admin directory heb je nu de mogelijkheid om specifieke IP's te blokkeren voor toegang tot deze directory. Als je zelf een statisch IP gebruikt, is het aan te raden om alle IP's behalve je eigen IP uit te sluiten. Zo heb alleen jij toegang tot het admingebied.

Je kunt hetzelfde doen om IP's uit te sluiten van de wp-login.php website. Ongeautoriseerde IP's kunnen bijvoorbeeld worden omgeleid naar een 404 pagina (of een andere pagina naar keuze) en niet meer bij het inlogscherm komen. Dit kun je doen door de juiste code in te voegen.

  • De WordPress Codex beschrijft hoe je individuele mappen van je WordPress installatie kunt beschermen.
  • De collega's van WP-Beginner laten in detail zien hoe je de WP-admin beveiligt via de .htaccess
  • De plugin-producent wpmudev laat in een uitgebreide gids zien hoe je de .htaccess kunt gebruiken om je websites te beschermen.

Variant 2: wachtwoordbeveiliging configureren (of twee-factor-authenticatie)

Een andere en zeer veel gebruikte optie om het admingebied te beschermen met de .htaccess is het aanmaken van een extra HTTP-authenticatie. De server heeft dan de bijbehorende toegangsgegevens nodig om zelfs maar op je WordPress inlogpagina te komen.

Dit betekent iets meer moeite voor jou bij het inloggen, maar veel aanvallers gooien op dit punt de handdoek in de ring. Brute force aanvallen worden tegengehouden voordat ze begonnen zijn. Maar zelfs deze bescherming is niet helemaal waterdicht, want veel aanvallen lopen via de XMLrpc interface. Hackers kunnen DDoS en brute force aanvallen uitvoeren via deze interface, die standaard is geïmplementeerd. De aanvallen zijn vergelijkbaar met die op de wp-admin site, maar er kunnen honderden combinaties van logins en wachtwoorden tegelijk worden opgevraagd. Daarom moet op dit punt gezegd worden dat de verstandigste bescherming niet een extra login is, maar een twee-factor authenticatie.

Maar om extra wachtwoordbeveiliging in te bouwen, heb je naast de .htaccess nog een ander bestand nodig, namelijk de zogenaamde .htpasswd. Het bevat de toegangsgegevens die je nodig hebt voor de authenticatie. Om het te maken kun je de juiste online tools gebruiken. Die versleutelen je gewenste wachtwoord (bijvoorbeeld Günterdergroße86) volgens het MD5 formaat (Günterdergroße86 ziet er dan zo uit: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 is een van de vijf wachtwoordformaten waarmee de Apache server kan werken. Uiteindelijk hoef je alleen het ongecodeerde wachtwoord te onthouden – de server zorgt automatisch voor de rest.

De op deze manier gemaakte .htpasswd wordt op hetzelfde niveau geplaatst als de .htaccess, meestal het bovenste directory-niveau van de WordPress directory.

In de .htaccess definieer je nu dat HTTP-authenticatie moet plaatsvinden bij toegang tot wp-login.php, en maak je via een code snippet een link naar .htpasswd. Zo kan de server toegang krijgen tot de eerder gedefinieerde toegangsgegevens in het andere bestand. Hoe dit werkt wordt hier bijvoorbeeld uitgelegd.

De .htaccess specificeert dan dat authorisatie vereist is om toegang te krijgen tot /wp-login.php, en waar de server de gepaste credentials zal vinden (namelijk in de .htpasswd). Bovendien verbied je de toegang tot .htaccess, .htpasswd en wp-config.php om ervoor te zorgen dat niemand anders dan jij de installatie kan herconfigureren.

Lijkt het allemaal nogal omslachtig? Dat is het ook. Bovendien kan het gebeuren dat deze extra wachtwoordbeveiliging de compatibiliteit van plugins belemmert. Daarom zou ik altijd twee-factor authenticatie aanraden. Dit is snel in te stellen via een plugin en biedt bovendien nog meer bescherming tegen onbevoegde inbraak. De authenticatiecodes worden namelijk via een extern systeem verzonden.

"*" geeft verplichte velden aan

Ik wil me abonneren op de nieuwsbrief om op de hoogte te blijven van nieuwe blogartikelen, ebooks, features en nieuws over WordPress. Ik kan mijn toestemming te allen tijde intrekken. Bekijk ons Privacybeleid.
Dit veld dient ter validatie en mag niet worden gewijzigd.

Conclusie: Het verbergen van de WP admin kan veel werk zijn – en levert nogal cosmetische voordelen op

Idealiter zou je je WP admingebied zo gestroomlijnd mogelijk moeten beveiligen. Je zou alleen een grote beveiligingsplugin moeten installeren als je ook de andere functies verstandig configureert en gebruikt. Als je alleen geïnteresseerd bent in het verbergen van de WP admin, raden we een zo slank mogelijke plugin aan, zoals WPS Hide Login. Al het andere zou overkill zijn.

Als beveiligingsmaatregel op zich is het verbergen van de WP admin sowieso te verwaarlozen. In principe geldt ook het volgende: geen enkele plugin vervangt een sterk wachtwoord en kennis van de belangrijkste WordPress beveiligingslekken. En elke nieuwe plugin draagt het risico in zich dat er beveiligingslekken in de code worden geïntroduceerd. Het is daarom belangrijk om precies af te wegen welke en hoeveel je installeert.

Honderd procent bescherming bestaat voor geen enkele website. Naar onze mening verhoogt het verbergen van het wp-admin gedeelte de veiligheid niet echt. Maar het kan wel enorm bijdragen aan de waargenomen veiligheid. Vooral als je in opdracht van een klant werkt, moet je de kracht van de klantperceptie niet onderschatten. Het is echter niet voldoende als enige of centrale beveiligingsmaatregel. Als de aangepaste URL echter wordt ontworpen als een van de vele lagen van je beveiligingssysteem, kan het een nuttige aanvulling zijn op je beveiligingsconcept.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Tobias Schüring

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts bij Slack te vinden.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.