WP Admin verbergen: populair, kostbaar en niet erg effectief

Tobias Schüring Laatst bijgewerkt op 20.10.2020
9 Min.
verstoppen wp admin
Laatst bijgewerkt op 20.10.2020

Bijna iedereen weet WordPress standaard de login barrière van het admin gebied te bereiken. Sinds meer dan 34 procent van alle websites het WordPress is gemakkelijk voor hackers om de inloggebieden van deze pagina's te vinden en aan te vallen. Precies om deze reden behoren overeenkomstige hacks, zoals Brute Forceaanvallen, tot de de meest frequente aanvallen op WordPress pagina's. Een eenvoudige beschermingsmaatregel lijkt te zijn om het WP admin gebied te verbergen. Vandaag zal ik u laten zien hoe nuttig deze techniek is en hoe u deze kunt toepassen.

Brute Force Aanvallen zijn waarschijnlijk het meest voorkomende type aanval op pagina'WordPress s in het algemeen. Alleen al de beveiligingsprovider heeft in 2017 in enkele maanden van dit jaar bijna 1 miljard van dergelijke aanvallen Wordfencegemeten - het aantal niet-gemelde aanvallen niet meegerekend. Om het veiligheidsrisico van Brute Forceaanvallen te beperken, is het in principe zinvol om na te veel mislukte aanmeldingspogingen het aantal aanmeldingspogingen te beperken. Bovendien gebruiken veel WordPress webmasters een andere methode: ze verplaatsen de WP admin gebied, zodat het niet langer wordt gevonden onder het achtervoegsel wp-admin.

Veel veiligheidsplugins bieden daarom een overeenkomstige functie. Wie durft er ook het .htaccess-bestand te gebruiken? Maar het verbergen van de WP admin gebied is niet echt een goede veiligheidsmaatregel op zich. Maar het kan een nuttige aanvulling zijn.

Verberg WP Admin: Wat is het nut van dit alles?

Achter het idee om de WP admin gebied te verbergen zit het principe veiligheid door vergetelheid ("beveiliging door middel van duisternis/onzekerheid") - het idee dat de beveiliging van een systeem sterker is zolang de werking ervan geheim blijft. Met andere woorden, als de aanvaller niet weet waar je voordeur is, kan hij om je huis heen sluipen, maar hij kan niet inbreken.

Veiligheid door duisternis - in de praktijk een tandeloze tijger

Deze aanpak is omstreden onder deskundigen - en niet zonder reden. In dit geval betekent het feit dat de informatie veilig is niet dat deze helemaal niet meer toegankelijk is. Het is beschikbaar - maar verborgen. Maar met de juiste tools kunnen hackers toch uw inlogpagina vinden als ze dat willen.

En hier komt het echte probleem met veiligheid door vergetelheid in het spel: Vaak wordt de aanpak gebruikt om problemen te verbergen die in plaats daarvan volledig moeten worden geëlimineerd. Is uw admin naam admin en uw wachtwoord Wachtwoord 123!de hacker is in een mum van tijd in uw backend als hij uw verborgen inlogpagina heeft gevonden.

Kortom, een verborgen admingebied houdt aanvallers niet tegen om aan te vallen, maar verlengt alleen de hoeveelheid werk die nodig is om de aanval uit te voeren. Helaas is het onmogelijk om volledig te verbergen dat uw WordPress -projecten in de buurt WordPress -pagina's. Het verbergen van de WP-Admin zou niet je enige veiligheidsmaatregel moeten zijn. Wie het ook op jou gemunt heeft, hij zal niet kunnen ontsnappen.

Het concept veiligheid door vergetelheid is daarom idealiter een van de vele lagen van uw beveiligingsconcept. Limit Login Pogingen (LLA), een sterk wachtwoord met twee-factor authenticatie en - als u er uiteindelijk een gebruikt - een goed geconfigureerde beveiligingPlugin is een verstandige mix. Het verbergen van de administratie is slechts de kers op de taart.

In sommige gevallen heeft het verstoppen van de WP-Admin toch zin

Maar er zijn eigenlijk enkele situaties waarin het zinvol kan zijn om de WP-Admin te verbergen:

  • Het verbergen van de WP-Admin heeft een sterke invloed op de gepercipieerde veiligheid van een WordPress site. Vooral als u voor een klant werkt, is een verborgen WP-Admin zinvol om de veiligheidsperceptie van uw klant te maximaliseren.
  • Als hackers een Brute Force aanval op uw site, kan uw webserver "oververhit" raken, alleen al vanwege het hoge aantal verzoeken. Als u de admin-zone verplaatst, gebruikt u op zijn minst primitieve Brute Force Valt al in het begin de wind van de zeilen aan.
  • U kunt sommige klanten positief verrassen door het admin gebied te verbergen, bijvoorbeeld als u het onder / naam van het bedrijf verhuizen. Op deze manier kun je een klein maar fijn branding effect creëren.

Zoals u ziet, zijn deze maatregelen meer van cosmetische aard. Maar soms kan zelfs een hogere gepercipieerde veiligheid helpen. Daarom laat ik u hieronder zien hoe u uw WP-Admin met en zonder Pluginskunt beveiligen.

Plugins alleen maar om de admin te verbergen, heeft dat zin?

Grote beveiligingsfunctiesPlugins zijn onder andere de mogelijkheid om de admin-zone te verbergen en de exacte aard van uw site. Zoals ik al eerder zei, neem ik een kritisch standpunt in...Het installeren van een omvangrijke PluginURL om een URL te wijzigen lost niet al uw problemen in één keer op. Pas na een grondige bestudering van het onderwerp kunt u beslissen welke veiligheidsmaatregelen zinvol zijn voor uw project.

Maar in zaken Pluginsheb je in principe twee opties:

  • slankPlugins, die alleen zijn ontwikkeld voor het verbergen van het inloggebied
  • Pluginsdie het verbergen van het inloggebied omvatten, maar veel meer kunnen doen...

Uitgebreide veiligheidPlugins zijn volumineuzer door hun uitgebreide functionaliteit. Daarom hebben ze in principe alleen zin als je weet wat je ermee wilt bereiken: bijvoorbeeld het blokkeren van zeer specifieke IP's, het gebruik van de Web Application Firewall (WAF) of het uitgesloten zijn van de rapportage van de Plugins winst. De vraag hoe verstandig veiligheidPlugins echt zijn, antwoorden we ook in dit artikel.

Het installeren van een grote Pluginalleen maar om de admin gebied te verbergen is overkill. Uw laadsnelheid lijdt eronder en u heeft nauwelijks toegevoegde waarde. En het is geen vervanging voor het omgaan met veiligheidskenmerken.

Het verbergen van de admin-zone met een Pluginis alleen aan te raden als u deze kunt gebruiken zonder grote prestatie- of functionaliteitsverliezen - als een leuk om te hebben. Extra voor deze een grote Pluginals iThemes Security of Wordfenceom te installeren, zou ik niet aanraden.

In plaats daarvan zijn hier enkele slankere alternatieven om uw admin gebied te verbergen:

WPS Verbergingslogin

wps verbergen login
De WP-Admin kan bijvoorbeeld worden verborgen met de WPS Hide LoginPlugin.

Deze vrije Plugindoet precies a Ding: Het verandert de twee URL's /wp-admin en /wp-login.php naar adressen die u opgeeft. Dit voegt een hindernis toe voor hackers en maakt uw site een beetje veiliger. Met meer dan 400.000 actieve installaties en een gemiddelde beoordeling van 4,9 sterren (met meer dan 1.100 beoordelingen!) is dit Pluginin de praktijk bewezen.

Bescherm uw administratie

bescherm uw administratie
Optioneel werkt dit ook met de PluginProtect Your Admin.

De Plugin is, ondanks enkele extra functies, een van de slankere op de markt en stelt u in staat om een aangepaste URL voor /wp-admin en /wp-login.php op te geven. Iedereen die probeert toegang te krijgen tot een van deze pagina's zal in plaats daarvan op uw homepage terechtkomen. 40.000 gebruikers hebben dit gebruikt Plugin Momenteel is de gemiddelde ranking 3,8 sterren. Een betaalde upgrade activeert een aantal extra functies zoals een inlogpogteller.

Cerber Security, Antispam & Malware Scan

cerber security antispam malware scan
De Cerber Security bewaakt ook Pluginde WP-Admin.

Deze Plugin verbergt o.a. /wp-login.php en geeft in plaats daarvan een 404-foutmelding weer. Maar het kan veel meer - daarom is het de moeite waard om de tool grondig te onderzoeken. De rating is momenteel 4,9 sterren en er zijn ongeveer 100.000 actieve gebruikers. De Plugin is vrij.

WP Hide & Security Enhancer

wp verbergen beveiligingsverhoger
Een ander alternatief is de wat omvangrijkere PluginWP Hide Security Enhancer.
 

Deze gratis versie Pluginverbergt het feit dat uw website ook WordPress draait. Of dit in principe zinvol is, valt te betwijfelen (met een instrument als BuiltWith kan snel aan het licht worden gebracht), maar verandert tegelijkertijd de URL's /wp-admin en /wp-login.php naar een andere URL. Meer dan 50.000 webmasters Plugingebruiken dit momenteel, de gemiddelde waardering is 4,3 sterren.

Geen angst voor de kwaadaardige code: Beveiligen met de .htaccess

Als u wilt verbergen dat uw site een WordPress -installatie, dan kun Pluginsje dat over een aantal van de zojuist genoemde doen. Of u kunt direct naar het .htaccess-bestand gaan. Het is een van de belangrijkste dossiers van WordPress -installaties die draaien op Apache-servers (Attentie: RAIDBOXES-pagina's draaien niet op Apache-servers, dus de .htaccess heeft geen invloed op de webserver) De .htaccess definieert bijvoorbeeld welke bestanden en directories van uw site zichtbaar zijn en wie toegang heeft tot wat.

Met kleine wijzigingen in dit bestand kunt u uw website een extra veiligheidslaag geven. U kunt met name code-snippets toevoegen die de toegang tot wp-config.php beperken of bepaalde IP's blokkeren. Ik raad u aan om, voordat u wijzigingen aanbrengt, ervoor te zorgen dat u een Back-up van dit bestand - mocht er iets misgaan, dan kunt u snel en eenvoudig terugkeren naar de oorspronkelijke staat. En met .htaccess kan zelfs een kleine fout in de code al genoeg zijn om uw site te verlammen.

Variant 1: Alleen bepaalde IP's toestaan

Met een .htaccess kunt u in principe elke directory beschermen - in dit geval wilt u het admin-gebied beschermen. Daarom uploadt u een nieuwe .htaccess in de directory wp-admin. Als u in plaats daarvan in de hoofdmap van WordPress die map specificeert dat alleen bepaalde IP's toegang hebben, sluit u alle andere IP's uit van uw hele site in plaats van alleen het admin-gedeelte.

In de .htaccess van de admin-directory heeft u nu de mogelijkheid om specifieke IP's te blokkeren voor toegang tot deze directory. Als u zelf een statische IP gebruikt, is het aan te raden om alle IP's uit te sluiten, behalve die van uzelf. Op deze manier heeft alleen u toegang tot de admin-zone.

Overigens kunt u hetzelfde doen om IP's uit te sluiten van de wp-login.php pagina. Ongeautoriseerde IP's kunnen worden omgeleid naar een 404-pagina (of een andere pagina naar keuze) en hebben geen toegang tot het inlogscherm. Dit kan worden gedaan door de juiste code in te voeren.

  • In het WordPress Codex wordt beschreven hoe u de afzonderlijke mappen van uw WordPress installatie kunt beveiligen
  • De collega's van WP-Beginner Toon in detail hoe de WP-Admin te beschermen via de .htaccess
  • De plugin producent wpmudev toont in een uitgebreide handleidinghoe u de .htaccess kunt gebruiken om uw sites te beschermen...

Variant 2: Wachtwoordbescherming configureren (of twee-factor authenticatie)

Een andere en zeer vaak gebruikte mogelijkheid om het admin-gebied te beschermen met .htaccess is het creëren van een extra HTTP-authenticatie. De server heeft dan al de juiste toegangsgegevens nodig om op uw WordPress loginpagina te komen.

Dit betekent een beetje meer werk voor u om in te loggen, maar veel aanvallers zullen op dit punt de handdoek in de ring gooien. Brute Force Aanvallen worden geblokkeerd voordat ze zelfs maar begonnen zijn. Maar zelfs deze bescherming is niet helemaal waterdicht, omdat veel aanvallen worden uitgevoerd via de XMLrpc-interface Rennen. Deze interface, die standaard is geïmplementeerd, stelt hackers in staat om DDoS en Brute Force Aanvallen Rennen. De aanvallen zijn vergelijkbaar met die op de wp-admin site, maar hier kunnen honderden combinaties van logins en wachtwoorden tegelijkertijd worden opgevraagd. Daarom moet op dit punt worden gezegd dat de zinvollere bescherming geen extra aanmelding is, maar een authenticatie met twee factoren.

Maar om een extra wachtwoordbeveiliging toe te voegen heeft u naast de .htaccess nog een ander bestand nodig, de zogenaamde .htpasswd. Het bevat de toegangsgegevens die u nodig hebt voor de authenticatie. Om het te maken, kunt u geschikte online hulpmiddelen gebruik. Ze versleutelen uw gewenste wachtwoord (bijvoorbeeld Günterdergrosse86) volgens het MD5-formaat (Günterdergrosse86 ziet er zo uit: $apr1$R71r9bVr$6S99bG1Z9R9yHXcOCG6m/). MD5 is een van de vijf wachtwoordformaten waarmee de Apache-server kan werken. Maar je hoeft alleen het onversleutelde wachtwoord te onthouden - de server doet de rest automatisch.

De .htpasswd die op deze manier wordt aangemaakt wordt op hetzelfde niveau gezet als de .htaccess, meestal het topniveau van de WordPress directory.

In de .htaccess definieert u nu dat de HTTP-authenticatie moet plaatsvinden bij toegang tot wp-login.php en maakt u een link naar de .htpasswd via een code snippet. Hierdoor heeft de server toegang tot de eerder gedefinieerde referenties in het andere bestand. Hoe dit gebeurt wordt bijvoorbeeld uitgelegd hier uitgelegd.

De .htaccess geeft dan aan dat er autorisatie nodig is voor toegang tot /wp-login.php en waar de server de bijbehorende toegangsgegevens kan vinden (namelijk in de .htpasswd). Daarnaast verbiedt u ook de toegang tot de bestanden .htaccess, .htpasswd en wp-config.php om ervoor te zorgen dat niemand anders dan u uw installatie kan herconfigureren.

Lijkt alles nogal ingewikkeld? Dat is het ook. Bovendien kan het gebeuren dat deze extra wachtwoordbeveiliging Compatibiliteit van Pluginsverminderde. Daarom zou ik altijd een twee-factor-authenticatie aanraden. Dit is snel opgezet Pluginvia een en biedt bovendien nog meer bescherming tegen ongeoorloofde indringing. Omdat de authenticatiecodes via een extern systeem worden verzonden.

Conclusie: Het verbergen van de WP-Admin kan veel werk zijn - en brengt meer cosmetische voordelen met zich mee.

Idealiter moet u uw WP admin-gebied op een zo slank mogelijke manier beschermen. U moet alleen een grote veiligheidsplugin installeren als u de andere functies ervan op een verstandige manier configureert en gebruikt. Als u alleen de WP-Admin wilt verbergen, raden wij u een slanke versie Pluginaan. Al het andere zou overkill zijn.

Als aparte veiligheidsmaatregel is het verbergen van de WP-Admin sowieso te verwaarlozen. In principe geldt ook het volgende: Nee Plugin vervangt een sterk wachtwoord en de kennis van de belangrijkste beveiligingslekkenWordPress . En elke nieuwe Plugin draagt het risico in zich dat er veiligheidslekken in de code komen. Het is daarom belangrijk om goed na te denken over welke en hoeveel je er installeert.

De 100% bescherming bestaat voor geen enkele website. Naar onze mening brengt het verbergen van de wp-admin sectie niet echt meer veiligheid met zich mee. Maar het kan enorm bijdragen aan de ervaren veiligheid. Vooral als u voor een klant werkt, moet u de kracht van de klantbeleving niet onderschatten. Het is echter geenszins voldoende als een enkele of centrale veiligheidsmaatregel. Als de gewijzigde URL echter is ontworpen als een van de vele lagen van uw beveiligingssysteem, kan het een nuttige aanvulling zijn op uw beveiligingsconcept.

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts te Slack vinden.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.