WP Admin verbergen: populair, kostbaar en niet erg effectief

Tobias Schüring Laatst bijgewerkt op 20.10.2020
9 Min.
wp admin verbergen
Laatst bijgewerkt op 20.10.2020

Bijna iedereen weet hoe de inlogbarrière naar het admin-gedeelte op WordPress standaard te bereiken is. Aangezien meer dan 34 procent van alle websites draait op WordPress , is het voor hackers gemakkelijk om de inloggebieden van deze sites te vinden en aan te vallen. Dit is precies waarom overeenkomstige hacks, zoals Brute Force aanvallen, tot de meest voorkomende behoren meest voorkomende aanvallen op WordPress sites überhaupt. Een eenvoudige beschermingsmaatregel lijkt het verbergen van het WP admin gedeelte te zijn. Vandaag zal ik je laten zien hoe nuttig deze techniek is en hoe je hem kunt toepassen.

Brute Force Aanvallen zijn waarschijnlijk de meest voorkomende vorm van aanvallen op WordPress sites. Alleen al de beveiligingsprovider Wordfence heeft in 2017 in sommige maanden van dit jaar bijna 1 miljard van dergelijke aanvallen gemeten - het aantal niet-gemelde gevallen niet meegerekend. Om het veiligheidsrisico van Brute Force -aanvallen te beperken, is het in principe zinvol om inlogpogingen na te veel mislukte pogingen te beperken. Daarnaast gebruiken veel WordPress webmasters nog een andere methode: ze verplaatsen hetWP admin gedeelte, zodat het niet langer te vinden is onder het achtervoegsel wp-admin.

Veel beveiligingsplugins bieden daarom een overeenkomstige functie. Die ook aan het .htaccess bestand kan durven. Maar het verbergen van het WP admin gedeelte op zichzelf is niet echt een goede veiligheidsmaatregel. Maar het kan een nuttige toevoeging zijn.

Verberg WP Admin: Wat is het nut?

Achter het idee om het WP admin gedeelte te verbergen zit het principe van veiligheid door onduidelijkheid ("security through obscurity") - het idee dat de veiligheid van een systeem sterker is zolang de functionaliteit ervan geheim blijft. Met andere woorden, als de aanvaller niet weet waar uw voordeur is, kan hij om uw huis heen sluipen, maar niet inbreken.

Veiligheid door onduidelijkheid - een tandeloze tijger in de praktijk

Over deze aanpak wordt door deskundigen controversieel gediscussieerd - en niet zonder reden. In dit geval betekent het feit dat informatie beveiligd is, niet dat zij helemaal niet meer toegankelijk is. Het is er - maar het is verborgen. Maar met de juiste hulpmiddelen kunnen hackers nog steeds uw inlogpagina vinden als ze dat willen.

En hier komt het echte probleem met veiligheid door onduidelijkheid vaak gebruikt om problemen te verdoezelen die in plaats daarvan helemaal moeten worden geëlimineerd. Als uw beheerdersnaam admin en uw wachtwoord is wachtwoord123!zal de hacker in een mum van tijd in uw backend zijn als hij eenmaal uw verborgen login pagina heeft gevonden.

Kortom, een verborgen beheerdersgedeelte weerhoudt aanvallers er niet van aan te vallen, het verhoogt alleen de tijd die nodig is om de aanval uit te voeren. Helaas is het echter onmogelijk om volledig te verbergen dat uw WordPress projecten WordPress sites zijn. Dus het verbergen van de WP admin zou zeker niet je enige veiligheidsmaatregel moeten zijn. Wie het ook op jou gemunt heeft, zal niet kunnen ontsnappen.

Het concept veiligheid door onduidelijkheid is daarom idealiter een van de vele lagen van uw beveiligingsconcept. Limit Login Attempts (LLA), een sterk wachtwoord inclusief twee-factor authenticatie en - als u er uiteindelijk een gebruikt - een goed geconfigureerde beveiligingPlugin zijn een verstandige combinatie. Het verbergen van het admin gedeelte is gewoon de kers op de taart.

In sommige gevallen is het nog steeds zinvol om de WP admin te verbergen

Er zijn situaties waarin het zinvol kan zijn om de WP admin te verbergen:

  • Het verbergen van de WP admin heeft een sterke invloed op de waargenomen veiligheid van een WordPress site. Vooral als u voor een klant werkt, is een verborgen WP-admin zinvol om het gevoel van veiligheid van uw klant te maximaliseren.
  • Als hackers een Brute Force -aanval op uw site uitvoeren, kan uw webserver "oververhit" raken door het grote aantal verzoeken. Als u de beheerdersruimte verplaatst, neemt u in ieder geval de primitieve Brute Force aanvallen van meet af aan de wind uit de zeilen.
  • U kunt sommige klanten positief verrassen door het admin gebied te verbergen, bijvoorbeeld als u het onder / naam van het bedrijf verhuizen. Op deze manier kun je een klein maar fijn branding effect creëren.

Zoals u kunt zien, zijn deze maatregelen meer van cosmetische aard. Maar zelfs een hogere waargenomen veiligheid kan soms helpen. Daarom laat ik je hieronder zien hoe je je WP admin kunt beveiligen met en zonder Plugins .

GebruikPlugins alleen voor admin verberging, heeft dat zin?

Goede beveiligingPlugins biedt ook de mogelijkheid om het beheergebied en de precieze aard van uw site te verbergen, naast tal van andere functies. Zoals ik al eerder zei, sta ik hier kritisch tegenover: het installeren van een lijvige Plugin alleen om een URL te veranderen lost niet in één klap al je problemen op. Pas na een grondig onderzoek van het onderwerp kunt u beslissen welke veiligheidsmaatregelen voor uw project zinvol zijn.

Als het op Plugins aankomt, heb je in principe twee opties:

  • slank Plugins, alleen ontworpen voor het verbergen van het login-gebied
  • Plugins, die het verbergen van het login-gebied omvatten, maar veel meer kunnen doen

Uitgebreide beveiligingPlugins is omvangrijker door zijn uitgebreide functionaliteit. Daarom hebben ze alleen zin als u weet wat u ermee wilt bereiken: bijvoorbeeld het blokkeren van specifieke IP's, het gebruik van de Web Application Firewall (WAF) of het profiteren van de rapportage van Plugins . De vraag hoe nuttig beveiligingPlugins werkelijk is, wordt ook in dit artikel beantwoord.

Het installeren van een grote Plugin alleen maar om het beheerders gedeelte te verbergen is overkill. Uw laadsnelheid lijdt eronder en aan het eind van de dag heeft u weinig toegevoegde waarde. En het is ook geen vervanging voor het omgaan met beveiligingsfuncties.

Het verbergen van het admin gedeelte met een Plugin is daarom alleen aan te raden als je het kunt gebruiken zonder grote performance of functionele verliezen - als een soort leuk om te hebben. Om een grote Plugin te installeren zoals iThemes Security of Wordfence alleen voor dat, zou ik niet aanraden.

In plaats daarvan zijn hier een paar slankere alternatieven om je admin gedeelte te verbergen:

WPS Verberg Login

wps verbergen login
Bijvoorbeeld, de WP admin kan verborgen worden met de WPS Hide Login Plugin .

Deze gratis Plugin doet precies een ding: Het verandert de twee URLs /wp-admin en /wp-login.php naar adressen die u opgeeft. Dit vormt een extra hindernis voor hackers en maakt uw site een stuk veiliger. Met meer dan 400.000 actieve installaties en een gemiddelde waardering van 4,9 sterren (met meer dan 1.100 beoordelingen!) heeft Plugin zich in de praktijk bewezen.

Bescherm uw Admin

bescherm uw admin
Optioneel werkt dit ook met de Plugin Protect Your Admin.

De Plugin is, ondanks enkele extra functies, een van de slankere op de markt en laat u toe een aangepaste URL op te geven voor /wp-admin en /wp-login.php. Iedereen die deze twee pagina's probeert te bereiken, komt op uw homepage terecht. 40.000 gebruikers hebben momenteel deze Plugin geïnstalleerd, en de gemiddelde ranking is 3,8 sterren. Een betaalde upgrade geeft toegang tot enkele extra functies, zoals een inlogpogingteller.

Cerber Beveiliging, antispam & malware scan

cerber security antispam malware scan
Cerber Security Plugin bewaakt ook de WP admin.

Deze Plugin verbergt onder andere /wp-login.php en geeft in plaats daarvan een 404-foutmelding. Het kan echter nog veel meer - dus het is de moeite waard om het instrument eens in detail te bekijken. De rating is momenteel 4,9 sterren en er zijn ongeveer 100.000 actieve gebruikers. De Plugin is gratis.

WP Verberg & Beveiligings Verbeteraar

wp verbergen beveiliging enhancer
Een ander alternatief is de iets omvangrijkere Plugin WP Hide Security Enhancer.
 

Deze gratis Plugin verbergt het feit dat uw website draait met WordPress . Of dit in principe zin heeft valt nog te bezien (met een tool als BuiltWith kan dit snel weer aan het licht gebracht worden), maar tegelijkertijd verandert de URLs /wp-admin en /wp-login.php in een willekeurige andere URL. Meer dan 50.000 webmasters gebruiken momenteel Plugin , de gemiddelde beoordeling is 4,3 sterren.

Wees niet bang voor slechte code: Beveiligen met de .htaccess

Als je wil verbergen dat je site een WordPress installatie is, kan je dat doen via sommige van de Plugins bestanden die ik net opsomde. Of, je kunt direct knoeien met het .htaccess bestand. Het is een van de belangrijkste bestanden van WordPress installaties die op Apache servers draaien (opmerking: RAIDBOXES sites draaien niet op Apache servers, dus de .htaccess heeft geen invloed op de webserver). De .htaccess bepaalt bijvoorbeeld welke bestanden en mappen van uw site zichtbaar zijn en wie toegang heeft tot wat.

Met kleine wijzigingen in dit bestand kunt u uw website een extra beveiligingslaag geven. Meer specifiek, u voegt individuele code snippets toe die toegang tot wp-config.php beperken of bepaalde IPs blokkeren. Ik raad u aan altijd een back-up van dit bestand te maken voordat u wijzigingen aanbrengt - als er iets fout gaat, kunt u dan snel en gemakkelijk terug naar de oorspronkelijke staat. En met .htaccess kan zelfs een kleine fout in de code al genoeg zijn om uw site lam te leggen.

Variant 1: Alleen bepaalde IP's toestaan

In principe kan elke directory beschermd worden met een .htaccess - in dit geval, wil je specifiek het admin gedeelte beschermen. Daarom upload je een nieuwe .htaccess in de directory wp-admin. Als u in plaats daarvan in de hoofddirectory van WordPress specificeert dat alleen bepaalde IP's toegang hebben, sluit u alle anderen uit van uw hele site in plaats van alleen van het beheerdersgedeelte.

In de .htaccess van de admin directory heb je nu de mogelijkheid om specifieke IPs te blokkeren van toegang tot deze directory. Als u zelf een statisch IP gebruikt, is het aan te bevelen alle IP's behalve uw eigen IP uit te sluiten. Op deze manier heeft alleen u toegang tot het beheerdersgedeelte.

Tussen haakjes, u kunt hetzelfde doen om IP's uit te sluiten van de wp-login.php pagina. Onbevoegde IP's kunnen bijvoorbeeld worden omgeleid naar een 404-pagina (of een andere pagina van uw keuze) en het inlogscherm niet meer bereiken. Dit kan worden gedaan door de juiste code in te voegen.

  • De WordPress codex beschrijft hoe u individuele directories van uw WordPress installatie kunt beschermen.
  • De collega's van WP-Beginner laten u in detail zien hoe u de WP-Admin kunt beveiligen via .htaccess
  • De plugin maker wpmudev laat in een uitgebreide gids zien hoe je de .htaccess kunt gebruiken om je sites te beschermen

Variant 2: wachtwoordbeveiliging configureren (of twee-factor authenticatie)

Een andere en zeer vaak gebruikte mogelijkheid om het admin gedeelte te beschermen met de .htaccess is om een extra HTTP authenticatie aan te maken. De server heeft dan al overeenkomstige toegangsgegevens nodig om zelfs maar op uw WordPress login pagina te komen.

Dit betekent een beetje meer moeite voor u bij het inloggen, maar veel aanvallers gooien op dit punt de handdoek in de ring. Brute Force Aanvallen worden geblokkeerd nog voor ze begonnen zijn. Zelfs deze bescherming is echter niet volledig waterdicht, aangezien veel aanvallen via de XMLrpc interface lopen. Hackers kunnen DDoS- en Brute Force -aanvallen uitvoeren via deze interface, die standaard is geïmplementeerd. De aanvallen zijn vergelijkbaar met die op de wp-admin site, maar hier kunnen honderden combinaties van logins en wachtwoorden tegelijk worden opgevraagd. Daarom moet op dit punt worden gezegd dat de verstandigste bescherming niet een extra login is, maar een authenticatie met twee factoren.

Om echter extra wachtwoordbeveiliging te implementeren, heb je naast de .htaccess nog een ander bestand nodig, namelijk de zogenaamde .htpasswd. Het bevat de toegangsgegevens die u nodig hebt voor de authenticatie. Om het te maken, kunt u gebruik maken van geschikte online hulpmiddelen. Zij versleutelen het door u gewenste wachtwoord (bijvoorbeeld Günterdergroße86) volgens het MD5-formaat (Günterdergroße86 ziet er dan als volgt uit: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 is een van de vijf wachtwoordformaten waarmee de Apache-server kan werken. Uiteindelijk hoeft u echter alleen het onversleutelde wachtwoord te onthouden - de server zorgt automatisch voor de rest.

De .htpasswd die op deze manier wordt aangemaakt wordt op hetzelfde niveau geplaatst als de .htaccess, meestal het bovenste mapniveau van de WordPress directory.

In de .htaccess definieer je nu dat HTTP authenticatie moet plaatsvinden bij het benaderen van wp-login.php en maak je een link naar de .htpasswd via een code snippet. Op deze manier kan de server toegang krijgen tot de eerder opgegeven referenties in het andere bestand. Hoe dat in zijn werk gaat, wordt bijvoorbeeld hier uitgelegd.

De .htaccess specificeert dan dat authorisatie vereist is om toegang te krijgen tot /wp-login.php, en waar de server de gepaste credentials zal vinden (namelijk in de .htpasswd). Bovendien verbiedt u de toegang tot de .htaccess, de .htpasswd en wp-config.php om ervoor te zorgen dat niemand anders dan u uw installatie kan herconfigureren.

Lijkt het allemaal nogal omslachtig? Dat is het ook. Bovendien kan deze extra wachtwoordbeveiliging de compatibiliteit van Plugins in gevaar brengen. Dat is waarom ik altijd twee-factor authenticatie zou aanraden. Dit kan snel worden ingesteld via Plugin en biedt ook nog meer bescherming tegen ongeoorloofde inbraak. Dit komt doordat de authenticatiecodes via een extern systeem worden verzonden.

Conclusie: WP-Admin verbergen kan veel werk zijn - en brengt eerder cosmetisch voordeel

In het ideale geval beschermt u uw WP admin gedeelte op de meest gestroomlijnde manier mogelijk. Je moet een grote beveiligingsplugin alleen installeren als je ook de andere functies ervan verstandig configureert en gebruikt. Dus als het je alleen gaat om het verbergen van de WP admin, is ons advies om zo slank mogelijk te gaan Plugin. Al het andere zou overkill zijn.

Als veiligheidsmaatregel is het verbergen van de WP admin sowieso verwaarloosbaar effectief. In principe geldt ook: Geen Plugin vervangt een sterk wachtwoord en de kennis van de belangrijkste WordPress beveiligingslekken. En elke nieuwe Plugin brengt het risico met zich mee dat er beveiligingslekken in de code komen. Het is daarom belangrijk zorgvuldig te overwegen welke en hoeveel u er installeert.

100% bescherming bestaat voor geen enkele website. Naar onze mening verhoogt het verbergen van de wp-admin omgeving de veiligheid niet echt. Maar het kan enorm bijdragen aan de waargenomen veiligheid. Vooral als u voor een klant werkt, moet u de kracht van de perceptie van de klant niet onderschatten. Het is echter zeker niet voldoende als enige of centrale veiligheidsmaatregel. Als de gewijzigde URL echter is ontworpen als een van de vele lagen van uw beveiligingssysteem, kan het een nuttige aanvulling zijn op uw beveiligingsconcept.

Als systeembeheerder waakt Tobias over onze infrastructuur en vindt hij alle mogelijke manieren om de prestaties van onze servers te optimaliseren. Door zijn onvermoeibare inzet is hij vaak 's nachts bij Slack te vinden.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.