WordPress: moet de admin altijd “admin” heten?

WordPress: moet de admin altijd “admin” heten?

Wie WordPress installeert is automatisch beheerder ofwel admin. Handig, want een admin kan alles. Maar een gekaapt beheerdersaccount kan ook veel schade aanrichten. We laten je zien hoe je medegebruikers sterke inloggegevens en de juiste rollen geeft.

Beperk het aantal inlogpogingen

De veiligheid van je WordPress blog hangt in belangrijke mate af van de gebruikte toegangsgegevens. Bij zogenaamde brute force-aanvallen proberen hackers bijvoorbeeld via geautomatiseerde inlogpogingen toegang te krijgen tot gegevens. In korte tijd kunnen een enorm aantal gebruikersnamen en wachtwoorden worden uitgeprobeerd. Bevat je gebruikersnaam of wachtwoord een veelgebruikt begrip? Dan is het slechts een kwestie van tijd voordat je blog wordt gehackt.

Maak je gebruik van onze WordPress Hosting, kun je hier makkelijk een stokje voor steken. Met één klik activeer je namelijk de aanbevolen veiligheidsinstellingen, zoals de beperking van het aantal inlogpogingen. Wie vervolgens meerdere keren foute inloggegevens invoert, wordt geblokkeerd – nog voordat het uit de hand kan lopen.

WordPress inloggen - ongeldige gebruikersnaam of wachtwoord

Gebruik veilige gebruikersnamen en wachtwoorden

Niettemin is nog steeds voorzichtigheid geboden. Standaard aanduidingen zoals “admin” of de publiekelijk zichtbare auteursnaam zijn bijzonder populair en daarom geen goed idee voor een gebruikersnaam. Om het aanvallers moeilijker te maken, kies je het best een complexe gebruikersnaam in combinatie met een veilig wachtwoord. Voor een complexe gebruikersnaam kun je een wachtwoordmanager zoals KeePass gebruiken: het stelt een wachtwoord voor en je gebruikt dit als je gebruikersnaam.

Voldoen je huidige inloggegevens nog niet aan deze eisen? Dan kun je zonder veel poespas een nieuwe gebruiker aanmaken (Gebruiker -> Nieuwe toevoegen) en daarmee de oude vervangen. Dit doe je als volgt.

1. Voeg een nieuwe gebruiker toe:

  • Voer een willekeurige reeks tekens in als gebruikersnaam en onthoud deze. Dit is de niet-openbare naam die je later nodig hebt om in te loggen.
  • Voor- en achternaam (afhankelijk van het thema) worden weergegeven in de berichten en pagina’s die je hebt gemaakt.
  • Je kunt het door WordPress voorgestelde wachtwoord gebruiken. Vergeet niet dit wachtwoord te bewaren.
  • Belangrijk: Beheerder moet worden opgegeven als rol, zodat je nog steeds alle rechten hebt – bijvoorbeeld om plug-ins of thema’s te installeren!
WordPress: een nieuwe gebruiker toevoegen

2. Verwijder de oude gebruiker

Nu log je uit en log je in met de nieuwe gebruikersnaam en wachtwoord. Onder Gebruikers → Alle gebruikers vind je een overzicht van alle gebruikers.

WordPress: een gebruiker verwijderen

Belangrijk: Om geen inhoud te verliezen, selecteer je de optie Alle inhoud koppelen aan in het volgende dialoogvenster en kies je de nieuwe gebruiker in het vervolgkeuzemenu. Op deze manier worden alle berichten en pagina’s van de oude gebruiker overgezet naar de nieuwe. Na het klikken op Verwijdering bevestigen wordt de oude gebruiker verwijderd en kun je alleen nog met de nieuwe toegangsgegevens inloggen.

WordPress: als je een bestaande gebruiker verwijdert, heb je de keus om de betreffende artikelen aan een andere gebruiker over te dragen

Alleen die rechten verlenen die echt nodig zijn

Als je op jouw blog samenwerkt met anderen, bijvoorbeeld met meerdere auteurs, hoeft zeker niet iedereen over beheerdersrechten beschikken. WordPress kent niet voor niets in totaal vijf gebruikersrollen met hiërarchische toewijzing van rechten. Dit betekent dat de hogere niveaus automatisch ook de rechten van de lagere niveaus hebben.

  • Als beheerder heb je volledige controle over de WordPress site. Je kunt berichten en pagina’s aanmaken, plug-ins installeren, menupunten toevoegen, gebruikers toevoegen enz.
  • Een redacteur kan zelf berichten en pagina’s maken, bewerken en publiceren, maar niet aan de site-instellingen sleutelen of plug-ins installeren.
  • Een auteur kan alleen eigen berichten schrijven, bewerken en publiceren, maar niet de teksten van anderen bewerken.
  • Een schrijver kan alleen berichten maken, maar niet publiceren. Dat kan handig zijn voor gastauteurs.
  • Een abonnee is “lid” van je website en kan alleen reacties schrijven. Handig als je premium content aanbiedt of een nieuwsbrief aan vaste lezers wilt versturen.

Maak je slim gebruik van deze rolverdeling, beperk je de schade die hackers kunnen aanrichten. Elke login brengt immers een zeker veiligheidsrisico met zich mee – bijvoorbeeld vanaf een ander apparaat of in een internetcafé. Zo kan je ook voor jezelf overwegen om een redacteursaccount te gebruiken als het puur om bloggen gaat. Mocht een hacker daadwerkelijk het wachtwoord in handen krijgen, dan kan hij hooguit zijn schrijftalent uitleven, maar geen grotere schade aanrichten door bijvoorbeeld andere gebruikers te verwijderen. Als beheerder kun je hem bovendien gemakkelijk uitloggen en het account herstellen.

Je eigen aangepaste gebruikersrollen maken in WordPress

Als je gebruikersrollen toch nog iets preciezer wilt definiëren, kun je de PublishPress Capabilities plug-in installeren. Daarmee kun je voor elke gebruiker precies vastleggen wat hij of zij wel of niet kan, en je kunt makkelijk bestaande bevoegdheden uitbreiden of beperken. Dit gaat zover dat je bijvoorbeeld ook kunt bepalen wie welke posts en pagina’s kan zien en bewerken.

Wil je ook aan de slag met WordPress?

Veiligheid is belangrijk. Daarom zorgen we er met onze WordPress Hosting voor dat je belangrijke veiligheidsmaatregelen zoals het beperken van het aantal inlogpogingen en het hernoemen van jouw inlogpagina niet zelf hoeft uit te zoeken, maar met één druk op de knop kunt regelen. Ook kun je met WordPress Hosting Basic en Advanced updates en nieuwe plug-ins eenvoudig uitproberen in een testomgeving.

Naar onze WordPress pakketten
Zoekwoorden: ,

Delen

  1. Remco de Kievit zei op

    Super leuk artikel over de onveiligheid van WordPress. Wellicht is de aanbeveling van MFA nog iets wat te te voegen is. Wanneer je MFA gebruikt met de Webauth plugin kan je zelfs in veel gevallen volledig werken zonder een wachtwoord waardoor de beveiliging nog verder verhoogt.

    Beantwoorden
    • Jorrit van der Heide zei op

      Hallo Remco,

      Dank voor je reactie. Ik neem aan dat je de plug-in WP-WebAuthn bedoelt? Een extra beveiligingslaag of zelfs meerdere lagen (MFA) is zeker aan te raden. Wel zijn we over het algemeen voorzichtig met het aanbevelen van plug-ins, zeker als deze relatief nieuw zijn en nog niet zoveel gebruikers hebben.

      Hartelijke groet,

      Jorrit

      Beantwoorden

Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.

Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.

 

Deze website maakt gebruik van cookies voor onder andere Google Analytics. Deze melding verdwijnt zodra je de cookies hebt geaccepteerd. Meer informatie