WordPress login: styling en beveiliging optimaliseren

WordPress login: styling en beveiliging optimaliseren

De WordPress inlogpagina wp-admin werkt eigenlijk altijd hetzelfde: voer gebruikersnaam en wachtwoord in en je kunt aan de slag. Maar wist je dat je deze pagina naar eigen smaak kunt inrichten? Of voor de veiligheid onherkenbaar kunt maken?

Ken je WordPress? Dan weet je dat de loginpagina altijd onder /wp-admin/ staat en dat die er altijd hetzelfde uitziet. Voer je gebruikersnaam en wachtwoord in en je bent in de backend van WordPress. Dit is praktisch, maar niet erg mooi of veilig. Ben je verantwoordelijk voor klantprojecten of wil je zelf een site of een webshop met WordPress maken? Dan kan het zinvol zijn om de WordPress inlogpagina aan te passen en te beveiligen. De site is dan op het eerste gezicht niet meer als WordPress herkenbaar.

Inloggen bij WordPress
Iedereen kent het wel: het standaard inlogvenster van WordPress.

WordPress login hernoemen

De eenvoudigste manier om voor meer veiligheid te zorgen bij het inloggen, is de standaard-URL van het WordPress inlogvenster te wijzigen. Verander /wp-admin/ dus in een andere URL. Dan is je site minder gemakkelijk herkenbaar als een WordPress installatie. Ook maak je brute-force-aanvallen, een populaire hackingtactiek, een stuk lastiger.

Met de kleine plug-in Change wp-admin login kun je heel eenvoudig het inlogadres veranderen. Na installatie en activering vind je een nieuwe optie in je WordPress instellingen onder Permalinks, waar je eenvoudig de URL van je inlogpagina kunt instellen. Die is dan niet meer beschikbaar onder /wp-admin/, maar onder de URL die je hebt gekozen. Ben je de nieuwe URL vergeten? Verwijder de plug-in dan weer.

Change WP-admin login
Door de URL te veranderen, verberg je (normaal gesproken) niet alleen dat het een WordPress site is, maar verbeter je ook de beveiliging.

Tip: maak je gebruik van STRATO WordPress Hosting en heb je de aanbevolen veiligheidsplug-ins geïnstalleerd? Dan hoef je niets meer te doen. De URL van je WordPress login is dan namelijk al hernoemd – tenzij je zelf de URL wilt bedenken. Ook is het aantal inlogpogingen beperkt, zodat hackers of bots niet ongeremd inloggegevens kunnen uitproberen. Tot slot is de informatie over de WordPress versie die je gebruikt, verborgen.

Het design van de inlogpagina wijzigen

Maak je websites waar meerdere mensen gebruik van maken? Dan is het soms mooier om het uiterlijk van de inlogpagina aan te passen, zodat deze bijvoorbeeld aan de huisstijl voldoet. Dit kan rechtstreeks via HTML en CSS, maar dat is lastig. Het is gemakkelijker om een plug-in als Custom Login Page Customizer te gebruiken. Die voegt designopties voor de inlogpagina toe aan de Customizer.

Login Customizer
De Login Customizer wordt geleverd met enkele handige functies.

In het nieuwe Customizer-submenu kun je het inlogvenster naar eigen smaak aanpassen: elementen tonen en verbergen, het logo en de kleuren veranderen of zelfs eigen CSS- en JavaScript-code invoegen. Dat laatste is handig om functies in te stellen die de plug-in zelf niet biedt.

Met de login aanpasser kun je het inlogscherm opnieuw stylen.
Je kunt je inlogvenster ook naar eigen smaak vormgeven.

Met één klik op Publiceren staat je nieuwe inlogvenster online. Ook deze plug-in verandert alleen iets zolang hij actief is: schakel je hem uit, dan verdwijnen de veranderingen weer. Is de Nederlandse vertaling van de plug-in niet goed? Dan kun je helpen met de vertaling.

Aanmelding met socials aanbieden

Bouw je een WordPress site met meerdere gebruikers, zoals een community-site of een webshop? Dan is de zogenaamde social login handig. Je gebruikers kunnen dan eenvoudig inloggen met een bestaand account bij bijvoorbeeld Facebook, Google, Amazon, Apple of Microsoft. Dit doe je met de Nextend Social Login plug-in, die alle grote diensten ondersteunt. De gratis versie biedt bijvoorbeeld Facebook, Google en Twitter.

Nextend Social Login
Nextend Social Login ondersteunt tal van diensten. In de gratis versie kun je Facebook, Google en Twitter gebruiken om in te loggen.

Om een social login voor je website toe te voegen, moet je eerst de toegang instellen bij de desbetreffende provider. Sommige providers noemen dit een API, anderen een app, maar uiteindelijk komt het op hetzelfde neer. Je stelt de link naar de API in op een ontwikkelaarspagina van de provider.

Nextend Social Login - Twitter API instellingen
De opzet vergt wat werk; je moet API-sleutels aanmaken voor de respectievelijke diensten. Dit is alleen zinvol als je veel gebruikers hebt die zo willen inloggen.

Afhankelijk van de provider moet je eerst toegang aanvragen tot deze ontwikkelaarspagina, maar dit is meestal gratis. Nextend Social Login geeft je gedetailleerde instructies over hoe je te werk gaat bij de afzonderlijke diensten. Uiteindelijk is het een kwestie van het instellen van een OAuth-toegang, die bestaat uit een lange API-sleutel en een geheime sleutel. 

Als de plug-in goed is ingesteld, kunnen je gebruikers inloggen met Twitter of andere social media-accounts.

We raden aan om eerst Google en Facebook in te stellen, omdat deze twee diensten gratis zijn in de plug-in en bovendien veel worden gebruikt. 

Inlogpogingen beperken

In principe is het altijd zinvol om de WordPress login verder te beveiligen, dus als aanvulling op het veranderen van de URL. Het grootste risico zijn geautomatiseerde of handmatige brute force-aanvallen, waarmee hackers je wachtwoord proberen te kraken. Dit kun je niet voorkomen, maar je kunt het wel veel moeilijker maken. Zorg ervoor dat elke bezoeker maar een bepaald aantal inlogpogingen heeft en dan een tijdje geblokkeerd wordt. De plug-in DoLogin Security biedt deze mogelijkheid, samen met diverse andere beveiligingsmaatregelen. 

DoLogin Security
Als je het wachtwoord kent, heb je geen drie pogingen nodig. Dus als je meer dan drie pogingen hebt, kun je aannemen dat iemand probeert het wachtwoord van je website te kraken.

Na installatie en activering is de beperking van inlogpogingen meteen actief: na zes mislukte pogingen wordt de gebruiker 10 minuten geblokkeerd. Je kunt het aantal pogingen en de tijdsperiode instellen in de instellingen van de plug-in. We raden je aan om strenger te zijn dan de standaardinstellingen. Bijvoorbeeld: drie mislukte pogingen, 15 minuten blokkeren. Als je een grote site hebt met veel gebruikers die inloggen, moet je misschien wat milder zijn. Bijvoorbeeld vijf mislukte pogingen, vijf minuten blokkeren.

DoLogin Security ondersteunt nog andere beveiligingsmaatregelen, zoals 2-factor authenticatie, whitelists en blacklists, en het invoegen van een captcha. Je kunt dus maximale veiligheid bij het WordPress inloggen bereiken.

Tip: als je van STRATO WordPress Hosting gebruikmaakt en voor de veilige modus kiest, zorgt de plug-in Limit Login Attempts Reloaded ervoor (zoals de naam al suggereert) dat het aantal inlogpogingen wordt beperkt.

Aan de slag met WordPress?

Naar onze WordPress pakketten
Zoekwoorden: , ,

Delen

Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.

Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.

 

Deze website maakt gebruik van cookies voor onder andere Google Analytics. Deze melding verdwijnt zodra je de cookies hebt geaccepteerd. Meer informatie