Standaard zit er bij WordPress geen limiet aan het aantal inlogpogingen. Dit is dus een buitenkans voor hackers om op een relatief makkelijke manier toegang te krijgen tot je account. Een gebruikersnaam is zo achterhaald, bijvoorbeeld door de reacties door te kijken op je site of na te gaan door wie een artikel geschreven is, en het enige wat dan nog resteert is het wachtwoord. Er zijn verschillende manieren om het wachtwoord te achterhalen, maar alle manieren hebben meerdere inlogpogingen nodig voordat ze succesvol zijn. Daarom is het dus handig om het aantal inlogpogingen te limiteren.

Een simpele plugin om dit voor elkaar te krijgen , is Limit Login Attempts. De plugin is gemakkelijk in de installatie, want alles staat meteen op een juiste manier ingesteld en is ook nog eens in het Nederlands beschikbaar. We kunnen de plugin, na het installeren en activeren, vinden onder ‘Instelingen > Limit Login Attempts’. We krijgen dan het volgende scherm te zien:

Als eerste zien we de statistieken staan. Nu de plugin net geïnstalleerd is, staan hier nog geen waardes bij ‘Totaal aantal blokkades’. Wanneer er iemand heeft geprobeerd toegang te krijgen tot een account op je site, en na een aantal inlogpogingen is geblokkeerd, komt hier het aantal blokkades te staan met een knop om de teller weer op 0 te zetten.

Hierna komen we aan bij de instellingen. Standaard staat dit ingesteld op 4 mogelijke inlog pogingen voordat er een blokkade van 20 minuten in werking treedt. Na deze 20 minuten kunnen er weer 4 inlogpogingen gedaan worden voordat de  tweede blokkade van 20 minuten in werking treedt. Standaard staat er ingesteld dat er na 4 van deze blokkades (= 16 foute inlog pogingen in totaal) de blokkade verhoogd wordt naar 24 uur. Verder staat er ingesteld dat de foute  inlog pogingen voor 12 uur onthouden worden. Dit betekent dat als je een fout hebt gemaakt met inloggen, dit als foute inlog poging 1 telt. Als je binnen 12 uur nog een keer in wil loggen en weer een fout maakt, wordt dit als foute inlog poging 2 gezien. Pas dus wel op dat je zelf niet binnen 12 uur vier keer een foute inlog poging ondergaat, anders wordt je zelf ook voor 20 minuten buitengesloten!

Daarna komen we aan bij de optie op welke manier de site te bereiken is; met een directe verbinding of via een reverse-proxy. Laat het vinkje bij directe verbinding staan, tenzij je er zeker van bent dat je via een reverse-proxy de site benaderd. Een reverse-proxy wordt gebruikt bij servers en zal dus niet snel het geval zijn als je thuis met je site werkt, dus directe verbinding aangevinkt hebben is een veilige keus.

‘Omgaan met cookie loginverzoeken’ zou ik aangevinkt houden, want dit betekent dat het aantal inlogpogingen ook beperkt wordt als er cookies gebruikt worden.

Verder zijn er nog waarschuwingen in het geval van een blokkade in te stellen. Standaard staat ‘Log IP adres’ aangevinkt, en dit zorgt ervoor dat, wanneer er een blokkade optreedt, onderaan een lijst komt te staan met daarbij het IP adres van de computer die geblokkeerd is en onder welke gebruikersnaam is geprobeerd in te loggen. Ook kan er ingesteld worden dat je een email krijgt als er een bepaald aantal blokkades zijn opgetreden. Dit kan handig zijn als je verder geen aandacht meer besteedt aan de instellingen van Limit Login Attempts, en dus niet vaak meer op deze pagina komt.

Michel Kraaijeveld

Michel Kraaijeveld is oprichter van WPsitemaken. Hij is ervan overtuigd dat het voor iedereen mogelijk moet zijn om een eigen website te maken, zonder lastige handleidingen door te hoeven nemen. Zelf is hij al 6 jaar actief met WordPress en probeert zijn kennis op een simpele manier over te brengen aan anderen.