Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Als je mijn vorige berichten over Brute Force Attacks gelezen hebt (Aanvallen op WordPress websites,
Brute force attacks wp-login.php verminderen) en dit ook hebt toegepast op je WordPress website dan ben je toch al een heel eind. Maar een nadeel is wel dat de bots die deze Brute Force Attacks uitvoeren het gewoon zullen blijven proberen.

De server krijgt dus nog steeds erg veel aanvragen die verwerkt moeten worden.

In Brute force attacks wp-login.php verminderen geef ik code + uitleg over hoe je de URL voor het inloggen kunt aanpassen. Een nadeel van WordPress (wat qua gebruiksvriendelijkheid wel te begrijpen is) is dat als je naar mijndomeinnaam.nl/wp-admin/ automatisch naar je inlogpagina wordt doorgestuurd als je niet bent ingelogd.

Nou bleek dat ik in de laatste aanpassing van de PHP code in die post in de functie voor het checken of de key wel toegevoegd was vergeten was de $secret_key als global op te vragen (global $secret_key; daarstraks toegevoegd, code klopt nu dus wel weer). Daardoor werd het opvragen van wp-login.php nog wel goedgekeurd (wat dus resulteerde in het weergeven van de inlogpagina).

Naast die wijziging heb ik zojuist bij de website van een opdrachtgever de volgende .htaccess code toegevoegd:

Deze code heb ik onder de .htaccess code van het Brute force attacks wp-login.php verminderen artikel gezet.

Bovenstaande .htaccess code zorgt ervoor dat aanvragen naar wp-admin & wp-login.php zónder de juiste domeinnaam als referrer worden doorgestuurd naar het IP-adres van de persoon/bot die de aanvraag doet. Door het XXXXXX deel aan te passen naar de geheime key die je hebt gebruikt in de .htaccess & PHP van mijn eerdere artikel krijg je wel toegang tot de inlogpagina als je de geheime inlog URL gebruikt.
Vergeet ook niet het domain.com te vervangen voor je eigen URL.

Een plugin als limit login attempts naast deze (en de eerdere) code gebruiken raad ik wel aan. Mocht de inlog URL om wat voor reden dan ook alsnog achterhaald worden, dan heb je in ieder geval een fallback die het aantal inlogpogingen – die gedaan mogen worden – vermindert.

Deel Tweet Deel Deel

WooCommerce

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*

Skip to content