Ik heb zoals in deze thread (http://www.webhostingtalk.nl/shared-webhosting/181186-wat-er-gaande-nog-niet-veel-ervaring.html) beschreven ook de wordpress websites beveiligd.


<Files wp-login.php>
AuthType basic
AuthName "Vanwege aanhoudende bruteforce-aanvallen op WordPress websites hebben we een extra inlog maatregel moeten nemen. Gebruik de volgende gegevens om in te loggen gebruikersnaam: login wachtwoord: login"
AuthBasicProvider file
AuthUserFile /etc/httpd/conf/wordpress.passwd
Require valid-user
ErrorDocument 401 default
</Files>

Alleen heeft wordpress volgens mij met een update hun security policy aangepast. Want pagina’s beveiligd met een wachtwoord krijgen nu ook deze extra beveiliging. En ook gebruikers die een account hebben om bijv. te mogen reageren op blogs. In principe wil ik alleen mijn admin omgeving beveiligingen. En deze mensen er niet mee lastig vallen. Want 99% van deze mensen hebben totaal geen idee waar je het over hebt.
Iemand enig idee?

Er zijn een paar plugins die je dit allemaal vanuit de wp admin laten regelen. http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ is er eentje van.

EDIT: Maak je wel eerst een backup? Je zal niet de eerste zijn die zichzelf buitensluit.

Hoi Domenico,

Bedankt voor jouw reactie. De plugin die je aangeeft is supper. Alleen niet iedereen installeerd deze. Daarom staat server breed bovenstaande .htaccess

Maar ik ben inmiddels al wel verder. Hebt blijkt dat voor de login van de gebruikers twee style sheets geladen worden uit de wp-admin directory. Heb deze aangepast en het “lijkt” nu te werken.

Mij lijkt het altijd een goed idee om de /admin url te veranderen in /myadmin ofzo. Maar ik moet toegeven dat ik geen Wordpress expert ben dus ik weet ook niet of dit zo evident is als ik denk...

de admin login url veranderen kan id met all-in-security-and-firewall plugin.
Je kan daarmee ook een captcha instellen en anders met deze plugin:
https://wordpress.org/plugins/captcha/

Kun je geen two-factor inlog instellen?

Kun je geen two-factor inlog instellen?

zeker :)

Kun je geen two-factor inlog instellen?

Zou in theorie wel kunnen, maar dan heb je ook een SMS gateway nodig. En die zijn best prijzig, zeker als je niet heel veel SMS verstuurt.

Wij hebben er een die nu nog via email een token (met vervaltijd) stuurt, maar straks ook via de API van mollie kan praten.
Bovendien .. als je ingelogged blijft gaat hij het niet nogmaals vragen.

Kijk hier eens naar:
https://latch.elevenpaths.com

Ideal krijg je ook nog eens via de app een berichtje als er een iets probeert.

Zou in theorie wel kunnen, maar dan heb je ook een SMS gateway nodig. En die zijn best prijzig, zeker als je niet heel veel SMS verstuurt.


Je kunt ook diensten zoals DuoSecurity gebruiken, gaat via push (over internet) ipv SMS.
https://wordpress.org/plugins/duo-wordpress/
https://www.duosecurity.com/blog/introducing-the-duo-5-minute-challenge

Werkt bij mij prima op WP en andere CMS :)