Om het aantal bruteforce aanvallen op Wordpress websites te stoppen hebben wij al lange tijd server breed basic authentication (htpasswd) voor alle wp-admin mappen geplaatst. Daarbij plaatsen wij de gebruikersnaam en wachtwoord van de extra login in de "AuthName" waarde van de configuratie zodat alle browsers dit netjes in de tekst boven de invoervelden tonen. Security technisch natuurlijk onzin maar voor de menselijke bezoeker van wp-admin een vriendelijke oplossing en de automatische bots snappen dat verder toch niet.
Tot enkele dagen geleden, nu Google Chrome heeft besloten de tekst uit de "AuthName" niet meer te tonen in het loginveld. Gevolg is dat klanten de inloggegevens niet meer zien en zich geen raad weten, dus wij moeten op zoek naar een andere methode om de bruteforce aanvallen te stoppen.
Iemand suggesties?
Eigen inbreng: een mooie manier is een captcha formulier. Bezoeker gaat naar wp-admin en wordt geredirect naar een pagina waarin hij/zij zijn menselijke aanwezigheid aantoont, vervolgens gaat diegene terug naar de origineel opgevraagde pagina. Heeft iemand dit al gemaakt en wil diegene dat met ons WHT'ers delen? Dat scheelt het wiel opnieuw uitvinden