Het beveiligen van je WordPress website vergt de nodige aandacht. Het gebruiken van een sterke gebruikersnaam en wachtwoord is een goed begin, maar als je echt wilt voorkomen dat je het slachtoffer wordt van een brute force attack, moet er meer gebeuren. Eén van de beste manieren om je risico te minimaliseren, is het instellen van IP restricties. In dit artikel vertellen je we hoe je de toegang tot je WordPress inlogpagina kunt beperken, zowel voor statische als dynamische IP adressen.
Waarom zou ik loginpogingen beperken?
WordPress is standaard zo ingesteld dat bezoekers zo vaak als ze willen gebruikersnaam en wachtwoord combinaties kunnen invoeren. Zouden ze dit handmatig doen, dan kost dat natuurlijk heel veel tijd. Daarom maken hackers gebruik van speciale scripts, waarmee ze binnen enkele minuten tienduizenden combinaties kunnen uitproberen. En dan bestaat de kans dat je website, ondanks jouw super sterke wachtwoord, dus wel gehackt wordt. Dit is de reden dat het belangrijk is om het aantal loginpogingen voor bezoekers te beperken.
Om een voorbeeld te geven: als je het maximale aantal loginpogingen instelt op 3, zal de bezoeker die probeert in te loggen na drie mislukte pogingen automatisch tijdelijk geblokkeerd worden. Het is ook mogelijk om het IP adres dat probeerde in te loggen gedurende een vooraf vastgestelde tijd te blokkeren – 5 minuten, 5 uur, 5 dagen of zelfs 5 jaar.
Hoewel je dit kunt doen met behulp van een gratis plugin zoals Login LockDown, is het ook goed om te weten hoe je dit handmatig kunt doen. Het is namelijk super makkelijk!
Wat je moet weten over IP adressen
IP adressen worden onderverdeeld in statische en dynamische IP adressen. Google legt dit goed uit:
Wanneer een apparaat een statisch IP adres krijgt toegewezen, dan verandert dit niet. De meeste apparaten maken echter gebruik van dynamische IP adressen. Deze worden toegewezen door het netwerk waarmee ze verbinding maken, en veranderen in de loop der tijd.
Wanneer je verbinding maakt met het internet, wijst de provider je, op basis van je account type, een statisch of een dynamisch IP adres toe. Op beide soorten IP adressen kun je IP restricties toepassen. Als jij (de admin) een statisch IP adres hebt en thuis op je WordPress Dashboard inlogt, dan blijft je IP adres hetzelfde. Heb je een dynamisch IP adres gekregen, dan bestaat de kans dat dit zich automatisch verandert. In zo’n geval weet je dus nooit zeker wanneer je IP adres zal veranderen, of waarin het zal veranderen.
IP restricties instellen
Stap 1: Maak een backup van je .htaccess bestand
Het configuratie bestand van je WordPress site, .htaccess, is heel belangrijk. Daarom moet je hier altijd eerst een backup van maken. Op die manier kun je het bestand altijd weer herstellen als er onverhoopt iets fout gaat. Heb je nog geen backup systeem, kijk dan eens naar VaultPress of één van de andere WordPress backup plugins.
Stap 2: Achterhaal je IP adres
Heb je een backup van je .htaccess bestand gemaakt? Dan moet je weten wat je IP adres is. Als je dat niet weet, kun je dit gemakkelijk achterhalen via bijvoorbeeld WhatIsMyIP.com.
Stap 3: Open je .htaccess bestand
Open je .htaccess bestand met een tekstbewerker of HTML editor.
Heb je een statisch IP adres? Ga dan verder met stap 4a.
Heb je een dynamisch IP adres? Ga dan verder met stap 4b.
Stap 4a: IP restricties instellen voor statische IP adressen
Het principe achter deze methode is een lijst creëren van veilige IP adressen, voor jou en eventuele andere gebruikers die op je site moeten inloggen. Dit zorgt ervoor dat degenen die toegang nodig hebben dat krijgen, en de rest niet.
Voeg de onderstaande code boven in je .htaccess bestand toe:
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^12\.345\.678\.90
RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$
RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$
RewriteRule ^(.*)$ - [R=403,L]
Vervang de IP adressen in regel 4 en 5 met de statische IP adressen die je wel toegang wil verschaffen. Als je meer dan 3 IP adressen als ‘veilig’ wil instellen, kopieer dan de vierde regel en voeg de IP adressen toe.
Stap 4b: IP restricties instellen voor dynamische IP adressen
Voeg de onderstaande code boven in je .htaccess bestand toe:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site's-name.com [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ - [F]
Zorg dat je your-site’s-name.com door je eigen domeinnaam vervangt!
Tot slot
IP restricties instellen voor je WordPress inlogpagina is een uitstekende preventieve maatregel om je WordPress site veiliger te maken. Wil je weten wat je nog meer kunt doen? Lees dan ons artikel over WordPress updates en beveiliging.
