'Failed login attempts' mailtjes van je website

Ontvang je de laatste tijd mailtjes vanaf je website met in de onderwerpregel ‘Failed login attempts’, dan ben je niet de enige. Deze berichten waarschuwen je voor inlogpogingen op het beheer van je WordPress website. Het is verstandig om in actie te komen en de waarschuwingen niet te negeren.

Brute-force attacks

Aanvallen om digitaal in te breken worden ‘brute-force attacks’ genoemd. Als de hacker wil inbreken op het beheer van je WordPress website, dan wordt de inlogpagina van je website bestookt met allerlei combinaties gebruikersnamen en wachtwoorden. Dit doet de hacker niet handmatig, maar met speciale software, die botweg alle mogelijke opties uitprobeert, net zo lang tot de juiste combinatie is gevonden en er ingelogd kan worden. Zwakke gebruikersnamen en wachtwoorden zijn daarbij heel snel achterhaald.

‘Failed login attempts’ mailtjes van je website

Dit soort aanvallen op je website zijn van alle tijden. Waarom krijg je dan nu ineens dit soort mailtjes?

De WordPress plugin ‘Limit Login Attempts Reloaded’ stuurt je deze mailtjes. Deze plugin beperk het aantal inlogpogingen op je website. Bij te vaak invoeren van onjuiste inloggegevens wordt het IP-adres automatisch geblokkeerd. Het is een belangrijke plugin omdat hiermee een brute-force aanval moeilijk of onmogelijk is.

De plugin is kort geleden geüpdatet met een nieuwe functie: jou een waarschuwingsbericht sturen als er veel inlogpogingen zijn op je website.

Brute force attacks voorkomen

De plugin Limit Login Attempts Reloaded is een belangrijk en sterk wapen in de strijd tegen brute force attacks. Als er bijvoorbeeld 4 maal is ingelogd met verkeerde inloggegevens, wordt het IP-adres een bepaalde tijd, bijvoorbeeld 20 minuten, geblokkeerd. En als een IP-adres binnen 12 uren 4 keer is geblokkeerd, duurt de blokkering 24 uur. Zo voorkom je dat een hacker eindeloos kan proberen in te loggen.

Natuurlijk is het belangrijk dat je een sterk wachtwoord gebruikt dat niet gemakkelijk te raden is.

Een erg effectieve manier is de locatie van de inlogpagina wijzigen.

De locatie van de inlogpagina wijzigen

Op alle WordPress websites log je door achter de domeinnaam /wp-admin of /wp-login.php te zetten, bijvoorbeeld jewebsite.nl/wp-admin. Hackers weten dat ook en op die pagina laten ze hun hack-software los. Als je inlogpagina op een andere, unieke plek staat, is deze voor hackers niet gemakkelijk te vinden. De brute-force attacks stoppen en je krijgt geen failed login attemtps mailtjes meer. Twee vliegen in één klap dus.

Er zijn verschillende plugins om de locatie van de inlogpagina te wijzigen. Alleen werken veel van die plugins niet goed samen met Installatron. Installatron is onderdeel van je hostingpakket en het zorgt er bijvoorbeeld voor dat WordPress en de plugins van je website up-to-date blijven en dat er een back-up wordt gemaakt voordat een automatische update wordt gedaan. Gelukkig hebben we een plugin gevonden die wel goed samen gaat met Installatron: Change wp-admin login.

Change wp-admin login installeren

Klik in het beheer van je WordPress website op Plugins > Nieuwe plugin.
In het vakje Plugins zoeken typ je Change wp-admin login.

Klik op de knop Nu installeren. Na installatie klik je op Activeren. (Dit is dezelfde knop, alleen de naam is gewijzigd van Nu installeren naar Activeren.)
Klik in de menubalk aan de linkerkant op Instellingen > Permalinks.
Onderaan de pagina kun je bij Change wp-admin login de locatie van de inlogpagina wijzigen. Standaard is hier ingevuld login. Wijzig dat in iets anders.

Bij Redirct URL kun je een pagina invullen waar naartoe gegaan wordt als de oude, originele inloglink wordt gebruikt. Dit is optioneel. Vul je hier niets in, dan gaat men naar de homepagina. Wil je dat men naar een specifieke pagina gaat, vul dan niet een volledige URL in, maar alleen het laatste deel van de URL (de slug), bijvoorbeeld contact.
Klik op Wijzigingen opslaan.

Vanaf nu log je in door dat wat je bij Login URL hebt ingevuld achter de URL van je website te zetten. Bij bovenstaande afbeelding staat bij Login URL stipbeheerder. De inlogpagina is dan bereikbaar via: jedomeinnaam.nl/stipbeheerder

Minder of geen ‘failed login attempts’ mailtjes ontvangen

Weet je zeker dat je een sterk wachtwoord hebt en wil je minder of geen mail ontvangen van de plugin Limit Login Attempts Reloaded, dan kun je dat eenvoudig instellen. Je krijgt dan geen of minder meldingen.

N.B. Vooral als je instelt dat je geen meldingen meer wilt ontvangen, kan dat gevaarlijk zijn. We raden daarom aan om de locatie van de inlogpagina te wijzigen en de instellingen van de plugin Failed login attempts ongewijzigd te laten. Dat is veiliger en je bereikt hetzelfde: geen meldingen meer, want hackers kunnen je inlogpagina niet meer vinden.

Klik in het beheer van je WordPress website op Instellingen > Limit Login Attempts.
Op het tabblad Instellingen kun je bij Stuur bericht bij uitsluiting aangeven na hoeveel uitsluitingen (blokkeringen) je een waarschuwing wilt ontvangen. Standaard is dat ingesteld op 3. Wil je minder vaak een bericht ontvangen, verhoog dan dit aantal.
Als je helemaal geen mail meer over mislukte inlogpogingen meer wilt ontvangen, verwijder dan het vinkje bij Stuur bericht bij uitsluiting, Stuur e-mail naar.
Klik onderaan de pagina op Instellingen opslaan om de wijzigingen vast te leggen.
Als je ervoor hebt gekozen om helemaal geen mailberichten over mislukte inlogpogingen te ontvangen, zie je mogelijk een waarschuwing. Deze klik je weg door te klikken op Herinner mij over een maand vanaf nu of op Niet meer weergeven.