Server staat dagelijks te zwoegen door brute-force-pogingen op /wp-login.
Brute-force op WordPress is constant achtergrondruis. Met Cloudflare WAF of een security-plugin stop je 95 procent voor het je server raakt.
Probeer dit eerst zelf
- 1Zet Cloudflare voor de site (gratis-tier is voldoende) en maak een WAF-rule: block alle POST-requests naar /wp-login.php behalve van jouw kantoor-IP.
- 2Geen Cloudflare? Installeer Wordfence of Limit Login Attempts Reloaded. Beide blokkeren IP's na X mislukte pogingen.
- 3Verberg /wp-login.php niet door hem te hernoemen, dat is security-through-obscurity en breekt vaak plugins. Beter: throttle en monitor.
- 4Schakel two-factor authentication in voor alle admins. Met 2FA blijft een gestolen wachtwoord nog steeds onbruikbaar.
- 5Disable XML-RPC als je het niet gebruikt. Veel bots vallen daar binnen via system.multicall, en dat omzeilt rate-limits.
- 6Monitor login-pogingen wekelijks. Een spike zegt soms dat een specifieke gebruiker getarget wordt; reset diens wachtwoord.
Wanneer ons inschakelen
Krijg je gerichte aanvallen vanuit veel IP's tegelijk (botnet), dan is een betaalde Cloudflare-plan met Bot Management of een aparte WAF (Sucuri) verstandig.
Zie ook
- WordPress, plugins en thema staan al 6+ maanden zonder updatesOut-of-date WP is de nummer-1 instap voor malware. Niet zomaar 'update all' klikken, eerst back-up.
- Thema-update gedaan en de layout is kapot of fatal errorThemes overschrijven custom-CSS bij een update als je niet via een child-theme werkt.
- WordPress geeft wit scherm na plugin-installatie of updateWSOD (white screen of death) komt meestal door één plugin die crasht. Je moet hem isoleren.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.