Beginnende gebruikers die met WordPress aan de slag gaan hebben moeite om op hun accounts in te loggen. In dit artikel leg ik uit hoe je de URL van je WordPress login kunt vinden en een paar andere essentiële dingen die met betrekking tot het inlogproces uitgelicht moeten worden.

Laat we bij het begin beginnen.

Kijk je liever de videoversie?

Het belang van de WordPress login

Nadat je WordPress hebt geïnstalleerd, krijg je toegang tot het beheerdersdashboard van je website. Hier heb je de mogelijkheid om je site naar wens in te stellen en een aantal dingen te wijzigen.

Dit zou onmogelijk zijn als je geen toegang tot de beheerpagina’s had. De inlogpagina weerhoudt, jou – en anderen – ervan om toegang te krijgen tot de beheerders “kant” van je WordPress site.

Het is vrijwel onmogelijk om volledige controle over je site/blog te nemen als je geen toegang tot het beheergedeelte hebt.

Maar waar bevindt deze WordPress inlogpagina zich?

Hoe je de URL van je WordPress login kunt vinden

Het vinden van de WordPress inlogpagina is waarschijnlijk eenvoudiger dan je zou verwachten. Bij een nieuwe WordPress installatie voeg je het volgende toe /admin/ (bijv: www.jouwmooiesite.nl/admin/) of /login/ (bijv: www.jouwmooiesite.nl/login/) aan het einde zal de website URL je naar de login pagina doorsturen.

Meestal moeten deze twee je rechtstreeks naar je WordPress inlogpagina leiden. Als dit niet gebeurt, dan is er een extra manier om je inlogpagina te bereiken: je kunt /wp-login.php aan het einde van de URL toevoegen, zoals in dit voorbeeld: www.jouwmooiesite.nl/wp-login.php.

Hoe de URL van de WordPress login in een submap of subdomein te vinden

Dit alles werkt voor een standaard en nieuwe WordPress installatie. Maar er is een kans dat je WordPress in een submap van je domein geïnstalleerd hebt, zoals www.jouwmooiesite.nl/wordpress/ of een WordPress subdomein zoals blog.jouwmooiesite.nl/.

Als dat het geval is, dan moet je direct na de slash van de submap/subdomein, dat wil zeggen het symbool / een van de bovengenoemde paden toevoegen, om zoiets als dit te krijgen:

  • www.jouwmooiesite.nl/wordpress/login/ of
  • www.jouwmooiesite.nl/wordpress/wp-login.php

Welke je ook gebruikt, elk van hen zou je naar je WordPress inlogpagina moeten brengen. Als je dit niet wilt vergeten, maak dan gewoon een bladwijzer van je voorkeur URL.

Als alternatief is er een “onthoud mij” optie in het WordPress inlogscherm waarmee je ingelogd kunt blijven en het beheerdersdashboard een paar dagen kunt bereiken zonder opnieuw in te hoeven loggen (op basis van hoe je cookies zijn ingesteld):

The
De “onthoud mij” optie op het inlogscherm van WordPress

Inloggen via de WordPress inlogpagina is een cruciale, maar eenvoudige taak om te doen. Als er niets mis en/of kwaadaardigs op je site is, dan heb je alleen je e-mailadres/gebruikersnaam en je wachtwoord nodig.

Dat is alles. Helaas zijn er overal criminelen en kan je site een doelwit worden.

Wat kun je dan doen om ze te ontmoedigen?

Laten we de inlogpagina tenminste verplaatsen!

Hoe de WordPress inlogpagina te wijzigen

Je inlogpagina mag niet voor hackers en kwaadwillende aanvallers (ook wel criminelen genoemd) toegankelijk zijn, omdat ze mogelijk toegang tot de beheerpagina van je site krijgen en dingen kunnen verpesten. Geen fijne ervaring om te hebben, geloof me!

Hoewel het gebruik van een sterk, uniek, lang wachtwoord echt in je voordeel kan werken om ongeoorloofde toegang tot je site te voorkomen, zijn er nooit genoeg dingen die je kunt doen wanneer de beveiliging in het geding is.

Een snelle en effectieve manier om de criminelen weg te houden, is door de WordPress inlogpagina te verplaatsen naar een nieuwe unieke URL naar keuze. Het wijzigen van de inlog URL waarmee jij en je gebruikers toegang kunnen krijgen tot je WordPress site kan echt helpen bij het bestrijden van willekeurige aanvallen, hacks en brute force-aanvallen.

Iets over brute force-aanvallen: brute force-aanvallen zijn hackpogingen waarbij het kwaadwillende subject herhaaldelijk je gebruikersnaam en wachtwoord probeert te raden, hierbij wordt gebruik gemaakt van lijsten met veelgebruikte gebruikersnamen en wachtwoorden die op het web zijn gelekt. Wat ze doen, is dat ze duizenden combinaties proberen en profiteren van scripts die al hun pogingen automatiseren.

Tegenwoordig is de kans groot dat je WordPress wachtwoord of gebruikersnaam op een van deze gelekte lijsten staat. Als je daarnaan toevoegt dat de standaard inlog URL van WordPress iets is dat in dit scenario algemeen bekend is, dan zul je begrijpen hoe gemakkelijk het voor hackers en kwaadwillende aanvallers is om toegang tot je WordPress site te krijgen.

Daarom kan het helpen om de WordPress inlogpagina naar een ander pad te verplaatsen.

Wijzig je WordPress inlogpagina met een plugin

De meest gebruikelijke en waarschijnlijk eenvoudigste manier om de URL van je WordPress inlogpagina te wijzigen, is met behulp van een gratis plugin zoals WPS Hide Login, die door meer dan 400.000 gebruikers actief wordt gebruikt.

De plugin is erg lichtgewicht en, belangrijker nog, het verandert niets aan de bestanden aan de core en voegt ook geen rewrite-regels toe. Het enige dat de plugin doet is het opvangen van verzoeken. Verder is hij compatibel met de plugins BuddyPress, bbPress, Limit Login Attempts, en User Switching.

WPS Hide Login plugin
WPS Hide Login plugin

Na het downloaden en activeren hoef je alleen nog het volgende te doen:

  1. Klik op WPS Hide Login op het tabblad Instellingen in je rechterzijbalk.
  2. Voeg het nieuwe pad voor je Login URL toe in het veld Login URL.
  3. Voeg een specifieke redirect URL toe aan de Redirection URL. Deze pagina wordt geactiveerd wanneer iemand toegang probeert te krijgen tot de standaardpagina wp-login.php en de map wp-admin, terwijl deze niet ingelogd is.
  4. Klik op Wijzigingen opslaan.
WPS Hide Login plugin
WPS Hide Login plugin

Een alternatieve premium plugin die je kunt gebruiken om je inlog URL te wijzigen is Perfmatters, die door een van de teamleden bij Kinsta ontwikkeld is.

Omdat het wijzigen van de URL van je WordPress login kan helpen om de oppervlakkige aanvallers van toegang tot je site af te houden, wil ik hier duidelijk zijn: experts en professionele hackers kunnen mogelijk nog een stapje verder gaan en je inlogpagina toch achterhalen.

Waarom zou dat je interesseren? Nou, beveiliging is een spel met lagen (waarbij de kwaliteit van je hosting een belangrijke rol speelt): hoe meer tools, trucs en muren je hebt, hoe moeilijker het voor de criminelen is om op je site in te breken en de controle te krijgen.

Het veranderen van je de login URL kan ook helpen om vaak voorkomende WordPress foutmeldingen als “429 Too Many Requests.” te voorkomen. Deze worden doorgaans door de server gegenereerd wanneer de gebruiker teveel aanvragen binnen een bepaald tijdsbestek heeft gedaan (rate-limiting). Dit kan door bots en script gebeuren die je login URL targeten. Het is zelden een normale gebruiker die deze error veroorzaakt.

429 too many requests
429 too many requests

Wijzig je WordPress inlogpagina door je .htaccess-bestand te bewerken

Een andere, meer technische manier om de URL van je WordPress inlogpagina te wijzigen of te verbergen, is door je .htaccess-bestand te bewerken.

Gewoonlijk gebruikt met cPanel-hosts, de belangrijkste rol van het .htaccess-bestand is het configureren van regels en het instellen van systeembrede instellingen. Omdat we het over het verbergen van de inlogpagina hebben, kan .htaccess dat op twee specifieke manieren doen.

De eerste gaat over het beschermen van je inlogpagina met een wachtwoord met een .htpasswd, zodat iedereen die je inlogpagina bereikt, een wachtwoord moet invoeren voordat hij toegang tot de inlogpagina heeft. Als je een Kinsta klant bent, dan gebruiken we Nginx, daarom is er geen .htaccess-bestand.

U kunt onze htpasswd tool gebruiken om uw hele site met een wachtwoord te beveiligen, of u kunt contact opnemen met ons support team om alleen uw inlogpagina te blokkeren.

.htpasswd authenticatie prompt
.htpasswd authenticatie prompt

De tweede optie die je hebt is het inschakelen van toegang tot je inlogpagina op basis van een lijst met vertrouwde IP-adressen.

Limiting Login Attempts

Een andere effectieve beveiligingsmethode is het beperken van het aantal inlogpogingen. Als je klant bent van Kinsta, dan bannen we automatisch IP’s die meer dan 6 mislukte inlogpogingen hebben binnen een minuut.

Of je kan een gratis plugin downloaden zoals Limit Login Attempts Reloaded.

Limit login attempts reloaded
Limit login attempts reloaded

De opties van de plugin spreken voor zichzelf.

  • Total Lockouts: geeft je het aantal hackers die probeerden in te breken maar niet slaagden.
  • Allowed retries: het aantal toegestane pogingen per IP-adres voordat je ze uitsluit.

Ergens tussen vier en zes pogingen is waar de meeste website-eigenaren voor kiezen. Dit stelt ’echte mensen’ in staat om fouten te maken (en geef toe, we maken allemaal wel eens een foutje als het gaat om wachtwoorden), zich te realiseren dat ze een foutje hebben gemaakt en het probleem op te lossen.

Het is belangrijk dat je het boven 1 of 2 zet, helemaal als je vaak gastbloggers hebt of verschillende teamleden hebt die content aanleveren of je site beheren.

  • Minutes lockout: hoe lang een IP-adres wordt uitgesloten.

Het is verleidelijk om dit in te stellen op “forever”, maar hiermee help je de mensen niet die a fen toe een foutje maken – deze wil je de mogelijkheid geven om een halfuurtje later het nog een keer te proberen. 20-30 minuten is wat we hier aanbevelen.

  • Lockouts increase: als het een bruteforce-aanval is, dan komt hij waarschijnlijk terug.

Deze functie zegt eigenlijk: “Ik heb je nu een aantal keren uitgesloten, dus ik geef je nu even een wat langere time-out.” Een dag is een goed tijdsbestek voor deze functie.

  • Hours until retries: het tijdsbestek waarna alles wordt gereset en mensen weer opnieuw kunnen inloggen.

Met de plugin kan je ook een whitelist, blacklist en een lijst met vertrouwde IP’s beheren.

De tweede optie die je hebt, is toegang tot je inlogpagina mogelijk maken op basis van een lijst met vertrouwde IP-adressen.

Hoe de meest voorkomende problemen met de WordPress login op te lossen

Inloggen op je WordPress site is een snelle en gemakkelijke taak. Maar toch hebben een aantal gebruikers – jij? – mogelijk problemen ondervonden bij het openen van hun WordPress site. Dergelijke problemen vallen meestal onder een van de volgende scenario’s:

  • Problemen met het wachtwoord.
  • Problemen met cookies.

Laten we ze allebei bekijken en kijken hoe we ze aan kunnen pakken!

WordPress Login: Wachtwoord verloren/vergeten

Als je niet in kunt loggen, dan heb je misschien een probleem met je inloggegevens.

Het eerste wat je dus moet doen, is controleren of je gebruikersnaam en wachtwoord die je typt, juist zijn. Ik weet het, het klinkt suf, maar je hebt geen idee hoe vaak we deze verkeerd typen.

Heeft het gewerkt? Als dit niet het geval is, dan wil je misschien eerst je WordPress wachtwoord veranderen voordat je iets anders probeert. Om dit te doen klik dan op Wachtwoord vergeten?  direct onder het inlogformulier:

Optie "Wachtwoord vergeten"
Optie “Wachtwoord vergeten”

Je wordt doorgestuurd naar een pagina waar je gebruikersnaam/e-mailadres wordt gevraagd en je een nieuw wachtwoord toegestuurd krijgt:

Hoe een nieuw WordPress wachtwoord te krijgen
Hoe een nieuw WordPress wachtwoord te krijgen

Reset WordPress wachtwoord handmatig met phpMyAdmin

Als dit niet werkt, dan wordt het een beetje ingewikkelder, omdat je een handmatige wachtwoord-reset moet uitvoeren. Doe dit alsjeblieft niet als je je niet op je gemak voelt bij het werken met databasebestanden.

Je kunt je WordPress inlogwachtwoord handmatig resetten door het wachtwoordbestand in je database te bewerken. Als je toegang hebt tot phpMyAdmin in je host, dan zou dit niet moeilijk moeten zijn.

Maak voor het geval er iets misgaat altijd een back-up van je site voordat je wijzigingen aanbrengt in databasebestanden.

Klaar? Geweldig!

Stap 1

Log je nu in bij phpMyAdmin. Als u een Kinsta client bent, kunt u de login link naar phpMyAdmin vinden in het MyKinsta dashboard.

Inloggen op phpMyAdmin
Inloggen op phpMyAdmin

Stap 2

Klik aan de linkerkant in je database. Klik vervolgens op de tab met de naam wp_users. Klik vervolgens naast de gebruikers login die je opnieuw moet instellen op “Bewerken”.

Bewerk gebruiker in phpMyAdmin
Bewerk gebruiker in phpMyAdmin

Stap 3

Voer in de user_pass kolom een nieuw wachtwoord in (het is hoofdlettergevoelig). Selecteer in het Functie keuzemenu MD5. Klik vervolgens op “Ga”.

Reset wachtwoord in phpMyAdmin
Reset wachtwoord in phpMyAdmin

Stap 4

Test het nieuwe wachtwoord op je inlogscherm.

Reset WordPress wachtwoord handmatig met WP-CLI

Een andere manier om je WordPress wachtwoord opnieuw in te stellen is door WP-CLI te gebruiken. WP-CLI is een command line tool voor ontwikkelaars om veelvoorkomende taken (en niet zo gebruikelijk) van een WordPress installatie te beheren.

Stap 1

Gebruik eerst de volgende opdracht om alle huidige gebruikers in de WordPress installatie weer te geven.

$ wp user list

Stap 2

Werk vervolgens het gebruikerswachtwoord bij met de volgende opdracht, samen met de gebruikers-ID en het nieuwe gewenste wachtwoord.

$ wp user update 1 --user_pass=strongpasswordgoeshere

Stap 3

Test het nieuwe wachtwoord op je inlogscherm.

WordPress Login: Cookies

In sommige gevallen kun je mogelijk niet inloggen vanwege problemen met cookies. Als dit het geval is, dan krijg je meestal de volgende foutmelding:

Error: Cookies are blocked or not supported by your browser. You must enable cookies to use WordPress.

Error cookies zijn geblokkeerd of worden niet ondersteund
Error cookies zijn geblokkeerd of worden niet ondersteund

De WordPress login is afhankelijk van cookies om zijn werk te doen. Als ze zijn uitgeschakeld of niet correct werken, dan is de kans groot dat je op de inlogpagina problemen ondervindt. Het eerste dat je moet controleren, is dat de cookies in je browser zijn ingeschakeld:

We zien dit vaak bij installaties van WordPress die onlangs gemigreerd zijn of bij multisites. Soms kun je deze fout simpelweg oplossen door je browser te vernieuwen en opnieuw in te loggen. Je kunt ook proberen het cachegeheugen van je browser te wissen of een andere browser in de incognitomodus te openen.

Als geen van de bovenstaande oplossingen werkt, dan kun je proberen de onderstaande regel toe te voegen aan je wp-config.php-bestand, vlak voor /* That's all, stop editing!...*/

define('COOKIE_DOMAIN', false);

Als het een installatie met meerdere locaties is, dan wil je misschien controleren of er een sunrise.php bestand in de map /wp-content/ staat en de naam wijzigen naar insunrise.php.disabled.  Dit is een bestand dat gebruikt wordt door een oudere methode voor het toewijzen van domeinen.

Vanaf WordPress 4.5 is voor multisite geen plugin meer nodig om domeinen toe te wijzen. Als je een Kinsta klant bent en hierover niet zeker bent, neem dan contact op met ons supportteam en vraag om hulp.

Samenvatting

Je WordPress inlogpagina is het portaal die je toegang geeft tot je site. Als je niet succesvol in kunt loggen, dan ben je slechts een bezoeker van de site.

Daarom moet je leren hoe je deze belangrijke pagina kunt bereiken, zodat je niet veel tijd verspilt wanneer je je bij je WordPress site in wilt loggen.

Wil je je beveiliging een beetje verbeteren? Wijzig de standaard WordPress inlog URL met een aangepaste URL naar keuze en deel die URL alleen met mensen die je vertrouwt! Zorg er ook voor dat u deze gids controleert als WordPress u blijft uitloggen.

(Leessuggestie: Zo verander je je WordPress URL)

Matteo Duò Kinsta

Hoofdredacteur bij Kinsta en content marketing consultant voor WordPress plugin-ontwikkelaars. Verbind met <a href="">Matteo op Twitter.