Roy
(@gangleri)
Ik heb een aantal websites en de beveiliging is afhankelijk van het gebruik, maar…:
Op mijn ‘hoofdwebsite’ waar ik de enige gebruiker ben, zitten de map /wp-admin en het bestandje login.php achter een htaccess wachtwoord. Er kan dus niet automatisch gehamerd worden op het inlogscherm. Ik gebruik ook een limit login attempts plugin voor het geval dat. Verder de plugins Bad Behavior en Block Bad Queries die vaak al voorkomen dat een automatische aanval kan worden uitgevoerd. Verder natuurlijk geen “admin” als login. De ‘screenname’ van mijn gebruiker is niet hetzelfde als de inlognaam. wp_ is niet mijn table prefix en ik heb nog een plugin WP Security Scan.
Op andere websites waar ik andere gebruikers toe sta, doe ik het htaccess grapje niet, maar natuurlijk wel limit login attemts. Nieuwe gebruikers moeten door mij worden geaccordeerd en ik dwing een fatsoenlijk wachtwoord af (dmv een plugin).
-> Trouwens, ik heb laatst op alle websites een activity monitor geïnstalleerd. Ik merk dat er de laatste tijd niet alleen geautomatiseerd, maar ook handmatig inlogpogingen worden gedaan. Er zijn plugins die netjes bijhouden met welke login gegevens (gebruiker en wachtwoord) de pogingen worden gedaan en natuurlijk vanaf wel IP adres. Niet dat jij hier veel aan zult hebben als je door een bot wordt lastig gevallen, maar ik vind het zelf wel een handige aanvulling op de rest.