Inloggen op een WordPress site of webshop doe je door /wp-admin of /wp-login.php achter de basis url te typen. Je kunt als beveiligings maatregel deze inlog url verbergen. Je kunt er bijvoorbeeld /hideme of /work van maken. Dit is een maatregel die valt binnen het concept ‘security through obscurity (STO)’. Ik zal eerst uitleggen wat dit concept betekent en daarna ingaan op een manier hoe je dit toch kan en moet toepassen.

Security Through Obscurity

Obscuriteit betekent onbekend. Security through obscurity probeert een systeem veilig te houden door de kennis ervan geheim te houden. Interne mechanismen en de werking van een systeem worden op een “need to know” basis gehouden. Als niemand buiten de kerngroep daarvan op de hoogte is, of van de kwetsbaarheden, kan het systeem veilig blijven. In theorie werkt dit, maar de marge voor menselijke fouten is groot. Bij een lek kan het hele systeem in gevaar komen.

Wat is dan de waarde van deze ‘Verberg de Login’ maatregel?

Het is als de sleutel onder de deurmat stoppen en alleen aan de buurvouw vertellen dat de sleutel daar te vinden is. De zekerheid dat de sleutel nooit door een ander gevonden zal worden is er niet. Dat maakt deze maatregel geen harde security maatregel. Mijn advies is dan ook om dit alleen in combinatie met andere (hardere) security maatregelen in te stellen. Onder het devies, maak het zo moeilijk mogelijk om binnen te komen.

Hoe verberg je de Login

Deze maatregel is vaak een optie binnen de mogelijkheden van een security of optimalisatie plugin (zoals Perfmatters), maar er zijn ook plugins die je hiervoor kunt gebruiken. Bijvoorbeeld WPS Hide Login.

Gebruik een login slug die uniek is en je niet snel zult vergeten. Klik op het plaatje voor de plugin.