Beste,
Ik Ontvang om.de haverklap onderstaande mail. Wat kan ik hieraan doen?
Probeert iemand mijn site te hacken?
Van: WordPress <[email protected]>
Datum:
Aan:
Onderwerp: [site naam] Wachtwoord resetten
Iemand heeft verzocht om het wachtwoord van het volgende account opnieuw in te stellen:
Sitenaam:
Gebruikersnaam:
Als dit een vergissing was, kun je deze e-mail negeren en zal er niets gebeuren.
Ga naar dit adres om je wachtwoord opnieuw in te stellen:
<http://www.wphelpdesk-voorbeeld.nl/wp-login.php?action=rp&key=>
in principe zolang er sterke en veilige wachtwoorden worden gebruikt op zowel je WordPress account als voor je e-mailbox zit je wel veilig.
Dit zijn geautomatiseerde scripts waarmee men probeert je gebruikersnaam/e-mail adres te achterhalen.
In principe kan je het negeren ook al is het natuurlijk wel storend.
Het doorsturen van een e-mail zoals deze is in ieder geval niet verstandig, zeker niet zo snel na ontvangst.
In theorie hadden we (als we wat sneller waren geweest) aan de hand van de meegezonden link het wachtwoord kunnen veranderen en kunnen inloggen op je website.
Er zijn wel een aantal manieren om deze berichten te verminderen of helemaal niet meer te krijgen, ze hebben wel allemaal wat consequenties waarvoor je zelf een afweging moet maken of dat het waard is. De oplossing moet natuurlijk niet erger zijn dan de kwaal 🙂
Een manier is om in het .htaccess bestand een regel toe te voegen waarmee de /wp-login.php?action=lostpassword geblokkeerd wordt.
Dat betekend echter dat niemand meer een wachtwoord reset kan aanvragen, ook jijzelf niet mocht dat eens nodig zijn (tenzij je eerst weer de blokkade er uit haalt)
Een andere optie is een plugin die een captcha toevoegt op je login scherm dat zou kunnen met deze plugin https://wordpress.org/plugins/advanced-nocaptcha-recaptcha/
Nadeel hiervan is dat het wat lastig in te stellen is en bij een onjuiste configuratie je mogelijk helemaal niet meer kan inloggen. Je zou dan eerst via FTP de plugin moeten deactiveren.
Je kan ook je login ‘verbergen’ met bijvoorbeeld deze plugin https://wordpress.org/plugins/wps-hide-login/
de /wp-login.php en /wp-admin komen dan op een ander adres te staan.
Werkt vrij eenvoudig, je moet dan echter niet vergeten wat het nieuwe login adres is van de website (dit gebeurt vrij vaak merken we)
Daarnaast kan het ook problemen geven wanneer je een website hebt met een online e-learning of leden systeem.
