Security through obscurity

Waarom je de login link NIET wil veranderen

Ja, je leest het goed. Ik ben GEEN voorstander van het veranderen van de login link van WordPress. Dat is namelijk een vorm van ‘Security through obscurity’ ofwel ‘schijnveiligheid.’ En ik leg je graag uit waarom.

Security through obscurity

Laten we beginnen met dat het een vorm is van ‘schijnveiligheid’. Je verstopt je voordeur immers toch ook niet? Voor een leek maak je het een heel stuk moeilijker om je login link te achterhalen, maar een hacker draait zijn hand er niet voor om. Die komen overigens ook liever via de achterdeur, die bij de meeste gewoon wagenwijd open staat.

En het heeft natuurlijk ook weinig zin als je de login link aanpast, maar je login gegevens ‘admin’ en ‘Welkom123’ zijn… Om maar even een voorbeeld te noemen.

WPS Hide Login beveiligingslek

Een veelgebruikte plugin om je login link aan te passen is ‘WPS Hide login’ en laat ik daar nu net afgelopen jaar een lek gevonden hebben. Ik vroeg me al een tijdje af hoe eenvoudig je de link kon achterhalen en daar bleek weinig voor nodig. WPS Hide had namelijk een lek, waardoor de login link zeer eenvoudig te achterhalen was.

Ik heb contact gezocht met de makers, zodat ik hun hiervan op de hoogte kon stellen. Helaas kwam ik niet verder dan hun algemene support. Die gaven het advies om het op hun openbare forum te plaatsen, dan zou er wel iemand op reageren. Dat is natuurlijk het slechtste advies wat je kunt geven bij een beveiligingslek en dat heb ik dan dus ook niet gedaan… Inmiddels is het lek opgepakt door een andere partij, die ook onderdeel was van dit lek, maar van WPS Hide Login is nooit meer reactie gekomen.

Nog meer redenen om het niet te doen

Naast bovengenoemde, zijn er nog meer redenen waarom ik hier niet achter sta. Zo hoor ik namelijk regelmatig dat iemand zijn login link kwijt is en niet meer bij de site kan. Dat is als techneut niet heel moeilijk op te lossen, maar kan bij de klant zelf wel voor paniek zorgen en dat is niet handig!

Ook geeft het aanpassen van de login link risico’s op conflicten. We zien regelmatig websites waarbij het aanpassen van de login link, conflicten veroorzaakt met andere onderdelen op de website.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *