Er zijn ontwikkelaars die geloven dat een WordPress website veiliger zal zijn wanneer de link naar de wp-admin veranderd wordt. Hoewel het gros van de hackers niet eens de moeite neemt om via wp-admin in te loggen, zijn er diverse overwegingen om mee te nemen voor je besluiten neemt. Onderzoek van Sucuri wees uit dat in 2017, 71% van de hacks niet via de wp-admin werden uitgevoerd.
Wanneer de WordPress login pagina wordt verplaatst, kiezen veel webdesigners er voor een logische url aan te nemen. Deze kan door hackers doorgaans gemakkelijk worden geraden. Er zijn ook andere plugins die in de frontend het login adres prijsgeven. Dus echt onvindbaar is die login niet. Sterker nog, een hacker kan ook via de command line proberen binnen te komen of op één van de vele andere plekken zoals XML-RPC of de Rest API.
Gebruiksvriendelijkheid #
In elke online tutorial en in elk boek staat dat je moet inloggen op jouwsite.nl/login, jouwliste.nl/wp-admin of jouwsite.nl/wp-login.php. Voor jouw klant zal dit niet meer werken. Het is wel zo dat iets als /inloggen wel heel logisch kan zijn.
Plugins snappen het niet altijd #
Er zijn verschillende plugins die afhankelijk zijn van de standaard locatie van de WordPress login pagina. Dit veelal door onhandigheid van de ontwikkelaar, maar daar verander je niet veel aan. Het veranderen van de login URL kan er dus toe leiden dat bepaalde functies van de website niet goed of niet stabiel werken.
Server load #
Veel robots die websites bezoeken, gaan meteen op zoek naar de WP-Admin. Bijvoorbeeld om daar een brute force aanval in te zetten. Dit leidt tot 404 pagina’s. Wanneer WordPress een 404 pagina moet afleveren, is WordPress al in haar cache en op andere plekken op zoek gegaan naar die pagina. De server load op een dergelijke aanval ligt dus enorm hoog en kan alsnog jouw site op de knieën brengen.