Der WordPress Login – finden, reparieren, absichern, verstecken

Der WordPress-Login ist ein sicherheitstechnisch sehr sensibler Bereich. Hackversuche finden oft direkt dort statt, da viele Webseitenbetreiber wenig Sicherheit walten lassen bei der Wahl von Benutzernamen und Passwörtern und auch sonst wenig gegen Angriffe unternehmen. Was man alles mit dem WP-Login anstellen sollte, liest du hier.

Wo findet man den WordPress-Login?

Der WordPress-Login findet sich standardmäßig unter http://www.domain.de/wp-admin oder auch unter http://www.domain.de/wp-login.php. Dadurch dass das bekannt ist, wird an dieser Stelle häufig von außen versucht einzubrechen. Aber dazu später mehr.

Was tun, wenn der WordPress-Login nicht mehr funktioniert?

Es gibt verschiedene Gründe, warum der WP-Login nicht mehr funktioniert:

  • Zugang vergessen (z.B. den Adminzugang vergessen)
    Hierzu kann man ein neues Passwort generieren, in dem man unter dem Loginfeld den Link „Passwort vergessen“ klickt.
  • Zu oft falsch eingeloggt
    Das macht bei WordPress normalerweise nichts. Wer aber Sicherheitsplugins wie iThemes Security oder WP Limit Login Attempts verwendet, stellt dort in der Regel ein, dass ab einer bestimmten Anzahl an fehlgeschlagenen Loginversuchen die IP-Adresse des Users gesperrt wird für eine gewisse Zeit. Dadurch werden sogenannte Brute-Force-Attacken unterbunden, durch die in das Dashboard eingebrochen werden soll um direkt im Backend Inhalte zu hacken. Meist muss man nur eine gewisse Zeit warten, bis man sich erneut versuchen kann einzuloggen. Manchmal ist aber auch der Zugriff auf Datenbank oder die .htaccess Datei von Nöten um die eigene IP Adresse dort zu entfernen.
  • schwerwiegende Systemprobleme
    Nach Umzügen zu einem anderen Webhoster oder der Umbenennung der Webseite in eine andere Domain, kommt es manchmal zu Loginproblemen. Das vor allem, wenn der Umzug nicht sauber von Statten gegangen ist. Wenn das der Fall ist, schaltet man am besten einen Profi ein.

Wie versteckt man den WordPress-Login?

Damit Brute-Force-Attacken gar nicht erst möglich sind, macht es Sinn den WordPress-Login zu verstecken. Das erreicht man am besten mit Hilfe des Plugins iThemes Security (welches man eigentlich sowieso einsetzen sollte, um die Webseite sicherer zu machen). Dort gibt es unter dem Punkt „erweitert“ Profieinstellungen, wie z.B. „Backend verstecken“. Die Aktivierung ist schnell erledigt, lediglich ein Begriff für den Login muss sich ausgedacht werden, der nicht schnell erraten werden kann. Das war’s.

Wie sichert man den WordPress-Login ab vor Brute-Force-Attacken?

In iThemes Security kann man ebenso auch gleich die mögliche Anzahl Loginversuche begrenzen. Das erledigt man unter „Lokaler Brute-Force-Schutz“.

Man gibt dort an, wie oft jemand sich am Zugang versuchen darf (5x sollte ausreichend sein) und sperrt auch direkt den Zugriff über den Benutzer „admin“. Sollte man noch den Benutzer „admin“ einsetzen, legt man einen neuen Administratorbenutzer an und löscht diesen Benutzer „admin“ vorher!

WordPress-Login mit 2-Faktor-Authentifizierung schützen

Um den Login maximal zu schützen, kann eine 2-Faktor-Authentifizierung eingesetzt werden. Hierbei wird eine Kombination aus normalem Login und z.B. Generierung eines eindeutigen Codes über ein Gerät wie z.B. ein Smartphone, eingesetzt. Beispiele für Plugins sind:

Weitere Maßnahmen um den Login und WordPress-Webseiten zu schützen

Der Login ist wie gesagt sehr sensibel und er sollte maximal geschützt werden. Aber nicht nur der Login, sondern der Rest der Webseite ebenso. Daher schaut man am besten mal bei den folgenden Tipps zu mehr WordPress-Sicherheit vorbei.

Kommentar schreiben

* Notwendige Angaben

Netzgänger Webdesign | Schlehenweg 7 in Büchenbach | Bayern
Kontakt: info@netz-gaenger.de |
↑ oben
Inhalt