Der WordPress-Login ist ein sicherheitstechnisch sehr sensibler Bereich. Hackversuche finden oft direkt dort statt, da viele Webseitenbetreiber wenig Sicherheit walten lassen bei der Wahl von Benutzernamen und Passwörtern und auch sonst wenig gegen Angriffe unternehmen. Was man alles mit dem WP-Login anstellen sollte, liest du hier.
Inhaltsverzeichnis:
Wo findet man den WordPress-Login?
Der WordPress-Login findet sich standardmäßig unter https://www.domain.de/wp-admin oder auch unter http://www.domain.de/wp-login.php. Dadurch dass das bekannt ist, wird an dieser Stelle häufig von außen versucht einzubrechen. Aber dazu später mehr.
Wie versteckt man den WordPress-Login?
Damit Brute-Force-Attacken gar nicht erst möglich sind, macht es Sinn den WordPress-Login zu verstecken. Das erreicht man am besten mit Hilfe des Plugins Solid Security (welches man eigentlich sowieso einsetzen sollte, um die Webseite sicherer zu machen). Dort findest du unter dem Punkt „Einstellungen>Erweitert>Backend verstecken“. Die Aktivierung ist schnell erledigt, lediglich ein Begriff für den Login muss sich ausgedacht werden, der nicht schnell erraten werden kann. Das war’s.
Auch wenn einige Experten diese Maßnahmen als unnötig erachten, kann ich aus eigener Erfahrung sagen, dass sie wirkt. Die Anzahl Angriffe auf den Loginbereich werden dadurch stark minimiert.
Über Solid Security kannst du die Login Adresse ändern
Wie sichert man den WordPress-Login ab vor Brute-Force-Attacken?
In Solid Security kann man ebenso auch gleich die mögliche Anzahl Loginversuche begrenzen. Das erledigt man unter „Einstellungen>Local Brute Force Settings“.
Über Solid Security kannst du auch die Anzahl Loginversuche begrenzen
Man gibt dort an, wie oft jemand sich am Zugang versuchen darf (5x sollte ausreichend sein) und sperrt auch direkt den Zugriff über den Benutzer „admin“. Sollte man noch den Benutzer „admin“ einsetzen (was nur noch bei veralteten WordPress Websites funktioniert), legt man einen neuen Administratorbenutzer an und löscht diesen Benutzer „admin“ vorher!
Alternativ zu Solid Security könntest du für diese Funktion auch andere Firewall Plugins verwenden wie Wordfence oder aber speziell Limit Login Attempts Reloaded.
WordPress-Login mit 2-Faktor-Authentifizierung schützen
Um den Login maximal zu schützen, kann eine 2-Faktor-Authentifizierung eingesetzt werden. Hierbei wird eine Kombination aus normalem Login und z.B. Generierung eines eindeutigen Codes über ein Gerät wie z.B. ein Smartphone, eingesetzt. Beispiele für Plugins über die das einzurichten ist:
Ich empfehle dringend diese Möglichkeit für Admin Benutzer zu aktivieren!
In Wordfence kannst du einfach per QR Code und Authenticator App die 2FA aktivieren
Sucuri nutzen um die Webseite und den Login abzusichern
Wer Sucuri nicht kennt, sollte hier mal einen Blick darauf werfen. Dieser Dienstleister leitet jeden Traffic erstmal durch seine eigene Firewall und unterbindet so jeden Angriff auf eine Webseite, noch bevor diese erreicht wird. Eine effektivere Art und Weise eine Webseite abzusichern gibt es nicht. Im Bereich Login, schützt Sucuri effektiv durch seine Web Application Firewall vor Brute Force Attacken. Theoretisch müsste man dann nicht mal mehr selber Securitymaßnahmen durchführen. Eine Kombination halte ich allerdings für das Optimum, was man derzeit an Security erreichen kann.
Weitere Maßnahmen um den Login und WordPress-Webseiten zu schützen
Der Login ist wie gesagt sehr sensibel und er sollte maximal geschützt werden. Aber nicht nur der Login, sondern der Rest der Webseite ebenso. Daher schaut man am besten mal bei den folgenden Tipps zu mehr WordPress-Sicherheit vorbei.
Was tun, wenn der WordPress-Login nicht mehr funktioniert?
Es gibt verschiedene Gründe, warum der WP-Login nicht mehr funktioniert:
- Zugang vergessen (z.B. den Adminzugang vergessen)
Hierzu kann man ein neues Passwort generieren, in dem man unter dem Loginfeld den Link „Passwort vergessen“ klickt. - Zu oft falsch eingeloggt
Das macht bei WordPress normalerweise nichts. Wer aber Sicherheitsplugins wie Solid Security oder WP Limit Login Attempts verwendet, stellt dort in der Regel ein, dass ab einer bestimmten Anzahl an fehlgeschlagenen Loginversuchen die IP-Adresse des Users gesperrt wird für eine gewisse Zeit. Dadurch werden sogenannte Brute-Force-Attacken unterbunden, durch die in das Dashboard eingebrochen werden soll um direkt im Backend Inhalte zu hacken. Meist muss man nur eine gewisse Zeit warten, bis man sich erneut versuchen kann einzuloggen. Manchmal ist aber auch der Zugriff auf Datenbank oder die .htaccess Datei von Nöten um die eigene IP Adresse dort zu entfernen. - schwerwiegende Systemprobleme
Nach Umzügen zu einem anderen Webhoster oder der Umbenennung der Webseite in eine andere Domain, kommt es manchmal zu Loginproblemen. Das vor allem, wenn der Umzug nicht sauber von Statten gegangen ist. Wenn das der Fall ist, schaltet man am besten einen Profi ein.
Sladjan Lazic
Hallo,
danke für den tollen Artikel.
Die Blogartikel sind eine wahre Goldgrube und für jeden ambitionierten Blogger äußerst wertvoll.
Viele Grüße
Sladjan Lazic