Login für WordPress absichern


Wer kennt das nicht? Immer wieder versuchen sich dunkle Gestalten oder Bots in den Adminbereich (WordPress-Backend) einzuloggen. Bei einigen Installationen ist es ein leichtes Spiel, weil Neueinsteiger meist den Benutzernamen “Admin” benutzen. Wenn man sich dann noch ein unsicheres Passwort (z.B. “login”, “123456” oder “qwertz”) ausdenkt, ist es meist nur eine Frage der Zeit, bis man unliebsame Besucher im Adminbereich empfangen darf.

Vor kurzer Zeit haben wir unserem Internetauftritt ein neues Outfit verpasst und gleichzeitig einige Änderungen vorgenommen um die Seite DSGVO-konform zu machen. Um unser Backend vor unliebsamen Zugriffen im Hinblick auf den Datenschutz abzusichern, nutzen wir seit einiger Zeit das Plugin “All in one WP Security”, bei dem es eine Möglichkeit gibt, die wp-admin.php umzubenennen. Man gibt unter dem Backend-Link (Menüpunkt) “All in One WP Security”-“Bruteforce”-“Rename Login Page” einfach eine für sich leicht zu merkende Buchstaben-Zahlen-Sonderzeichen-Kombination im dafür vorgesehenen Eingabefeld ein (Häkchen setzen nicht vergessen) und schon wird für den Angreifer die WordPress-Fehlermeldung “Not available” angezeigt, sollte er sich unter dem bekannten Link einloggen wollen. Von der Benutzung von Begriffen wie z.B “anmelden”, “login” oder “admin” ist jedoch abzuraten, diese Begriffe werden wohl zuerst vom Angreifer ausprobiert werden – hier kann man ruhig etwas kreativer zu Werke gehen.

Hier kann man das als Beispiel mal ausprobieren: >>>>WP-ADMIN<<< . Hast du die Login-Seite aufrufen können? Ich denke, du hast sie nicht gefunden. Die Datei liegt weder auf dem Server, noch ist ein Eintrag in der Datenbank vorhanden und kann somit nicht gehackt werden.

Das Backend ist nach der Änderung unter der Webseiten URL und deiner Kombination erreichbar: Bsp: https://deineurl.de/deine-buchstaben-zahlen-zeichen-kombination. Selbstverständlich kann man sich, wenn man das Häkchen herausnimmt, wieder mit dem normalen Login in das Backend einloggen. Sollte es zu Schwierigkeiten kommen und ein Login ist nicht mehr möglich, so besteht die Möglichkeit das Plugin via SSH oder FTP zu entfernen – das Login ist dann wieder problemlos möglich. Bei uns ist alles glatt gelaufen, wir hatten keine Probleme beim Login. Viel Erfolg beim Testen.


Diesen Inhalt mit Freunden teilen:

Ein Kommentar zu “Login für WordPress absichern

  1. Robert sagt:

    Sehr interessante Alternative. Ich melde mich noch über das .htpasswd-file auf dem Server an um auf die Loginseite zu gelangen. Das hat den Vorteil, dass Angreifer nicht ohne weiteres die Login-Seite mit Anfragen “bombadieren”. Ich habe aber auch AIOWPS installiert und könnte auf den Eintrag im .htaccess-file und .htpasswd verzichten. Werde ich mal ausprobieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Emoticons Smile Grin Sad Surprised Shocked Confused Cool Mad Razz Neutral Wink Lol Red Face Cry Evil Twisted Roll Exclaim Question Idea Coffee Mr Green