Bei jeder WordPress Installation ist die Login Seite standardmäßig über die Unterseite /wp-login.php
erreichbar. Dies ist ein sensibler Bereich. Wie Sie das WordPress Login schützen lesen Sie nachfolgend.
WordPress Login schützen
Login verstecken
Als erstes sollten Sie die Standard Login Seite verstecken. Hierfür kann ich Ihnen zwei Plugins empfehlen. Zum Einen handelt es sich um die umfassende Sicherheitslösung iThemes Security. Dort finden Sie unter Erweitert
den Punkt Backend verstecken
. Hier können Sie den neuen Namen für die Anmelde Seite festlegen.
Als zweites kann ich das Plugin Rename wp-login.php empfehlen. Dieses bietet allerdings nur die Änderung der Login Seite und sonst keine weiteren Sicherheitsoptionen. Bei diesem Plugin findet Ihr im Menü unter Einstellungen > Permalink
die Möglichkeit die Seite anzupassen.
Nach der Änderung sind Brute-Force-Angriffe auf den Loginbereich nicht mehr möglich.
Weitere Absicherung vor Brute-Force-Angriffen
Zusätzlich zum Verstecken der Login Seite bietet zum Beispiel das Plugin iThemes Security zusätzlich die Möglichkeit den Schutz vor Brute-Force-Angriffen zu aktiveren.
Die Standardeinstellungen sind vollkommen in Ordnung. Einzig die Option „Hosts sofort aussperren, die versuchen sich mit dem Benutzernamen "Admin" anzumelden"
würde ich empfehlen zu aktivieren. Grundsätzlich sollte man keinen Benutzer „Admin“ verwenden.
2-Faktor-Authentifizierung nutzen
Für einen zusätzlichen Schutz besteht zudem noch die Möglichkeit eine 2-Factor-Authentifizierung einzurichten. Bei dieser müssen Sie zusätzlich zum Benutzer und Passwort einen Code eingeben. Diesen können Sie zum Beispiel über ein Smartphone erzeugen. (Plugin Beispiel: Google Authenticator)
Zugangsdaten vergessen
Doch was tun wenn Sie zum Beispiel nur die Zugangsdaten vergessen haben. Hierzu bietet WordPress die Möglichkeit das Passwort über die Funktion „Passwort vergessen“ zurückzusetzen. Man bekommt hierfür eine E-Mail zugesendet. Mehr dazu lesen Sie im Betrag Das WordPress Admin Passwort richtig zurücksetzen.
Falls man einen aktiven Brute-Force-Schutz hat und das Passwort zu oft falsch eingegeben hat hilft es meistens einfach eine Zeit lang abzuwarten bevor man es erneut versuchen kann.
Zurück