WordPress Login vor unerwünschten Zugriffen schützen

Bei jeder WordPress Installation ist die Login Seite standardmäßig über die Unterseite /wp-login.php erreichbar. Dies ist ein sensibler Bereich. Wie Sie das WordPress Login schützen lesen Sie nachfolgend.

 

WordPress Login schützen

Login verstecken

Als erstes sollten Sie die Standard Login Seite verstecken. Hierfür kann ich Ihnen zwei Plugins empfehlen. Zum Einen handelt es sich um die umfassende Sicherheitslösung iThemes Security. Dort finden Sie unter Erweitert den Punkt Backend verstecken. Hier können Sie den neuen Namen für die Anmelde Seite festlegen.

Blog WordPress Login vor unerwünschten Zugriffen schützen 01

Als zweites kann ich das Plugin Rename wp-login.php empfehlen. Dieses bietet allerdings nur die Änderung der Login Seite und sonst keine weiteren Sicherheitsoptionen. Bei diesem Plugin findet Ihr im Menü unter Einstellungen > Permalink die Möglichkeit die Seite anzupassen.

Blog WordPress Login vor unerwünschten Zugriffen schützen 02

Nach der Änderung sind Brute-Force-Angriffe auf den Loginbereich nicht mehr möglich.

 

Weitere Absicherung vor Brute-Force-Angriffen

Zusätzlich zum Verstecken der Login Seite bietet zum Beispiel das Plugin iThemes Security zusätzlich die Möglichkeit den Schutz vor Brute-Force-Angriffen zu aktiveren.

Blog WordPress Login vor unerwünschten Zugriffen schützen 03

Die Standardeinstellungen sind vollkommen in Ordnung. Einzig die Option „Hosts sofort aussperren, die versuchen sich mit dem Benutzernamen "Admin" anzumelden" würde ich empfehlen zu aktivieren. Grundsätzlich sollte man keinen Benutzer „Admin“ verwenden.

 

2-Faktor-Authentifizierung nutzen

Für einen zusätzlichen Schutz besteht zudem noch die Möglichkeit eine 2-Factor-Authentifizierung einzurichten. Bei dieser müssen Sie zusätzlich zum Benutzer und Passwort einen Code eingeben. Diesen können Sie zum Beispiel über ein Smartphone erzeugen. (Plugin Beispiel: Google Authenticator)

 

Zugangsdaten vergessen

Doch was tun wenn Sie zum Beispiel nur die Zugangsdaten vergessen haben. Hierzu bietet WordPress die Möglichkeit das Passwort über die Funktion „Passwort vergessen“ zurückzusetzen. Man bekommt hierfür eine E-Mail zugesendet. Mehr dazu lesen Sie im Betrag Das WordPress Admin Passwort richtig zurücksetzen.

Falls man einen aktiven Brute-Force-Schutz hat und das Passwort zu oft falsch eingegeben hat hilft es meistens einfach eine Zeit lang abzuwarten bevor man es erneut versuchen kann.


Zurück