Es ist wichtig WordPress so gut wie möglich gegen Brute Force-Angriffe zu schützen. Durch diese Attacken kommt es immer wieder vor das die WordPress Login Seite gezielt angegriffen wird. Ganz wichtig ist hier das Verzeichnis wp-admin
zu schützen. Um die Angriffe zu unterbinden helfen unter anderem auch Plugins wie zum Beispiel iThemes Security. Besser wäre es allerdings diese Anfragen einfach komplett zu blockieren, dass diese keinen Erfolg mehr haben. Mit einer .htpasswd
Datei, welche ein zusätzliches Passwort vor dem Einloggen abfragt könnt Ihr eure Webseite zusätzlich absichern. Die Login Seite muss nicht frei verfügbar sein. Normale Webseite Besucher bekommen diese nie zu Gesicht, daher stört es Sie auch nicht. Erfahrt hier wie Ihr euer WordPress Verzeichnis wp-admin
durch htaccess
schützen und so die Sicherheit erhöhen könnt.
wp-admin durch htaccess schützen
Falls Sie Zugriff auf die .htaccess Datei verfügen, gibt es die Möglichkeit ein zusätzliches Passwort über die .htaccess Datei einzurichten. Die eigentliche WordPress Login Seite kann so erst gar nicht aufgerufen werden. Brute Force-Angriffe werden also bereits vor dem eigentlichen Angriffsversuch abgeblockt.
Zuerst müssen Sie eine .htpasswd
Datei anlegen, in dieser werden dann die Zugangsdaten MD5 verschlüsselt abgelegt. Diese Datei können zum Beispiel bei diesem htpasswd Generator erstellen. Die .htpasswd
sieht beispielsweise wie folgt aus:
benutzername: $apr1$IHaD0/..$N9ne/Bqnh8.MyOtvKU56j1
Erstellt jetzt die .htaccess
Datei mit folgenden Inhalt.
# protect /wp-admin AuthName "Admin-Bereich" AuthType Basic AuthUserFile /pfad/wp-admin/.htpasswd require valid-user
Beide Dateien legt ihr dann mit Hilfe eines FTP Programms wie zum Beispiel FileZilla im wp-admin
Ordner ab.
Weitere Möglichkeiten den Login Bereich zu schützen
Ein sicheres Passwort
Der einfachste Schritt ist, einen sicheren Benutzer und ein sicheres Passwort für den WordPress-Login zu wählen. Auf keinen Fall sollte der Benutzername „admin“ sein. Dies war sehr lange der Standard-Benutzername für WordPress und ist dieser Benutzername besonders unsicher.
Anzahl der Login-Versuche einschränken
Standardmäßig ist die Anzahl der Login-Versuche bei WordPress unbegrenzt. Das sollte Sie natürlich ändern. Dazu können Sie das Plugin Limited Login Attempts oder iThemes Security nutzen. Diese Plugins erlauben es Ihnen die Login-Versuche pro IP-Adresse zu begrenzen. Ist diese Anzahl überschritten, wird die IP-Adresse für eine bestimmte Zeit vom Zugriff auf die WordPress Seite gesperrt.
Zurück