WordPress Sicherheit: wp-login.php umbenennen und vor Hackern schützen
Wordpress

WordPress-Sicherheit

In den letzten Tagen konnte ich bei einigen Kundenblogs wieder Attacken auf den Adminbereich „wp-admin“ von WordPress erkennen. Ich verwende bei den meisten Blogs das Plugin Login-Lockdown, das nicht nur die erfolglosen Loginversuche mitschneidet, sondern auch das Login für eine IP sperrt, wenn eine bestimmte Anzahl an falschen Logins erfolgt ist. Die Anzahl der Logins und die Dauer der Sperrung kann man selbst festlegen, indem man die Einstellungen der Plugins im Adminbereich verändert. Auf diese Weise sieht man eben auch, ob ein Hacker sich mit einer Brute-Force-Attacke Zugriff auf den WordPress-Admin verschaffen möchte. Diese Technik wird übrigens auch verwendet, um die XML-RPC-Schnittstelle von WordPress zu attakieren – aber dazu mehr in einem anderen Beitrag.

Ich habe nun nach einem Weg gesucht, um den WordPress Login – also speziell die Daten wp-login.php im Ordner /wp-admin/zu schützen. Der einfachste Weg besteht darin, diese Datei einfach umzunennen. Da die Scripte der Hacker meistens direkt auf die Datei mit dem Namen wp-login.php losgehen, laufen die zukünftigen Attacken nach dem Umbenennen der Datei schonmal ins Leere. Um die Prozedur des Umnennens auch für normale WordPress-Nutzer zu ermöglichen, gibt es ein WordPress Plugin namens „rename wp-login„.

Funktionsweise von rename-wp-login

Dieses Plugin verändert jedoch nicht technisch gesehen den Namen der Datei sondern fängt URL-Aufrufe zur Datei ab und leitet sie dann entsprechend um bzw. gibt eine Fehlermeldung aus, wenn man die nicht mehr vorhandene „wp-login.php“ aufrufen möchte. Es ist schwer zu verstehen, aber man vergibt mit dem Plugin quasi einen neuen Dateinamen, der dann aber nur virtuell verwendet wird. Für die Hacker und andere Benutzer ist es aber nicht ersichtlich, sondern es sieht von aussen so aus, als wäre die Daten tatsächlich umbenannt. Das schöne an dem Plugin ist: Wenn man es deaktiviert, ist alles wieder beim alten und man muss nichts zurück umbenennen – also eine sehr nutzerfreundliche Möglichkeit, diese Sache durchzuführen.

WordPress 4 Sicherheit: Training als Video-Workshop

Für alle die sich etwas tiefer in WordPress einarbeiten möchten, kann ich das Videotraining von Galileo empfehlen. Dort ist auch ein komplettes Kapitel der WordPress-Sicherheit gewidmet und dazu gibt es noch viele weitere Tipps, Tricks und Erklärungen auf Video, so dass man die einzelnen Schritte im WP-Admin direkt nachvollziehen kann.

Die WordPress- Experten René Reimann und Birgit Olzem erstellen mit Ihnen Schritt für Schritt ein komplettes Theme und zeigen, wie Sie Ihre Website mit zahlreichen modernen Features ausstatten. Profitieren Sie von ihren Tipps zu Plug-ins, Gestaltung, Sicherheit, SEO und mobilem Webdesign. Inkl. komplettem Beispielmaterial auf DVD!

Wie würdest du diesen Beitrag bewerten?

 
51
Sir Apfelot
Sir Apfelot
Jens Kleinholz, den meisten Lesern des Blogs eher als "Sir Apfelot" bekannt, arbeitet seit über 20 Jahren mit Macs und hätte sich garantiert damals schon ein iPhone gekauft, wenn Steve Jobs es mal ein bisschen früher erfunden hätte. Neben seiner Tätigkeit als Blogger ist er selbständig und bringt mit seiner SEO-Agentur NET-TEC internet solutions die Homepages von Kunden auf die vordersten Plätze bei Google.

15 Comments

  1. TrendFever sagt:

    Hi. Das sind 2 schöne Plugins die du hier vorstellst. Seit ein paar Tagen befasse ich mich mit der Sicherheit von WordPress da auch ich immer wieder Zugriffe auf meine wp-login.php feststellen muss. Besonders das „rename wp-login“ klingt interessant, ich werde es mal ausprobieren. Danke für deine Tipps und einen schönen Blog hast du hier. Gruß Manuel.

  2. Rolf sagt:

    ….wie logge ich mich dann selbst noch als admin auf die wordpress-Seite ein?

    • Sir Apfelot sagt:

      Hallo Rolf! Du kannst dich dann über die neue (selbst vergebene) URL zum Admin einloggen. Die Zugangsdaten bleiben gleich, aber die Adresse des Adminbereichs ändert sich. Ich hoffe, du kommst rein. 🙂

  3. Carola sagt:

    Toller Tipp über den ich da stolpere… und den ich direkt in meinen Blogs auch anwenden werde.

  4. Hans-Joachim Brosch sagt:

    Hallo,

    super Sache das Plugin Rename wp-login.php. Ich habe noch eine .htpasswd in der .htaccess muss ich hier umbennen?

    Danke und Grüße
    Joachim

    • Sir Apfelot sagt:

      Hallo Joachim! Die .htpasswd ist aber keine Standard-Datei von WordPress. Ich nehme an, die ist ein zusätzlicher Login-Schutz, der vor dem eigentlichen WP-Admin-Login erfolgt. In dem Fall musst du eigentlich nichts weiter umbenennen. Aber wie gesagt: Die .htpasswd kenne ich jetzt nicht im Detail und kann nur vermuten, dass nichts weiter nötig ist. Weißt du, wo die .htpasswd herkommt? Viele Grüße!

      Jens

  5. Hans-Joachim Brosch sagt:

    Hallo Jens,

    völlig richtig es ist keine Standard-Datei, sondern eine zusätzliche Absicherung. Ein Anleitung findest Du hier unter Punkt 7.
    http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/

    Gruß
    Joachim

    • Sir Apfelot sagt:

      Ach ja, die Anleitung von Sergej. Ja, die ist ganz gut, aber aus meiner Sicht schon was für paranoide Personen. Die Hälfte reicht in der Regel auch, um seinen Admin frei von Hackern zu halten. Das größte Einfallstor sind leider auch die nicht aktualisierten Plugins, die irgendwelche Sicherheitslücken aufweisen, die Hacker dann nutzen.

  6. Hans-Joachim Brosch sagt:

    Ich habe es nochmals überprüft. Wenn ich das Plugin Rename wp-login.php aktiviere, funktioniert der Befehl

    AuthName „Admin-Bereich“
    AuthType Basic
    AuthUserFile /Pfad-zu-deiner-datei-htpasswd/.htpasswd
    require valid-user

    nicht.
    Ganz oben steht ja auch .
    Meine Frage:
    Wie müßte dann die Zeile richtig heissen, wenn ich auf einen Ordner im Plugin „Rename wp-login.php“ umstelle?

    Vielen Dank
    Joachim

    • Sir Apfelot sagt:

      Hi Joachim! Wieso möchtest du den Zusatzlogin mit .htaccess und .htpasswd ändern? Eigentlich sollte es weiterhin funktionieren, wenn du die .htpasswd nicht verschoben hast. Die Zeile in der .htaccess-Datei sagt dem Server ja nur, wo die Datei liegt und die muss nicht unbedingt im Ordner von „Rename wp-login.php“ liegen, sondern kann auch da bleiben, wo sie bisher ihre Dienst verrichtet hat. Wenn du trotzdem einen Fehler bekommst, muss irgendwo noch ein Fehler sein… ich kann mir das gerne anschauen, wenn du magst. Allerdings müsste ich dann mal auf den Server schauen… Viele Grüße! Jens

  7. Vielen Dank für diesen tollen Tipp, funktioniert wunderbar und ich hoffe damit wenigstens die Angriffsversuche einschränken zu können. Daumen hoch für Deinen Blog, gefällt mir wirklich sehr gut.

  8. Hallo Sir Apfelot,
    ich möchte bei einer Kundenseite eine besonders hohe Sicherheitsstufe einrichten mit htaccess-Schutz UND umbenannter Login-URL (Plugin „Rename WP-Login.php“).
    Ich habe beides eingerichtet, aber wenn ich die umbenannte Login-URL aufrufe, kommt der htaccess-Wächter nicht. Was muss ich in der htaccess eintragen, damit man auch bei der neuen URL einen htaccess-Benutzernamen und -Passwort eintragen muss?

    • Sir Apfelot sagt:

      Hallo Michaela! Der .htaccess-Schutz gilt in der Regel für den kompletten wp-admin Ordner. Wenn du dich allerdings einmal in den htaccess-Schutz eingeloggt hast, dann wirst du eine Weile nicht mehr nach dem Login gefragt. Eventuell ist das der Fall, warum der Schutz nicht mehr greift. Wenn du es testen möchtest, rufst im Browser einfach ein neues „privates Fenster“ auf. In diesem sind keine Cookies und ähnliches vorhanden und du wirst behandelt, wie ein unbekannter Nutzer. Entsprechend sollte auch die Abfrage kommen.

      Die beste Lösung wäre in deinem Fall aber vielleicht sowieso das Plugin „iThemes Security“. Damit kannst du beide Features mit einem Plugin realisieren, wenn ich mich nicht täusche. Es hat auch noch viele andere Vorteile, wie das Blocken von Brute-Force-Attacken und die Sperrung der XMLRPC Schnittstelle.

      Ich hoffe, ich konnte dir helfen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.