Da ich so gut wie jede Webseite für meine Kunden mit WordPress realisiere, kommt von den Kunden immer mal wieder die Frage, wie sie sich in WordPress einloggen können. Da diese Frage aber auch sonst häufiger mal im Internet auftaucht, möchte ich hier einen kurzen und knackigen Artikel dazu machen.
Hat man seine Domain – wir sagen jetzt mal https://www.sir-apfelot.de – mit WordPress installiert, dann ist das Login zum Adminbereich in der Regel eine dieser beiden URLs:
Man hängt also an seine Homepage nur das /wp-admin/ oder /wp-login/hinten an und kommt zum Standard-Login-Bereich von WordPress.
WordPress Login: So sieht das Standard-Login der Installation aus.
htaccess-Schutz und Änderung der WordPress-Login-URL
Wer bei meinem Blog auf die oben genannte URL geht, wird feststellen, dass hier noch ein kleiner Schutz vorgeschaltet ist. Ich habe nämlich die Login-URL zusätzlich per htaccess geschützt.
Warum? Weil man damit quasi zwei Logins vor dem WordPress-Admin hat und es doch recht unwahrscheinlich ist, dass ein Hacker beide knackt.
Eine zweite beliebte Art, um den WordPress-Admin zu schützen, ist das Ändern der Login-URL. Das heißt, dass man statt /wp-admin/ einen anderen virtuellen Ordner wählt.
Diese Änderung lässt sich mit diesen beiden Plugins realisieren:
Mich persönlich macht die Anpassung der Login-URL jedoch etwas kirre, da ich täglich viele Male in irgendwelche WordPress-Seiten einloggen muss und ich jedes Mal verwirrt bin, wenn ich statt einem Login-Formular einen 404 Fehler bekomme. Aus dem Grund lasse ich die URL bei meinen Kunden in der Regel wie sie ist und arbeite mit einer anderen Lösung.
Mit dem Plugin WPS Hide Login kann man die Login-URL von WordPress Login ändern, um sie vor Hackern zu verstecken.
Limit Login Attempts Reloaded – Schutz gegen Brute-Force-Attacken
Die übliche Vorgehensweise, um ein WordPress Login zu knacken, läuft über sogenannte Brute-Force-Attacken – also reines Ausprobieren von Login- und Passwort-Kombinationen.
Das Login bekommt man schnell raus, da WordPress die Benutzernamen in der Regel über die Autorenarchive preisgibt und dann muss man nur noch Listen mit den häufigsten Passworten gegen die XMLRPC-Schnittstelle von WordPress werfen und schauen, wann man das Passwort gefunden hat.
WordPress selbst hat leider noch keinen effektiven Schutz, um solche Attacken zu unterbinden, aber es gibt ein Plugin namens „Limit Login Attempts Reloaded“, das solche Angriffe effektiv abwehrt, indem es nur eine bestimmte Anzahl an Versuchen zulässt, bevor die IP oder der Username gesperrt wird.
Mit der Pro Version kann man sogar einstellen, dass die Zeit zwischen den Login-Versuchen immer länger wird und viele andere Funktionen nutzen, um WordPress von unerlaubten Zugriffen zu schützen.
Eine wirkungsvolle Maßnahme gegen Hacker und Brute-Force-Attacken ist die Beschränkung der Login-Versuche auf eine geringe Zahl. Hier hilft das Plugin Limit Login Attempts Reloaded.
WordPress Login Hilfe von Sir Apfelot
Solltet ihr Hilfe beim Absichern eures WordPress Blogs benötigen oder Unterstützung bei einem gehackten WordPress benötigen, lasst es mich gerne wissen. Ich kümmere mich um etliche Kundenseiten und stehe auch bei euch gerne unterstützend zur Seite.
Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.
–
Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft oder bei Patreon unterstützen würdest.