Da ich so gut wie jede Webseite für meine Kunden mit WordPress realisiere, kommt von den Kunden immer mal wieder die Frage, wie sie sich in WordPress einloggen können. Da diese Frage aber auch sonst häufiger mal im Internet auftaucht, möchte ich hier einen kurzen und knackigen Artikel dazu machen.
Kapitel in diesem Beitrag:
WordPress Login? /wp-admin/ ist das Zauberwort
Hat man seine Domain – wir sagen jetzt mal https://www.sir-apfelot.de – mit WordPress installiert, dann ist das Login zum Adminbereich in der Regel eine dieser beiden URLs:
Man hängt also an seine Homepage nur das /wp-admin/ oder /wp-login/hinten an und kommt zum Standard-Login-Bereich von WordPress.
htaccess-Schutz und Änderung der WordPress-Login-URL
Wer bei meinem Blog auf die oben genannte URL geht, wird feststellen, dass hier noch ein kleiner Schutz vorgeschaltet ist. Ich habe nämlich die Login-URL zusätzlich per htaccess geschützt.
Warum? Weil man damit quasi zwei Logins vor dem WordPress-Admin hat und es doch recht unwahrscheinlich ist, dass ein Hacker beide knackt.
Eine zweite beliebte Art, um den WordPress-Admin zu schützen, ist das Ändern der Login-URL. Das heißt, dass man statt /wp-admin/ einen anderen virtuellen Ordner wählt.
Diese Änderung lässt sich mit diesen beiden Plugins realisieren:
Mich persönlich macht die Anpassung der Login-URL jedoch etwas kirre, da ich täglich viele Male in irgendwelche WordPress-Seiten einloggen muss und ich jedes Mal verwirrt bin, wenn ich statt einem Login-Formular einen 404 Fehler bekomme. Aus dem Grund lasse ich die URL bei meinen Kunden in der Regel wie sie ist und arbeite mit einer anderen Lösung.
Limit Login Attempts Reloaded – Schutz gegen Brute-Force-Attacken
Die übliche Vorgehensweise, um ein WordPress Login zu knacken, läuft über sogenannte Brute-Force-Attacken – also reines Ausprobieren von Login- und Passwort-Kombinationen.
Das Login bekommt man schnell raus, da WordPress die Benutzernamen in der Regel über die Autorenarchive preisgibt und dann muss man nur noch Listen mit den häufigsten Passworten gegen die XMLRPC-Schnittstelle von WordPress werfen und schauen, wann man das Passwort gefunden hat.
Kurzer Einschub mit anderen WordPress-Themen:
- Wordpress Tipp: PHP Memory Limit erhöhen
- Elegante Popup-Fenster in WordPress einbauen mit dem Plugin Popup-Maker
- XML-RPC Schnittstelle in WordPress per .htaccess schützen
WordPress selbst hat leider noch keinen effektiven Schutz, um solche Attacken zu unterbinden, aber es gibt ein Plugin namens „Limit Login Attempts Reloaded“, das solche Angriffe effektiv abwehrt, indem es nur eine bestimmte Anzahl an Versuchen zulässt, bevor die IP oder der Username gesperrt wird.
Mit der Pro Version kann man sogar einstellen, dass die Zeit zwischen den Login-Versuchen immer länger wird und viele andere Funktionen nutzen, um WordPress von unerlaubten Zugriffen zu schützen.
WordPress Login Hilfe von Sir Apfelot
Solltet ihr Hilfe beim Absichern eures WordPress Blogs benötigen oder Unterstützung bei einem gehackten WordPress benötigen, lasst es mich gerne wissen. Ich kümmere mich um etliche Kundenseiten und stehe auch bei euch gerne unterstützend zur Seite.
Ähnliche Beiträge
Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.