Wordpress Sicherheit: wp-login.php umbenennen und vor Hackern schützen

Wordpress
Wordpress
Wordpress-Sicherheit

In den letzten Tagen konnte ich bei einigen Kundenblogs wieder Attacken auf den Adminbereich “wp-admin” von Wordpress erkennen. Ich verwende bei den meisten Blogs das Plugin Login-Lockdown, das nicht nur die erfolglosen Loginversuche mitschneidet, sondern auch das Login für eine IP sperrt, wenn eine bestimmte Anzahl an falschen Logins erfolgt ist. Die Anzahl der Logins und die Dauer der Sperrung kann man selbst festlegen, indem man die Einstellungen der Plugins im Adminbereich verändert. Auf diese Weise sieht man eben auch, ob ein Hacker sich mit einer [Brute-Force-Attacke->brute-force-angriff] Zugriff auf den Wordpress-Admin verschaffen möchte. Diese Technik wird übrigens auch verwendet, um die XML-RPC-Schnittstelle von Wordpress zu attakieren – aber dazu mehr in einem anderen Beitrag.

Ich habe nun nach einem Weg gesucht, um den Wordpress Login – also speziell die Daten wp-login.php im Ordner /wp-admin/zu schützen. Der einfachste Weg besteht darin, diese Datei einfach umzunennen. Da die Scripte der Hacker meistens direkt auf die Datei mit dem Namen wp-login.php losgehen, laufen die zukünftigen Attacken nach dem Umbenennen der Datei schonmal ins Leere. Um die Prozedur des Umnennens auch für normale Wordpress-Nutzer zu ermöglichen, gibt es ein Wordpress Plugin namens “rename wp-login“.

Funktionsweise von rename-wp-login

Dieses Plugin verändert jedoch nicht technisch gesehen den Namen der Datei sondern fängt URL-Aufrufe zur Datei ab und leitet sie dann entsprechend um bzw. gibt eine Fehlermeldung aus, wenn man die nicht mehr vorhandene “wp-login.php” aufrufen möchte. Es ist schwer zu verstehen, aber man vergibt mit dem Plugin quasi einen neuen Dateinamen, der dann aber nur virtuell verwendet wird. Für die Hacker und andere Benutzer ist es aber nicht ersichtlich, sondern es sieht von aussen so aus, als wäre die Daten tatsächlich umbenannt. Das schöne an dem Plugin ist: Wenn man es deaktiviert, ist alles wieder beim alten und man muss nichts zurück umbenennen – also eine sehr nutzerfreundliche Möglichkeit, diese Sache durchzuführen.

Wordpress 4 Sicherheit: Training als Video-Workshop

Für alle die sich etwas tiefer in Wordpress einarbeiten möchten, kann ich das Videotraining von Galileo empfehlen. Dort ist auch ein komplettes Kapitel der Wordpress-Sicherheit gewidmet und dazu gibt es noch viele weitere Tipps, Tricks und Erklärungen auf Video, so dass man die einzelnen Schritte im WP-Admin direkt nachvollziehen kann.

WordPress 4: 10 Stunden WordPress-Praxis für Einsteiger und Fortgeschrittene
Die WordPress- Experten René Reimann und Birgit Olzem erstellen mit Ihnen Schritt für Schritt ein komplettes Theme und zeigen, wie Sie Ihre Website mit zahlreichen modernen Features ausstatten. Profitieren Sie von ihren Tipps zu Plug-ins, Gestaltung, Sicherheit, SEO und mobilem Webdesign. Inkl. komplettem Beispielmaterial auf DVD!
Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Die Seite enthält Affiliate Links / Bilder: Amazon.de

17 Kommentare zu „Wordpress Sicherheit: wp-login.php umbenennen und vor Hackern schützen“

  1. Hi. Das sind 2 schöne Plugins die du hier vorstellst. Seit ein paar Tagen befasse ich mich mit der Sicherheit von Wordpress da auch ich immer wieder Zugriffe auf meine wp-login.php feststellen muss. Besonders das “rename wp-login” klingt interessant, ich werde es mal ausprobieren. Danke für deine Tipps und einen schönen Blog hast du hier. Gruß Manuel.

    1. Hallo Rolf! Du kannst dich dann über die neue (selbst vergebene) URL zum Admin einloggen. Die Zugangsdaten bleiben gleich, aber die Adresse des Adminbereichs ändert sich. Ich hoffe, du kommst rein. :-)

  2. Hans-Joachim Brosch

    Hallo,

    super Sache das Plugin Rename wp-login.php. Ich habe noch eine .htpasswd in der .htaccess muss ich hier umbennen?

    Danke und Grüße
    Joachim

    1. Hallo Joachim! Die .htpasswd ist aber keine Standard-Datei von Wordpress. Ich nehme an, die ist ein zusätzlicher Login-Schutz, der vor dem eigentlichen WP-Admin-Login erfolgt. In dem Fall musst du eigentlich nichts weiter umbenennen. Aber wie gesagt: Die .htpasswd kenne ich jetzt nicht im Detail und kann nur vermuten, dass nichts weiter nötig ist. Weißt du, wo die .htpasswd herkommt? Viele Grüße!

      Jens

    1. Ach ja, die Anleitung von Sergej. Ja, die ist ganz gut, aber aus meiner Sicht schon was für paranoide Personen. Die Hälfte reicht in der Regel auch, um seinen Admin frei von Hackern zu halten. Das größte Einfallstor sind leider auch die nicht aktualisierten Plugins, die irgendwelche Sicherheitslücken aufweisen, die Hacker dann nutzen.

  3. Hans-Joachim Brosch

    Ich habe es nochmals überprüft. Wenn ich das Plugin Rename wp-login.php aktiviere, funktioniert der Befehl

    AuthName “Admin-Bereich”
    AuthType Basic
    AuthUserFile /Pfad-zu-deiner-datei-htpasswd/.htpasswd
    require valid-user

    nicht.
    Ganz oben steht ja auch .
    Meine Frage:
    Wie müßte dann die Zeile richtig heissen, wenn ich auf einen Ordner im Plugin “Rename wp-login.php” umstelle?

    Vielen Dank
    Joachim

    1. Hi Joachim! Wieso möchtest du den Zusatzlogin mit .htaccess und .htpasswd ändern? Eigentlich sollte es weiterhin funktionieren, wenn du die .htpasswd nicht verschoben hast. Die Zeile in der .htaccess-Datei sagt dem Server ja nur, wo die Datei liegt und die muss nicht unbedingt im Ordner von “Rename wp-login.php” liegen, sondern kann auch da bleiben, wo sie bisher ihre Dienst verrichtet hat. Wenn du trotzdem einen Fehler bekommst, muss irgendwo noch ein Fehler sein… ich kann mir das gerne anschauen, wenn du magst. Allerdings müsste ich dann mal auf den Server schauen… Viele Grüße! Jens

  4. Hallo Sir Apfelot,
    ich möchte bei einer Kundenseite eine besonders hohe Sicherheitsstufe einrichten mit htaccess-Schutz UND umbenannter Login-URL (Plugin “Rename WP-Login.php”).
    Ich habe beides eingerichtet, aber wenn ich die umbenannte Login-URL aufrufe, kommt der htaccess-Wächter nicht. Was muss ich in der htaccess eintragen, damit man auch bei der neuen URL einen htaccess-Benutzernamen und -Passwort eintragen muss?

    1. Hallo Michaela! Der .htaccess-Schutz gilt in der Regel für den kompletten wp-admin Ordner. Wenn du dich allerdings einmal in den htaccess-Schutz eingeloggt hast, dann wirst du eine Weile nicht mehr nach dem Login gefragt. Eventuell ist das der Fall, warum der Schutz nicht mehr greift. Wenn du es testen möchtest, rufst im Browser einfach ein neues “privates Fenster” auf. In diesem sind keine Cookies und ähnliches vorhanden und du wirst behandelt, wie ein unbekannter Nutzer. Entsprechend sollte auch die Abfrage kommen.

      Die beste Lösung wäre in deinem Fall aber vielleicht sowieso das Plugin “iThemes Security”. Damit kannst du beide Features mit einem Plugin realisieren, wenn ich mich nicht täusche. Es hat auch noch viele andere Vorteile, wie das Blocken von Brute-Force-Attacken und die Sperrung der XMLRPC Schnittstelle.

      Ich hoffe, ich konnte dir helfen!

  5. Hallo Sir Apfelot,
    ich habe mir gerade Rename wp-login.php installiert und meine Url geändert. Wenn ich diese jetzt aufrufe, kommt folgende Fehlermeldung: Not Found
    The requested URL was not found on this server.
    Was habe ich denn da wieder falsch gemacht?
    Viele Grüße
    Sabine

    1. Hallo Sabine! Ich schätze, du hast die Datei wp-login.php in irgendwas anderes umgenannt. Du musst für das Einloggen nun natürlich den neuen Namen der Datei eintragen. LG, Jens

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials