WordPress wp-login.php schützen

WordPress Login und wp-login.php vor Brute-Force Angriffen sichern

Die wp-login.php vor Hackern sichern. Wer ein Blog mit WordPress betreibt, wird oft mit Angriffen aus dem Internet konfrontiert. Ich zeige in diesem Tutorial, wie du die Sicherheit deutlich erhöhen kannst.

In den letzten Monaten ist es echt schlimm mit den Brute-Force Angriffen (Ausprobieren aller möglichen Passwort-Varianten) geworden. So richtig merke ich das erst, seitdem ich das Plugin Limit Login Attempts Reloaded mit E-Mail-Benachrichtigung aktiv habe. Ich bekomme täglich mehrere, bis unzählige Mails mit der Information, dass IP-Adressen von meinen Blogs gesperrt wurden. Das nervt und außerdem wäre es doch besser, diese Bots (Robots sind automatisierte Programme) gar nicht erst so weit kommen zu lassen.

wp-login.php Schutz für Multisite und mehrere Autoren

Nun stand ich aber vor einem Problem. Ich habe externe Schreiber auf meinen Blogs, die auch regelmäßig wechseln. Darum kommt eine Sperre auf IP-Ebene oder mit .htaccess-Usern nicht infrage. Das würde die Wartung viel zu umständlich machen.

Jetzt habe ich aber eine andere, sehr einfache Lösung gefunden. Ich nutze einen Standard .htaccess User, den ich auch in der Login-Meldung am Bildschirm anzeige. Das geschieht ganz einfach über AuthName. Somit sieht jeder meiner Schreiberlinge, wie er sich einloggen kann und die Bots sind ausgesperrt. Die sind ja nur darauf programmiert, sich über die wp-login.php-Datei Zugang zu verschaffen.

Das Ganze funktioniert bestens. Seitdem ich diese Lösung online habe, hat es kein Bot mehr bis zum WordPress Login geschafft. Das erhöht extrem die Sicherheit meiner WP-Installationen und spart deutlich an Systemressourcen. Perfekt!

Mit einer Texterin hab ich die Sperre auch schon durchgespielt. Stellt überhaupt kein Problem für sie dar.

So geht’s

Für diesen Schutz benötigt ihr zwei Dateien. Nämlich die .htaccess und die .htpasswd. Die erste Datei ist ja schon bei jedem WordPress-System vorhanden.
In der .htaccess müsst ihr lediglich folgenden Code ganz oben einfügen:

# Sichere wp-login.php
‹Files wp-login.php›
AuthName "Anmelden mit Benutzer: heimlich und Passwort: anmelden"
AuthType Basic
AuthUserFile /$path$/.htpasswd
Require valid-user
‹/Files›

Ich habe hier einfach „heimlich“ als Benutzer und „anmelden“ als Passwort verwendet. Das könnt ihr so übernehmen, oder auch nach Belieben ändern.

$path$ müsst ihr mit dem absoluten Pfad zum WordPress-Verzeichnis ersetzen. Das könnte z.b. so aussehen: /home/web15/public_html/

.htpasswd generieren lassen
.htpasswd generieren lassen

Die Datei .htpasswd musst du neu erstellen und dann in dein WordPress-Root kopieren. Also dort hin wo die .htaccess auch liegt.

Du kannst den .htpasswd Generator kostenlos für die Verschlüsselung deines Passworts nutzen. Den Text aus dem Feld Ergebnis fügst du in die neu erstellte .htpasswd Datei. Damit bist du auch schon fertig.

Hier seht ihr nun wie der zusätzliche Login-Screen aussieht:

.htaccess Login
Bildschirm vor dem WordPress-Login

Direkt in dem Fenster siehst du den Hinweis auf den Benutzernamen und das Passwort für deine Autoren und WordPress Multisite Benutzer.

Damit ist der WordPress-Login vor Bots gesichert und trotzdem für alle zugänglich.

Wie kann man den WP-Login vor Brute-Force-Attacken schützen?

Mit dem .htaccess Passwortschutz können auch einzelne Dateien geschützt werden. Das Passwort muss aber verschlüsselt werden. Nutze dafür den Passwort Generator.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.