WordPress Login und wp-login.php vor Brute-Force Angriffen sichern
Mรถchtest du mehr zum Thema Wordpress Login erfahren?
Die wp-login.php vor Hackern sichern. Wer ein Blog mit WordPress betreibt, wird oft mit Angriffen aus dem Internet konfrontiert. Ich zeige in diesem Tutorial, wie du die Sicherheit deutlich erhรถhen kannst.
In den vergangenen Monaten ist es echt schlimm mit den WordPress Brute-Force Angriffen (Ausprobieren aller mรถglichen Passwort-Varianten) geworden. So richtig merke ich das erst, seitdem ich das Plugin Limit Login Attempts Reloaded mit E-Mail-Benachrichtigung aktiv habe. Ich bekomme tรคglich mehrere, bis unzรคhlige Mails mit der Information, dass IP-Adressen von meinen Blogs gesperrt wurden. Das nervt und auรerdem wรคre es doch besser, diese Bots (Robots sind automatisierte Programme) gar nicht erst so weit kommen zu lassen.
Den WordPress Login und die wp-login.php sichern, damit Bots und WordPress-Brute-Force-Angriffe keine Chance mehr haben. Mit dieser Lรถsung kรถnnen auch mehrere Schreiber und WordPress-Multisite auf deine Website zugreifen.
wp-login.php Schutz fรผr Multisite und mehrere Autoren
Nun stand ich aber vor einem Problem. Ich habe externe Schreiber auf meinen Blogs, die auch regelmรครig wechseln. Darum kommt eine Sperre auf IP-Ebene oder mit .htaccess-Usern nicht infrage. Das wรผrde die Wartung viel zu umstรคndlich machen.
Jetzt habe ich aber eine andere, sehr einfache Lรถsung gefunden. Ich nutze einen Standard .htaccess User, den ich auch in der Login-Meldung am Bildschirm anzeige. Das geschieht ganz einfach รผber AuthName. Somit sieht jeder meiner Schreiberlinge, wie er sich einloggen kann und die Bots sind ausgesperrt. Die sind ja nur darauf programmiert, sich รผber die wp-login.php-Datei
Zugang zu verschaffen.
Das Ganze funktioniert bestens. Seitdem ich diese Lรถsung online habe, hat es kein Bot mehr bis zum WordPress Login geschafft. Das erhรถht extrem die Sicherheit meiner WP-Installationen und spart deutlich an Systemressourcen. Perfekt!
Mit einer Texterin hab ich die Sperre auch schon durchgespielt. Stellt รผberhaupt kein Problem fรผr sie dar.
So geht’s
Fรผr diesen Schutz benรถtigt ihr zwei Dateien. Nรคmlich die .htaccess und die .htpasswd. Die erste Datei ist ja schon bei jedem WordPress-System vorhanden.
In der .htaccess mรผsst ihr lediglich folgenden Code ganz oben einfรผgen:
# Sichere wp-login.php
โนFiles wp-login.phpโบ
AuthName "Anmelden mit Benutzer: heimlich und Passwort: anmelden"
AuthType Basic
AuthUserFile /$path$/.htpasswd
Require valid-user
โน/Filesโบ
Ich habe hier einfach „heimlich“ als Benutzer und „anmelden“ als Passwort verwendet. Das kรถnnt ihr so รผbernehmen, oder auch nach Belieben รคndern.
$path$ mรผsst ihr mit dem absoluten Pfad zum WordPress-Verzeichnis ersetzen. Das kรถnnte z.b. so aussehen: /home/web15/public_html/
Die Datei .htpasswd musst du neu erstellen und dann in dein WordPress-Root kopieren. Also dort hin wo die .htaccess auch liegt.
Du kannst den .htpasswd Generator kostenlos fรผr die Verschlรผsselung deines Passworts nutzen. Den Text aus dem Feld Ergebnis fรผgst du in die neu erstellte .htpasswd Datei. Damit bist du auch schon fertig.
Hier seht ihr nun, wie der zusรคtzliche Login-Screen aussieht:
Direkt in dem Fenster siehst du den Hinweis auf den Benutzernamen und das Passwort fรผr deine Autoren und WordPress Multisite Benutzer.
Damit ist der WordPress-Login vor Bots gesichert und trotzdem fรผr alle zugรคnglich.
BloggerPilot Security
FAQ
Fazit
Insgesamt lรคsst sich sagen, dass es sehr wichtig ist, den WordPress-Login abzusichern, da es die Einfalltรผr fรผr Hacker und unerwรผnschte Zugriffe auf die Website darstellt.
Hierfรผr stehen verschiedene Mรถglichkeiten zur Verfรผgung, wie die Verwendung starker Passwรถrter, Einschrรคnkungen fรผr den Login-Bereich, die Nutzung von Zwei-Faktor-Authentifizierung und die Aktualisierung von WordPress und Plugins.
Es ist empfehlenswert, nicht nur eine dieser Methoden anzuwenden, sondern mehrere zu kombinieren, um ein mรถglichst hohes Maร an Sicherheit zu gewรคhrleisten. Ebenso sollte regelmรครig รผberprรผft werden, ob es Sicherheitslรผcken gibt und diese schnellstmรถglich behoben werden.
Insgesamt gilt also: Die Sicherheit des WordPress-Logins sollte zu einem festen Bestandteil der Website-Sicherheitsstrategie werden.
Offenlegung Werbelinks: Mit einem Stern (*) gekennzeichnete Links und Buttons sind sogenannte Affiliate-Links. BloggerPilot bekommt bei einem Kauf eine Provision, die sich jedoch nicht auf den Endpreis auswirkt. Es ist uns wichtig zu betonen, dass dies keinen Einfluss auf unsere Bewertung oder Meinung hat.