WordPress wp-login.php schรผtzen

WordPress Login und wp-login.php vor Brute-Force Angriffen sichern

Mรถchtest du mehr zum Thema Wordpress Login erfahren?

Die wp-login.php vor Hackern sichern. Wer ein Blog mit WordPress betreibt, wird oft mit Angriffen aus dem Internet konfrontiert. Ich zeige in diesem Tutorial, wie du die Sicherheit deutlich erhรถhen kannst.

In den vergangenen Monaten ist es echt schlimm mit den WordPress Brute-Force Angriffen (Ausprobieren aller mรถglichen Passwort-Varianten) geworden. So richtig merke ich das erst, seitdem ich das Plugin Limit Login Attempts Reloaded mit E-Mail-Benachrichtigung aktiv habe. Ich bekomme tรคglich mehrere, bis unzรคhlige Mails mit der Information, dass IP-Adressen von meinen Blogs gesperrt wurden. Das nervt und auรŸerdem wรคre es doch besser, diese Bots (Robots sind automatisierte Programme) gar nicht erst so weit kommen zu lassen.

wp-login.php Schutz fรผr Multisite und mehrere Autoren

Nun stand ich aber vor einem Problem. Ich habe externe Schreiber auf meinen Blogs, die auch regelmรครŸig wechseln. Darum kommt eine Sperre auf IP-Ebene oder mit .htaccess-Usern nicht infrage. Das wรผrde die Wartung viel zu umstรคndlich machen.

Jetzt habe ich aber eine andere, sehr einfache Lรถsung gefunden. Ich nutze einen Standard .htaccess User, den ich auch in der Login-Meldung am Bildschirm anzeige. Das geschieht ganz einfach รผber AuthName. Somit sieht jeder meiner Schreiberlinge, wie er sich einloggen kann und die Bots sind ausgesperrt. Die sind ja nur darauf programmiert, sich รผber die wp-login.php-Datei Zugang zu verschaffen.

Das Ganze funktioniert bestens. Seitdem ich diese Lรถsung online habe, hat es kein Bot mehr bis zum WordPress Login geschafft. Das erhรถht extrem die Sicherheit meiner WP-Installationen und spart deutlich an Systemressourcen. Perfekt!

Mit einer Texterin hab ich die Sperre auch schon durchgespielt. Stellt รผberhaupt kein Problem fรผr sie dar.

So geht’s

Fรผr diesen Schutz benรถtigt ihr zwei Dateien. Nรคmlich die .htaccess und die .htpasswd. Die erste Datei ist ja schon bei jedem WordPress-System vorhanden.
In der .htaccess mรผsst ihr lediglich folgenden Code ganz oben einfรผgen:

# Sichere wp-login.php
โ€นFiles wp-login.phpโ€บ
AuthName "Anmelden mit Benutzer: heimlich und Passwort: anmelden"
AuthType Basic
AuthUserFile /$path$/.htpasswd
Require valid-user
โ€น/Filesโ€บ

Ich habe hier einfach „heimlich“ als Benutzer und „anmelden“ als Passwort verwendet. Das kรถnnt ihr so รผbernehmen, oder auch nach Belieben รคndern.

$path$ mรผsst ihr mit dem absoluten Pfad zum WordPress-Verzeichnis ersetzen. Das kรถnnte z.b. so aussehen: /home/web15/public_html/

.htpasswd generieren lassen
.htpasswd generieren lassen

Die Datei .htpasswd musst du neu erstellen und dann in dein WordPress-Root kopieren. Also dort hin wo die .htaccess auch liegt.

Du kannst den .htpasswd Generator kostenlos fรผr die Verschlรผsselung deines Passworts nutzen. Den Text aus dem Feld Ergebnis fรผgst du in die neu erstellte .htpasswd Datei. Damit bist du auch schon fertig.

Hier seht ihr nun, wie der zusรคtzliche Login-Screen aussieht:

.htaccess Login
Bildschirm vor dem WordPress-Login

Direkt in dem Fenster siehst du den Hinweis auf den Benutzernamen und das Passwort fรผr deine Autoren und WordPress Multisite Benutzer.

Damit ist der WordPress-Login vor Bots gesichert und trotzdem fรผr alle zugรคnglich.

BloggerPilot Security Plugin und Service

BloggerPilot Security

  • Limitierte Logins
  • Ungรผltige Benutzernamen sperren
  • IP Whitelist & Blacklist
  • Bots blockieren
  • 2FA per E-Mail
  • ReCaptcha und hCaptcha

FAQ

Mit dem .htaccess Passwortschutz kรถnnen auch einzelne Dateien geschรผtzt werden. Das Passwort muss aber verschlรผsselt werden. Nutze dafรผr den Passwort-Generator.

Fazit

Insgesamt lรคsst sich sagen, dass es sehr wichtig ist, den WordPress-Login abzusichern, da es die Einfalltรผr fรผr Hacker und unerwรผnschte Zugriffe auf die Website darstellt.

Hierfรผr stehen verschiedene Mรถglichkeiten zur Verfรผgung, wie die Verwendung starker Passwรถrter, Einschrรคnkungen fรผr den Login-Bereich, die Nutzung von Zwei-Faktor-Authentifizierung und die Aktualisierung von WordPress und Plugins.

Es ist empfehlenswert, nicht nur eine dieser Methoden anzuwenden, sondern mehrere zu kombinieren, um ein mรถglichst hohes MaรŸ an Sicherheit zu gewรคhrleisten. Ebenso sollte regelmรครŸig รผberprรผft werden, ob es Sicherheitslรผcken gibt und diese schnellstmรถglich behoben werden.

Insgesamt gilt also: Die Sicherheit des WordPress-Logins sollte zu einem festen Bestandteil der Website-Sicherheitsstrategie werden.

Offenlegung Werbelinks: Mit einem Stern (*) gekennzeichnete Links und Buttons sind sogenannte Affiliate-Links. BloggerPilot bekommt bei einem Kauf eine Provision, die sich jedoch nicht auf den Endpreis auswirkt. Es ist uns wichtig zu betonen, dass dies keinen Einfluss auf unsere Bewertung oder Meinung hat.

ร„hnliche Beitrรคge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht verรถffentlicht. Erforderliche Felder sind mit * markiert