WordPress wp-login.php schützen

WordPress Login und wp-login.php vor Brute-Force Angriffen sichern

Update:

Möchtest du mehr zum Thema Wordpress Login erfahren?

Die wp-login.php vor Hackern sichern. Wer ein Blog mit WordPress betreibt, wird oft mit Angriffen aus dem Internet konfrontiert. Ich zeige in diesem Tutorial, wie du die Sicherheit deutlich erhöhen kannst.

In den vergangenen Monaten ist es echt schlimm mit den WordPress Brute-Force Angriffen (Ausprobieren aller möglichen Passwort-Varianten) geworden. So richtig merke ich das erst, seitdem ich das Plugin Limit Login Attempts Reloaded mit E-Mail-Benachrichtigung aktiv habe. Ich bekomme täglich mehrere, bis unzählige Mails mit der Information, dass IP-Adressen von meinen Blogs gesperrt wurden. Das nervt und außerdem wäre es doch besser, diese Bots (Robots sind automatisierte Programme) gar nicht erst so weit kommen zu lassen.

Den WordPress Login und die wp-login.php sichern, damit Bots und WordPress-Brute-Force-Angriffe keine Chance mehr haben. Mit dieser Lösung können auch mehrere Schreiber und WordPress-Multisite auf deine Website zugreifen.

wp-login.php Schutz für Multisite und mehrere Autoren

Nun stand ich aber vor einem Problem. Ich habe externe Schreiber auf meinen Blogs, die auch regelmäßig wechseln. Darum kommt eine Sperre auf IP-Ebene oder mit .htaccess-Usern nicht infrage. Das würde die Wartung viel zu umständlich machen.

Jetzt habe ich aber eine andere, sehr einfache Lösung gefunden. Ich nutze einen Standard .htaccess User, den ich auch in der Login-Meldung am Bildschirm anzeige. Das geschieht ganz einfach über AuthName. Somit sieht jeder meiner Schreiberlinge, wie er sich einloggen kann und die Bots sind ausgesperrt. Die sind ja nur darauf programmiert, sich über die wp-login.php-Datei Zugang zu verschaffen.

Das Ganze funktioniert bestens. Seitdem ich diese Lösung online habe, hat es kein Bot mehr bis zum WordPress Login geschafft. Das erhöht extrem die Sicherheit meiner WP-Installationen und spart deutlich an Systemressourcen. Perfekt!

Mit einer Texterin hab ich die Sperre auch schon durchgespielt. Stellt überhaupt kein Problem für sie dar.

So geht’s

Für diesen Schutz benötigt ihr zwei Dateien. Nämlich die .htaccess und die .htpasswd. Die erste Datei ist ja schon bei jedem WordPress-System vorhanden.
In der .htaccess müsst ihr lediglich folgenden Code ganz oben einfügen:

# Sichere wp-login.php
‹Files wp-login.php›
AuthName "Anmelden mit Benutzer: heimlich und Passwort: anmelden"
AuthType Basic
AuthUserFile /$path$/.htpasswd
Require valid-user
‹/Files›

Ich habe hier einfach „heimlich“ als Benutzer und „anmelden“ als Passwort verwendet. Das könnt ihr so übernehmen, oder auch nach Belieben ändern.

Siehe auch
Lösung: Failed to load resource: 403 admin-ajax.php

$path$ müsst ihr mit dem absoluten Pfad zum WordPress-Verzeichnis ersetzen. Das könnte z.b. so aussehen: /home/web15/public_html/

.htpasswd generieren lassen
.htpasswd generieren lassen

Die Datei .htpasswd musst du neu erstellen und dann in dein WordPress-Root kopieren. Also dort hin wo die .htaccess auch liegt.

Du kannst den .htpasswd Generator kostenlos für die Verschlüsselung deines Passworts nutzen. Den Text aus dem Feld Ergebnis fügst du in die neu erstellte .htpasswd Datei. Damit bist du auch schon fertig.

Hier seht ihr nun, wie der zusätzliche Login-Screen aussieht:

.htaccess Login
Bildschirm vor dem WordPress-Login

Direkt in dem Fenster siehst du den Hinweis auf den Benutzernamen und das Passwort für deine Autoren und WordPress Multisite Benutzer.

Damit ist der WordPress-Login vor Bots gesichert und trotzdem für alle zugänglich.

BloggerPilot Security Plugin und Service

BloggerPilot Security

  • Limitierte Logins
  • Ungültige Benutzernamen sperren
  • IP Whitelist & Blacklist
  • Bots blockieren
  • 2FA per E-Mail
  • ReCaptcha und hCaptcha
Sicherheit als Dienst

FAQ

Mit dem .htaccess Passwortschutz können auch einzelne Dateien geschützt werden. Das Passwort muss aber verschlüsselt werden. Nutze dafür den Passwort-Generator.

Fazit

Insgesamt lässt sich sagen, dass es sehr wichtig ist, den WordPress-Login abzusichern, da es die Einfalltür für Hacker und unerwünschte Zugriffe auf die Website darstellt.

Hierfür stehen verschiedene Möglichkeiten zur Verfügung, wie die Verwendung starker Passwörter, Einschränkungen für den Login-Bereich, die Nutzung von Zwei-Faktor-Authentifizierung und die Aktualisierung von WordPress und Plugins.

Es ist empfehlenswert, nicht nur eine dieser Methoden anzuwenden, sondern mehrere zu kombinieren, um ein möglichst hohes Maß an Sicherheit zu gewährleisten. Ebenso sollte regelmäßig überprüft werden, ob es Sicherheitslücken gibt und diese schnellstmöglich behoben werden.

Insgesamt gilt also: Die Sicherheit des WordPress-Logins sollte zu einem festen Bestandteil der Website-Sicherheitsstrategie werden.

Das könnte dich auch interessieren

Offenlegung Werbelinks: Mit einem Stern (*) gekennzeichnete Links und Buttons sind sogenannte Affiliate-Links. BloggerPilot bekommt bei einem Kauf eine Provision, die sich jedoch nicht auf den Endpreis auswirkt. Es ist uns wichtig zu betonen, dass dies keinen Einfluss auf unsere Bewertung oder Meinung hat.

Avatar für Jochen Gererstorfer
Jochen Gererstorfer

Mehr über Jochen Gererstorfer
Jochen Gererstorfer ist Fachautor und Marketing Manager mit den Schwerpunkten WordPress, SEO und Online Marketing. Seit über 20 Jahren ist er in der Branche tätig und verfügt über umfassende Erfahrung in der Erstellung von Inhalten und der Entwicklung von Marketingstrategien. Als Experte für Content Marketing betreibt und betreut er zahlreiche Online-Publikationen als Chefredakteur oder in beratender Funktion. Er ist bekannt für seine praxisnahen und leicht verständlichen Beiträge.
SEO, Webworker, Schreiber und stolzer Vater

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert