Um sich mit WordPress vor hartnäckigen Brute Force Attacks zu schützen, ist es eine effektive Lösung das WordPress-Login und dem direkten Zugang unter wp-login.php zu verstecken.
Problem:
Standardmäßig findet sich das WordPress Login bei jeder normalen Installation unter domain.tld/wp-login.php. Dies ist für einen Angreifer natürlich ein gefundenes Eingangstor und sie müssen sich lediglich um den Benutzernamen (kann relativ einfach gefunden werden) und das Passwort (mit viel Rechenleistungen ist auch dies knackbar) kümmern. Etwas sportlich formuliert, steht dann das Backend offen.
Lösung:
Um jetzt das Eingangstor zu verlegen, könnt ihr das kostenfreie WordPress Plugin WPS Hide Login verwenden. Dieses unterbindet den direkten Zugriff auf den /wp-admin/ und die Login-Datei wp-login.php und leitet auf eine gewünschte Alterativadresse um. Dazu könnt ihr im Backend unter Einstellungen > Allgemein einen neuen Pfad angeben, z.B. domain.tld/mein-backend-zugang/.
Fertig und vor allem sehr schnell erledigt!
Sehr praktisch: Das Plugin WPS Hide Login ist auch Multiuser-tauglich und somit auch für größere WordPress-Netzwerke zu verwenden.
Wichtig:
- Ihr solltet euch unbedingt den neuen Pfad merken, ansonsten findet ihr selbst den Weg ins Backend nicht mehr. Alternativ könnt ihr natürlich in der Datenbank nachschauen.
- Bei einer ersten Installation solltet ihr ggf. den Cache ausreichen leeren (z.B. beim W3 Total Cache), um auch den neuen Pfad zum WordPress Login zu erreichen.
- Nicht zu unterschätzen: Neben diesem Plugin solltet ihr weitere Sicherheitsmaßnahmen (allen voran sichere Passwörter!) verwenden.
Also sollte ma beide optionenverwenden ?
Ja, um so mehr Sicherungen vorhanden sind, um sehr komplexer wird es auch für die Angreifer 😉
top Artikel! Dankeschön.
also das Tool “ WPS Hide Login“ ist tatsächlich gut. Es ist einfach zu installieren und der „kleine“ Hacker kommt nicht mehr weiter. Seit dem habe ich keine Brute Force Attacks mehr (habe ich tatsächlich schon gehabt. Allerdings gibt es immernoch ein paar „Experten“ Hacker die das versteckte Login finden. Irgendwann geben die dann auf, weil die weder meinen usernamen und erst recht nicht mein Passwort herausfinden, dennoch die Frage: Wie finden die den Loginpfad?