Verschleiern der WordPress-Anmelde-URL

WordPress-Loginseite vor Brute-Force-Angriffen schützen

Sichern Sie Ihre WordPress-Anmeldeseite

Warum ist die Sicherheit der Anmeldeseite so wichtig?

Das Betreiben einer Website ist mit einer erheblichen Verantwortung für Inhalte und Nutzer verbunden. Diese Verantwortung steigt sogar noch, wenn Sie WordPress als Ihr CMS verwenden. Eine der wirksamsten Methoden, die Sicherheit Ihrer Website zu erhöhen, ist die Absicherung der Anmeldeseite.

Einfach ausgedrückt: Ein Hacker muss erst mal Ihre Anmeldeseite finden, bevor er überhaupt versuchen kann, sich Zugang zu verschaffen. Wenn die URL Ihrer Anmeldeseite nicht offensichtlich ist, sind Sie bereits auf der sicheren Seite.

Warum diese einfache, aber effektive Möglichkeit zur präventiven Absicherung der WordPress-Anmeldeseite so selten genutzt wird, ist für uns unverständlich. Daher empfehlen wir dringend, diese Maßnahme umgehend umzusetzen.

Warum sollten Sie die WordPress-Anmelde-URL ändern?

Standardmäßig ist die Anmeldeadresse für alle WordPress-Websites https://ihrwebsitename.de/wp-admin – vergleichbar damit, einem Einbrecher Ihre Wohnadresse zu geben.

Sie können ein Plugin verwenden, um dies für Sie zu erledigen, oder Sie können es auch selbst tun, was nur in Ausnahmefällen sinnvoll wäre.

Standard-Login-URLs von WordPress

WordPress verwendet standardmäßig die folgenden URLs für die Anmeldung:

ihrewebsite.de/wp-admin
ihrewebsite.de/wp-login.php

Tipp: In neueren WordPress-Versionen können Sie auch ‚/admin‘ und ‚/login‘ am Ende Ihrer Domain verwenden, um zum WordPress-Admin-Bereich zu gelangen, anstelle der vollständigen ‚/wp-admin‘ URL.

Die WordPress-Anmelde-Seite mit Plugin oder PHP-Code absichern?

Wir empfehlen den Plugin-Ansatz, insbesondere die Verwendung von WPS Hide Login. Dieses Plugin hat sich bei zahlreichen Websites bewährt. Es hilft Ihnen, die WordPress-Anmeldung und die /wp-admin-URL zu verstecken, indem es die WordPress-Anmelde-URL ändert. Jeder Versuch, die Anmelde- und Admin-Seiten über ihre Standardadressen zu erreichen, wird umgeleitet.

Die Verwendung eines gut gewarteten Plugins für diesen Zweck ist generell eine kluge Entscheidung, insbesondere wenn Sie sicherstellen möchten, dass alle Aspekte der Funktion umfassend abgedeckt sind.

Es geht nicht nur darum, die URL zu ändern; es geht auch darum, verschiedene Randfälle, Kompatibilitätsprobleme und potenzielle Sicherheitslücken zu bewältigen. Plugins wie WPS Hide Login sind darauf ausgelegt, all diese Szenarien zu handhaben, und sie werden in der Regel aktualisiert, um mit neuen WordPress-Updates oder Sicherheitslücken umzugehen.

Zur Login-Absicherung hat sich WPS-Hide-Login Plugin bestens bewährt:

WPS Hide Login Plugin zum Verschleiern Ihrer WordPress Anmeldeseite

Nach der Installation und Konfiguration von WPS Hide Login sank die Anzahl der fehlgeschlagenen Anmeldeversuche bei betroffenen WordPress Websites von mehreren hundert pro Minute auf null.

Neben einer deutlich verbesserten Sicherheit Ihrer Website hilft dies auch, die Serverlast durch zahllose Brute-Force-Anmeldeanfragen zu reduzieren.

Weitere empfohlene Schutzmaßnahmen der WordPress Login-Seite:

Das Ändern der Anmelde-URL ist ein wichtiger erster Schritt, aber Ihre Anmeldeseite kann immer noch für Angreifer anfällig sein. Weitere Maßnahmen zur Absicherung Ihres WordPress-Dashboards:

Verwendung eines 2FA-Plugins.
Whitelisten von IP-Adressen.
Begrenzung der Anzahl möglicher Anmeldeversuche.
Verzögerung zwischen den Login-Versuchen erzwingen.
Erzwingen der Verwendung starker Benutzernamen und Passwörter.

Code-Beispiel zum Ändern der WordPress Login-Seite:

Fügen Sie den folgenden Code in Ihre functions.php-Datei ein:

PHP

function my_login_slug(){
return 'geheime-login-url';
}
add_filter( 'login_url', 'my_login_slug' );

Vorsicht:

Die manuelle Implementierung solcher Funktionen birgt das Risiko, sich selbst auszusperren, wenn sie nicht korrekt durchgeführt wird. Zudem könnte dies mit anderen Plugins oder Funktionen wie AJAX, REST-API oder Cron-Jobs interferieren, die sich möglicherweise auf die Standard-Anmeldeverfahren verlassen. Testen Sie deshalb gründlich in einer Testumgebung, bevor Sie solche Änderungen auf einer Live-Website durchführen.

Die bisherigen URLs der WordPress Login-Seite umleiten:

Die Änderung der WordPress-Anmelde-URL allein durch den Einsatz des login_url-Filters ist möglicherweise nicht ausreichend, um die Anmelde-URL vollständig zu ändern. Dies würde lediglich die URL ändern, die von wp_login_url() generiert wird. Jeder, der sich mit WordPress auskennt, könnte immer noch direkt auf wp-login.php oder wp-admin/ zugreifen und Brute-Force-Angriffe fortsetzen.

Um die Anmelde-URL effektiv zu ändern, sollten Sie auch:

Die alten URLs (wp-login.php und wp-admin/) auf eine 404-Seite oder einen anderen Ort umleiten.
Nicht nur die login_url ändern, sondern auch die tatsächliche Authentifizierung, Abmeldung und andere verwandte Aktionen handhaben.

Hier ist ein Code-Beispiel, das den direkten Zugriff auf wp-login.php blockiert und zu einem Ort Ihrer Wahl umleitet:

PHP

function custom_login(){
 $pagenow ='wp-login.php';
 global $pagenow;
 if( 'wp-login.php' == $pagenow ) {
  wp_redirect('https://www.example.com/404');
  exit();
 }
}
add_action('init','custom_login');

Rundum-Absicherung

HTTP-Sicherheits-Header
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung

Ihr Internet-Auftritt ist nur so sicher wie die schwächste Stelle.

Schlüsselfertige Absicherung:

Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 289,- € jetzt zum Vorzugspreis von 149,- €

Jetzt Starten »