Das WordPress-Login zählt bei Hackern zu den beliebtesten Angriffszielen des Content-Management-Systems. Mit sogenannten Brute-Force-Attacken versuchen sie sich an zahlreichen Passwort-Kombination, um WordPress übernehmen zu können. Hier stellen stellen wir dir die häufigsten Angriffs-Ziele vor und wie du mit einigen simplen Änderungen deinen WordPress-Login gegen Angriffe sicherst. Außerdem zeigen wir dir zwei Plugins, die deinen Login noch sicherer machen.
Inhaltsverzeichnis
WordPress-Login ist für jeden erreichbar
Wenn du dich in WordPress einloggen willst, kannst du die Login-Seite über folgende URLs abrufen:
- deinenseite.de/wp-admin
- deinenseite.de/login
Und schon gelangst zum Login-Formular für deine WordPress-Installation.
Bei diesen beiden URLs handelt es sich jedoch um den klassischen Standard-Pfad, über den jeder Login einer WordPress-Seite abgerufen werden kann. Das heißt, auch Fremde können das Login-Formular deiner WordPress-Seite jederzeit aufrufen.
Genau aus diesem Grund solltest du dafür sorgen, dass dein WordPress-Login bestmöglich gegen Hacker und Spam abgesichert ist. Wie einfach das Ganze geht und welche Möglichkeiten du hast, möchten wir dir heute in unserem Artikel zeigen.
xmlrpc.php via .htaccess sperren
Über die xmlrpc.php-Datei können verschiedene externe Programme auf das WordPress-System zugreifen. Das kann natürlich sehr praktisch sein, wenn du Plugins nutzt, die mit weiteren Systemen außerhalb von WordPress kommunizieren müssen.
Jedoch besteht genau hier auch die Gefahr, dass WordPress durch einen Hackerangriff quasi ferngesteuert werden kann. Mittels einer Brute-Force-Attacke könnten Hacker mehrere Passwort-Kombinationen auf einmal abfragen, bis sie das korrekte Passwort für das Login gefunden haben.
Um dies zu vermeiden, solltest du die Funktion dieser Datei über die .htaccess-Datei deaktivieren.
xmlrpc.php deaktivieren
Öffne die .htaccess-Datei und füge dort folgende Zeilen ein:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>Damit wird die xmlrpc.php-Datei komplett blockiert und stellt für dich und deine WordPress-Installation keine Gefahr mehr da.
Alternativen zum Login-Schutz
Neben dem Login-Schutz für WordPress stehen dir auch zahlreiche Alternativen zu Verfügung. Diese lassen sich einfach umsetzen und bieten dir zumindest einen Basis-Schutz, wenn es um die Absicherung der WordPress Login-Seite geht.
Zwei-Faktor-Authentifizierung
Mit einer Zwei-Faktor Authentifizierung sicherst du dein WordPress-Login durch einen zweifachen Schutz ab. Das bedeutet, bevor du deine normalen Login-Daten für WordPress eingeben kannst, musst du einen sogenannten Authentifizierungs-Code eingeben. Dieser wird z.B. mit Hilfe des Google Authenticators erzeugt.
Damit du die Zwei-Faktor-Authentifizierung nutzen kannst, empfehlen wir dir ein Plugin wie Two-Factor. Das Plugin kannst du im offiziellen Plugin-Verzeichnis von WordPress runterladen oder direkt über das WordPress-Backend installieren.
Hast du das Plugin installiert, musst du es zuallererst einrichten. Hierzu stehen dir insgesamt bis zu 4 Optionen zur Verfügung:
- Zeitlich begrenztes Passwort (Google Authenticator)
- FIDO Universal 2nd Factor
- Backup Verifikations-Codes
Die Optionen 1 und 2 sind mit Sicherheit die einfachsten Methoden, um die Zwei-Faktor-Authentifizierung umzusetzen.
Bei Option 1 erhältst du einen Authentifizierungscode per Mail, den du im Anschluss eingeben musst. Mit Option 2 erhälst du ein zeitlich begrenztes Passwort, welches über die Google Authenticator App via QR-Code gescannt und eingegeben werden muss.
reCAPTCHA
Durch einen sogenannten Captcha Code kann auf der WordPress Login-Seite sichergestellt werden, dass ein Mensch und nicht eine Maschine (Bot) auf der Website agiert.
Erst wenn der Captcha Code erfolgreich bestätigt wird, kann der Seitenbesucher die eingegeben Daten versenden. Der Captcha Code wird vor allem auf Login-Seiten, in Kontaktformularen, Kommentarfunktionen und vielen anderen Online-Formularen eingesetzt.
Um diesen Login-Schutz für WordPress nutzen zu können, kannst du beispielsweise ein Plugin wie das Login reCAPTCHA nutzen. Mit dem Einsatz des Plugins können Anmeldedaten erst versendet werden, wenn das reCAPTCHA-Feld bestätigt wurde.
Hierzu muss der Nutzer unter dem Login-Feld bestätigen, dass er kein Roboter ist. Sollte Unsicherheit bestehen, bekommt der Nutzer zudem Bilder angezeigt, die er bestätigen muss.
Damit du das oben genannte Plugin nutzen kannst, benötigst du einen Site- sowie Secret-Key von Google.
Passwort-Manager benutzen
Eine weitere und ganz einfache Möglichkeit, WordPress vor unerlaubtem Zugriff zu schützen, ist ein sicheres Passwort zu verwenden, das du nur für deinen WordPress-Login nutzt - und nicht für E-Mail-Login, Netflix oder andere Online-Dienste.
Folgende Merkmale sollte ein sicheres Passwort aufweisen:
- mindestens 8 Zeichen
- Groß- und Kleinbuchstaben
- Zahlen
- Sonderzeichen
Wenn du anhand dieser 4 genannten Merkmale ein Passwort erzeugst, kannst du davon ausgehen, dass es sicher ist. Damit du dir nicht alle Passwörter für alle genutzten Dienste merken musst, empfehlen wir dir einen Passwort-Manager.
Innerhalb dieses Passwort-Managers kannst du das Passwort speichern und jederzeit abrufen, wenn du es benötigst. Um auf den Passwort-Manager zugreifen zu können, musst du einmalig ein Master-Passwort anlegen, mit welchem du anschließend auf alle gespeicherten Passwörter bzw. Zugangsdaten zugreifen kannst.
Passwort-Manager mit einem Browser-AddOn erkennen außerdem automatisch auf welcher Seite du dich befindest und füllen das Login-Formular sogar selbstständig aus. Du hast mit der Eingabe dann also keinerlei Arbeit mehr.
Folgende Passwort-Manager können wir dir empfehlen:
Fazit
Ein Login-Schutz für WordPress gehört für jeden Nutzer des Content-Management-Systems zur Grundsicherheit. Wie du oben sehen kannst, ist es gar nicht schwer, Schutzmechanismen einzubauen, die dich vor Hackern oder Spam schützen können.
Wir empfehlen dir deshalb, mindestens eine der genannten Methoden anzuwenden, um die Sicherheit deiner WordPress-Website zu gewährleisten.