Samstag, 7. Januar 2017 um 9:03 Uhr

WordPress Login-Seite schützen / wp-admin verschleiern

Die meisten Besitzer einer mit WordPress erstellten Website kennen das Problem: Man wird überhäuft mit Brute Force Attacks. Anders formuliert: Es wird versucht, über die WordPress-Login-Seite deiner Website auf das Backend zuzugreifen um eventuell Schaden anzurichten, deine komplette Website zu löschen oder sonstige Schandtaten zu veranstalten.
Um sich davor einfach und unkompliziert zu schützen, gibt es mehrere Methoden, die ich euch in diesem Beitrag gerne erklären möchte.

 

Viele haben das Plugin Limit Login Attempts installiert, bei dem genau aufgezeichnet wird, welche fremden IPs sich ins WordPress-Backend einloggen wollten. Zudem kann man die Loginversuche beispielsweise auf 3 Versuche herabsetzen und die jeweilige IP wird für einen frei wählbaren Zeitraum gesperrt.
Allerdings ist dieses Plugin mehr oder weniger ein Aufzeichnungs-Plugin, in dem eingesehen werden kann, wer wie oft versucht hat auf mein Backend zuzugreifen. Schützen wird dieses Plugin deine Website leider nicht.

Wem der Google Authenticator, den ich bereits im Artikel “WordPress: Welche Plugins sind sinnvoll und was sollte ich beachten?” vom 24.Januar 2016 erwähnt habe, zu umständlich ist, hat selbstverständlich noch weitere Methoden die er anwenden kann, um das WordPress-Backend vor Brute Force Attacks zu schützen.

 


Auch interessant: Deine WordPress-Website sicherer machen


 

Eine Methode die oft angewendet wird, ist die zusätzliche Eingabe eines Benutzernamens und eines Passworts um auf die eigentliche Login-Seite zu gelangen. Dies wird über die .htaccess-Datei am FTP-Server realisiert, was im Blog von art-supplies.de schön erklärt wird.
Wem dies auch zu kompliziert erscheint oder wem einfach kein Zugang zum FTP-Server gewährleistet wird (wie bei manchen Hostingprovidern), für den habe ich eine noch einfachere und effizientere Methode.

 

Der eigentliche Tipp: wp-admin verschleiern

Bekannterweise loggt man sich ins WordPress-Backend über diese Domain ein: www.deinedomain.de/wp-admin
Dann erscheint das schöne blaue WordPress-Logo und die Eingabefelder für den Benutzernamen und das Passwort – und natürlich der Login-Button. Genau diese URL mit /wp-admin wird jeder aufrufen, der nichts Gutes mit deiner Website vor hat.
Dieses kann man jedoch mit dem einfach Plugin WPS Hide Login verschleiern und den Pfad nach eigenen Wünschen ändern, ohne sich mit irgendwelchen PHP-Codes oder der mySQL-Datenbank beschäftigen zu müssen.

Das Plugin erstellt nach der Installation ein eigenes Eingabefeld im WordPress-Backend-Menü unter Einstellungen -> Allgemein (ganz unten). Hier einfach den gewünschten Pfad angeben (z.B. /mein-login) und schon ist der Pfad /wp-admin Geschichte.
Ruft man nun www.deinedomain.de/wp-admin auf, erscheint standardmäßig “This has been disabled” in einem weißen Feld.
Den neuen Pfad solltest du dir natürlich unbedingt merken oder am Besten gleich unter deinen Favoriten im Browser hinterlegen.

 

 

“This has been disabled” ändern

Um diesen Text nach deinen Wünschen zu ändern, öffne deinen FTP-Client (z.B. FileZilla) und gehe zu wp-content -> plugins -> wps-hide-login und öffne die Datei wps-hide-login.php mit einem Editor.
In Zeile 390 befindet sich folgender PHP-Code:

if ( is_admin() && ! is_user_logged_in() && ! defined( 'DOING_AJAX' ) && $pagenow !== 'admin-post.php' ) {
			                wp_die( __( 'This has been disabled', 'wps-hide-login' ), 403 );
						}

Den Textteil ‘This has been disabled’ nach wp_die einfach mit dem gewünschten Text ersetzen (z.B. Kein Zutritt für Unerlaubte!).

 

 

Nach dem hier erklärten Vorgang werden sich die Brute Force Attacks mit hoher Wahrscheinlichkeit minimieren oder gar komplett fernbleiben. Verfolge dies am Besten mit Hilfe des erwähnten Plugins Limit Login Attempts.

SAG DEINE MEINUNG!

Sei der Erste, der einen Kommentar abgibt!

Benachrichtigung bei
wpDiscuz