|

WordPress Admin Login verstecken, absichern

Hacker Brute Force Angriff

WordPress (Admin-)Login verstecken vor Hackerangriffen?

Warum die WordPress Admin-Login-URL (Website) verstecken?

Viele Websites müssen keine Benutzer verwalten. Lediglich der Webmaster benötigt Zugriff auf die WordPress-Installation über eine Login-URL und diese könnte man ja sich auf einem Zettel notieren? .

Warum solltest du also die Webseite deines WordPress-Admin-Login verstecken wollen? Nun, WordPress ist das dominierende Website-System, ein sogenanntes Content-Management-System (CMS). Kaum eine private oder kommerzielle Websiter wird noch wirklich mit HTML, PHP, CSS und Javascript „Old School“ programmiert. Selbst große Unternehmen nutzen WordPress zur Erstellung ihrer Unternehmens-Website.

Die WP Login-URL ist immer dieselbe

Der Nachteil ist die Modularität von WordPress. Egal, wer mit WordPress eine Internetpräsenz realisiert – die Login-Website findet man immer unter derselben Url/Adresse. Das wissen auch Hacker oder automatischen Programme, Scripte zum „hacken“. Weil WordPress Marktführer ist, befinden sich die meisten Login-Scripte unter der Adresse:

Login-Url: www.deine-domain.de/wp-login.php

Wenn Du den Adminbereich, das Login-Script versteckst, verlängert sich bei einem ernsthaften Hackerangriff nur die Zeit zum Knacken Deiner „Sicherheitsvorkehrung“. Neben dem Verstecken Deiner Login-URL solltest Du ein Plugin für eine IP-Sperre nutzen, die hartnäckige Scripte/Hacker für eine Weile aussperrt. Denn eines ist klar – wenn „jemand“ 5x hintereinander das WordPress-Passwort falsch eingibt, wirst das nicht Du sein, es wird sich um ein Hacker-Programm handeln.

Ein gutes WordPress-Plugin für eine IP-Sperre ist „Limit Login Attempts Reloaded“.

Hackerprogramme kennen deine Adresse – versteck den WP-Login!

Sie kennen die Adresse des Login-Script und müssen jetzt nur noch – automatisiert 36.000 mal pro Stunde, 24 Stunden täglich an 365 Tage im Jahr – deine Website mit Login-Anfragen bombardierten. Ein automatisches Programm kann so bei 10 Login versuchen pro Sekunde 315.360.000 Passwörter im Jahr testen.

315 Millionen! Wenn Dein Passwort beispielsweise aus 5 Buchstaben beseht, ist es in 330 Stunden definitiv geknackt. Doch Hacker beherrschen neben Programmiersprachen auch ihre Muttersprache.

Sie wissen daher: In einem Namen mit 5 Buchstaben folgt einem „X“ wahrscheinlich nicht erneut ein „X“ und auch kein „Z“ oder „B“. Mit nur wenigen „Namens-Regeln“ minimieren sich die maximal möglichen Buchstabenkombinationen im zu knackenden Passwort beim Login.

.

WordPress (Admin-) Login mit Plugin verstecken

Es gibt umfangreiche Sicherheits-Plugins, die auch das Verstecken der Besucher/Admin Login-URL anbieten.

Je komplexer aber ein WordPress-Plugin ist, desto mehr Programmcode muss bei jedem Seitenaufruf geladen werden und die WordPress-Website wird automatisch langsamer – ohne dass zusätzlich Hackerscripte das Login-Script mit zig Anfragen pro Sekunde überlasten.

Kleine Webseiten, die bei günstigen Hostern liegen und viele unerlaubte Logins verzeichnen, sollten ein schlankes Plugin zum Verstecken des Verzeichnisses „/wp-admin“ und der Datei „wp-login.php“ verwenden.

„WPS Hide Login“ versteckt dein Login-Script

Das kostenlose Plugin „WPS Hide Login“ tut genau das, was es tun soll: Es ändert den Pfad „/wp-admin“ und den Namen des Login-Scriptwp-login.php„. Dieses Sicherheits-Plugin ist auf mehr als 1 Million WordPress-Websites installiert, wurde fast nur mit 5 Sternen bewertet, wird regelmäßig aktualisiert und ist sehr schlank und effektiv.

Die Einstellungen für „WPS Hide Login“ nimmst Du bei den generellen WordPress-Einstellungen vor. In diesem Bereich klinkt sich das Plugin ein.

Achtung: Statt der voreingestellten Zeichenfolge „Login“ solltest Du einen langen und kryptischen Namen wählen, beispielsweise „x1-za99-o„. Je länger der neue Name ist und umso mehr verschiedene alphanumerische Zeichen vorkommen, desto länger benötigen Angreifer, um den neuen Pfad zu Deinem Login-Script durch Testen herauszufinden!

Schütze Dich vor Brute-Force-Angriffen – ein versteckter ADMIN-Bereich genügt nicht!

Das Plugin „WPS Hide Login“ ist ein guter Anfang, um deine WordPress-Seite zu schützen. Doch Hacker arbeiten auch mit Programmen, die automatisch versuchen, deine Login-URL durch Testen herauszubekommen. Die verdeckte Login-Datei mag gegen „Gelegenheits-Hacker“ helfen, doch wichtige Unternehmenswebsites dürfen sich auf solch eine „Spielerei“ nicht verlassen.

Angreifer, die mit einem Bot-Netzwerk automatisch WordPress mit Anmeldeversuchen bombardieren, verlangsamen zudem deine Website sehr stark. Das kann dazu führen, dass der Google Crawler eine Website nicht mehr spidert, indexiert. Nutze darum – zusätzlich zum Verstecken der Login-URL – als Schutz gegen Brute-Force-Angriffe eine IP-Sperre, die Du mit dem ebenfalls kostenlosen und guten Plugin „Limit Login Attempts Reloaded“ realisieren kannst.

Ein weiterer Schritt zu einer sicheren WordPress-Website hin stellt die Nutzung eines CDN wie Cloudflare dar.