Den WordPress Admin-Login verstecken

September 25, 2025 WordPress | |
Hacker Brute Force Angriff

WordPress (Admin-)Login verstecken vor Hackerangriffen?

Warum die WordPress Admin-Login-URL (Website) verstecken?

Viele Websites erfordern keine Benutzerverwaltung. In der Regel benötigt lediglich der Webmaster Zugriff auf die WordPress-Installation über eine Login-URL, die man sich leicht auf einem Zettel notieren könnte. Warum solltest du also den WordPress-Admin-Login deiner Website verstecken wollen? WordPress ist das führende Content-Management-System (CMS). Kaum eine private oder kommerzielle Website wird heutzutage noch in der „Old School“-Manier mit HTML, PHP, CSS und JavaScript programmiert. Selbst große Unternehmen setzen WordPress zur Erstellung ihrer Unternehmenswebsites ein.

Die WP Login-URL ist immer dieselbe

Der Nachteil ist die Modularität von WordPress. Egal, wer mit WordPress eine Internetpräsenz realisiert – die Login-Website findet man immer unter derselben Url/Adresse. Das wissen auch Hacker oder automatischen Programme, Scripte zum „hacken“. Weil WordPress Marktführer ist, befinden sich die meisten Login-Scripte unter der Adresse:

Login-Url: www.deine-domain.de/wp-login.php

Wenn du den Administrationsbereich und das Login-Skript versteckst, verlängert sich lediglich die Zeit, die ein ernsthafter Hacker benötigt, um deine Sicherheitsvorkehrungen zu umgehen. Neben dem Verstecken deiner Login-URL solltest du auch ein Plugin zur IP-Sperrung in Betracht ziehen. Dieses kann hartnäckige Skripte und Hacker für eine gewisse Zeit ausschließen. Eines ist sicher: Wenn jemand fünfmal hintereinander das WordPress-Passwort falsch eingibt, bist nicht du am Werk, sondern es handelt sich um ein Hackerprogramm.

Ein gutes WordPress-Plugin für eine IP-Sperre ist „Limit Login Attempts Reloaded“.

Hackerprogramme kennen deine Adresse – versteck den WP-Login!

Sie verfügen über die Adresse des Login-Skripts und müssen nun lediglich automatisiert 36.000 Login-Anfragen pro Stunde, 24 Stunden am Tag, 365 Tage im Jahr an Ihre Website senden. Ein solches automatisches Programm kann bei 10 Login-Versuchen pro Sekunde jährlich bis zu 315.360.000 Passwörter testen.

315 Millionen! Wenn Dein Passwort beispielsweise aus 5 Buchstaben beseht, ist es in 330 Stunden definitiv geknackt. Doch Hacker beherrschen neben Programmiersprachen auch ihre Muttersprache.

Sie wissen daher: In einem Namen mit 5 Buchstaben folgt einem „X“ wahrscheinlich nicht erneut ein „X“ und auch kein „Z“ oder „B“. Mit nur wenigen „Namens-Regeln“ minimieren sich die maximal möglichen Buchstabenkombinationen im zu knackenden Passwort beim Login.

.

WordPress (Admin-) Login mit Plugin verstecken

Es gibt umfangreiche Sicherheits-Plugins, die auch das Verstecken der Besucher/Admin Login-URL anbieten.

Je komplexer aber ein WordPress-Plugin ist, desto mehr Programmcode muss bei jedem Seitenaufruf geladen werden und die WordPress-Website wird automatisch langsamer – ohne dass zusätzlich Hackerscripte das Login-Script mit zig Anfragen pro Sekunde überlasten.

Kleine Webseiten, die bei günstigen Hostern liegen und viele unerlaubte Logins verzeichnen, sollten ein schlankes Plugin zum Verstecken des Verzeichnisses „/wp-admin“ und der Datei „wp-login.php“ verwenden.

„WPS Hide Login“ versteckt dein Login-Script

Das kostenlose Plugin „WPS Hide Login“ tut genau das, was es tun soll: Es ändert den Pfad „/wp-admin“ und den Namen des Login-Script „wp-login.php„. Dieses Sicherheits-Plugin ist auf mehr als 1 Million WordPress-Websites installiert, wurde fast nur mit 5 Sternen bewertet, wird regelmäßig aktualisiert und ist sehr schlank und effektiv.

Die Einstellungen für „WPS Hide Login“ nimmst Du bei den generellen WordPress-Einstellungen vor. In diesem Bereich klinkt sich das Plugin ein.

Achtung: Statt der voreingestellten Zeichenfolge „Login“ solltest Du einen langen und kryptischen Namen wählen, beispielsweise „x1-za99-o„. Je länger der neue Name ist und umso mehr verschiedene alphanumerische Zeichen vorkommen, desto länger benötigen Angreifer, um den neuen Pfad zu Deinem Login-Script durch Testen herauszufinden!

Schütze Dich vor Brute-Force-Angriffen – ein versteckter ADMIN-Bereich genügt nicht!

Das Plugin „WPS Hide Login“ ist ein guter Anfang, um deine WordPress-Seite zu schützen. Doch Hacker arbeiten auch mit Programmen, die automatisch versuchen, deine Login-URL durch Testen herauszubekommen. Die verdeckte Login-Datei mag gegen „Gelegenheits-Hacker“ helfen, doch wichtige Unternehmenswebsites dürfen sich auf solch eine „Spielerei“ nicht verlassen.

Angreifer, die mit einem Bot-Netzwerk automatisch WordPress mit Anmeldeversuchen bombardieren, verlangsamen zudem deine Website sehr stark. Das kann dazu führen, dass der Google Crawler eine Website nicht mehr spidert, indexiert. Nutze darum – zusätzlich zum Verstecken der Login-URL – als Schutz gegen Brute-Force-Angriffe eine IP-Sperre, die Du mit dem ebenfalls kostenlosen und guten Plugin „Limit Login Attempts Reloaded“ realisieren kannst.

Ein weiterer Schritt zu einer sicheren WordPress-Website hin stellt die Nutzung eines CDN wie Cloudflare dar.

Ähnliche Artikel