Die Standard-Login-Seite einer WordPress-Website ist vielen bekannt und leicht zu finden. Normalerweise wird sie über Routen wie yoursite.com/wp-login.php, yoursite.com/wp-login oder yoursite.com/wp-admin aufgerufen, wobei "yoursite.com" natürlich für die tatsächliche Webadresse Ihrer Website steht. Diese Vorhersehbarkeit bietet böswilligen Akteuren einen idealen Ansatzpunkt für ihre Angriffe.
Jeder WordPress-Experte weiß, dass die Login-Seite ein beliebtes Ziel ist, wenn WordPress standardmäßig konfiguriert ist. Sie ist einer der anfälligsten Punkte jeder WordPress-Website. Aber was macht diese Seite so attraktiv für Cyberkriminelle? Die Antwort liegt vor allem in der Technik der Brute-Force-Angriffe.
Bei einem Brute-Force-Angriff verwenden Angreifer automatisierte Skripte, um zahlreiche Kombinationen von Benutzernamen und Kennwörtern auszuprobieren, um Zugang zu erhalten. Die Vorhersehbarkeit und Vertrautheit der Seite /wp-login.php machen sie zu einem idealen Ort für die Durchführung dieser Angriffe. Indem sie blitzschnell verschiedene Kombinationen ausprobieren, hoffen sie, schließlich die richtigen Anmeldedaten zu finden. Vor diesem Hintergrund ist es von entscheidender Bedeutung, die WordPress-Anmeldeseite richtig abzusichern, und in diesem Artikel erfahren Sie, wie Sie das selbst tun können.
Ändern Sie die WP Admin Login URL mit dem Plugin WPS Hide Login
Das leichtgewichtige und kostenlose Plugin WPS Hide Login ermöglicht es Ihnen, die URL der Anmeldeseite einfach und sicher in eine Adresse Ihrer Wahl zu ändern. Es ändert oder benennt weder Dateien im WordPress-Kern um, noch fügt es Rewrite-Regeln hinzu. Stattdessen fängt es einfach Seitenanfragen ab und funktioniert auf jeder WordPress-Website. Der Standardordner wp-admin und die Seite wp-login.php werden unzugänglich, daher ist es ratsam, sich die neue URL zu merken oder sie irgendwo zu speichern. Wenn Sie dieses Plugin deaktivieren, kehrt Ihre Website in ihren ursprünglichen Zustand zurück.
Um "WPS-Anmeldung verbergen" zu verwenden:
- Gehen Sie in der WordPress-Verwaltung (/wp-admin/ Umgebung) zu Plugins ' Neu hinzufügen.
- Suchen Sie nach "WPS Hide Login".
- Suchen Sie dieses Plugin, laden Sie es herunter und aktivieren Sie es.
- Die Seite wird Sie zu den Einstellungen weiterleiten. Hier können Sie Ihre Anmelde-URL ändern.
- Sie können diese Option jederzeit ändern, indem Sie zu Einstellungen ' WPS-Anmeldung verbergen zurückgehen.
Es ist wichtig zu verstehen, dass das Verstecken Ihrer Anmeldeseite nur ein Schritt zur Sicherung Ihrer WordPress-Website ist. Es ist immer eine gute Idee, die Sicherheit Ihrer Website regelmäßig zu überprüfen und bei Bedarf zu aktualisieren.
Abschirmung der WordPress-Anmeldeseite vor bestimmten IP-Adressen über .htaccess
Eine Ersatz- oder Zusatzstrategie zur (zusätzlichen) Absicherung Ihrer Anmeldeseite besteht darin, nur bestimmten IP-Adressen Zugang zu gewähren. Dies ist besonders nützlich, wenn Sie und Ihr Team normalerweise von einer festen IP-Adresse aus zugreifen. Wie Sie dies einrichten können, erfahren Sie hier:
- Sichern Sie zunächst Ihre Website und die .htaccess-Datei. Bevor Sie Änderungen vornehmen, ist es immer eine gute Idee, eine Sicherungskopie Ihrer Website und Ihrer aktuellen
.htaccess-Datei. - Öffnen Sie die Datei .htaccess. Diese Datei befindet sich im Stammverzeichnis Ihrer WordPress-Installation. Sie können auf diese Datei über FTP oder über das cPanel Ihres Hosting-Kontos zugreifen.
- Fügen Sie den folgenden Code in Ihre .htaccess-Datei ein:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>
- Ersetzen Sie
xxx.xxx.xxx.xxxdurch die IP-Adresse, die Sie zulassen möchten. Wenn Sie mehrere IP-Adressen zulassen möchten, fügen Sie zusätzlicheAllow fromRegeln, wie zum Beispiel:
Allow from xxx.xxx.xxx.xxx
Allow from yyy.yyy.yyy.yyy
- Speichern Sie die Änderungen und laden Sie die .htaccess-Datei zurück auf Ihren Server.
- Testen Sie den Zugang. Versuchen Sie, von einer zugelassenen IP-Adresse und von einer nicht zugelassenen IP-Adresse auf Ihre Anmeldeseite zuzugreifen, um sicherzustellen, dass die Beschränkungen korrekt funktionieren.
Anmerkung: Wenn Sie sich versehentlich von Ihrer Website aussperren, können Sie jederzeit die .htaccess-Datei über FTP oder cPanel und löschen Sie die hinzugefügten Zeilen.
Bonus: Die Rolle der Kontonummerierung und des Spielens mit Benutzernamen
Bevor Cyberkriminelle zu Brute-Force-Angriffen übergehen, verwenden sie häufig Techniken wie die Kontonummerierung und das Erraten von Benutzernamen. Bei der Kontonummerierung versuchen die Angreifer herauszufinden, welche Benutzernamen auf einer Website gültig sind. Sie tun dies, indem sie auf bestimmte Fehlermeldungen oder Systemreaktionen bei der Eingabe verschiedener Benutzernamen achten. Beim Erraten von Benutzernamen stützen sich die Angreifer dagegen auf beliebte oder gebräuchliche Namen oder verwenden Informationen aus anderen Quellen. Durch die Kombination dieser Techniken können Cyberkriminelle ihre Brute-Force-Angriffe viel gezielter und effizienter durchführen und so ihre Erfolgschancen erhöhen. Es ist daher nicht nur wichtig, Ihre Anmeldeseite zu sichern, sondern auch auf Anzeichen für diese vorbereitenden Aktivitäten zu achten.
Sind Sie unsicher, was die Sicherheit Ihrer WordPress-Website angeht? Dann sollten Sie einen WordPress-Pen-Test in Erwägung ziehen, um sich ein klares Bild vom aktuellen Sicherheitsstatus Ihrer Website zu machen.