Tipps & Tutorials

WordPress – Login schützen


Veröffentlicht am 23.04.2013 von Anna Philipp

Die momentan zunehmend stattfindenden Angriffe jedoch erfolgen nicht auf veraltete und unsichere Skripte, sondern direkt auf den Loginbereich der Wordpress-Installation. Aus diesem Grund möchten wir Ihnen gerne nachfolgend einige Tipps zur zusätzlichen Absicherung des Logins an die Hand geben.

Benutzername und Passwort

Meist wird als Benutzername der Name admin vergeben. Wurde nun noch ein einfaches Passwort gewählt, ist der Login recht leicht zu „erraten“. Daher ist es sehr empfehlenswert, sowohl einen nicht so allgemeinen Benutzernamen, als auch ein sicheres Passwort zu wählen. Dieses sollte möglichst aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Dass Passwort kann unter „Benutzer“ im WordPress-Backend geändert werden.

Den Benutzernamen kann man leider nicht direkt über das Wordpress-Backend ändern, hierfür ist ein Login in die Datenbank notwendig.

Die Datenbank kann z.B. über das PHPMyAdmin erreicht werden kann:

sslsites.de/IHRDOMAINNAME/sqladmin/

(Ersetzen Sie IHRDOMAINNAME bitte durch Ihren Domainnamen.)

Wählen Sie nun links oben die entsprechende Datenbank aus und klicken dann auf das kleine Symbol links neben der Tabelle „wp-users“.
Links neben der Zeile, in der nun der Username zu finden ist, klicken Sie nun bitte auf das Symbol, das einem Stift gleicht, um die Zeile zu bearbeiten. Sie können nun den „user_login“ abändern.

Zusätzlicher Passwortschutz durch .htaccess

Durch eine zusätzliche .htaccess-Datei mit Passwortschutz kann der Login nochmals abgesichert werden. So erscheint vor dem eigentlichen WordPress-Login eine weitere Passwortabfrage. Eine detaillierte Anleitung zur Erstellung eines Passwortschutzes haben wir in unseren FAQ bereitgestellt.

Die .htaccess-Datei mit dem Passwortschutz muss in den Ordner „wp-admin“ der WordPress-Installation geladen werden und könnte so aussehen:

AuthType Basic
AuthName "Mein Wordpress-Loginbereich"
AuthUserFile /serverpfad/unterverzeichnis/.htusers
AuthPGAuthoritative Off
require user meinname

Den Serverpfad kann man im Kundenmenü unter „Auftragsinformationen” -> „Pfade“ auslesen.

Hinter dem Serverpfad in der .htaccess-Datei wird dann das Unterverzeichnis angegeben, in das die .htusers-Datei mit dem Benutzernamen und dem verschlüsselten Passwort abgelegt wird.
Diese kann wie folgt aussehen:

meinname:LIj9Al340fTwM

Das Passwort steht hinter dem Doppelpunkt und muss verschlüsselt werden. Die Verschlüsselung wäre z.B. hier möglich.

Begrenzung der möglichen Login-Versuche durch Plugins

Über Plugins kann der Login zusätzlich geschützt werden, indem die möglichen Loginversuche limitiert werden. Hierfür kann z.B. das Plugin „Limit Login Attempts“ verwendet werden. Über dieses Plugin wird der Login nach vierfachem Fehlversuch zunächst für 20 Minuten deaktiviert. Auch so kann verhindert werden, dass das Passwort erraten wird, da die Anzahl der Versuche begrenzt wird.

Welche Plugins auch noch empfehlenswert sind für die Sicherheit Ihres WordPress? Schauen Sie un unser WordPress Guide!

Für Fragen zur Absicherung des WordPress-Logins steht Ihnen selbstverständlich auch unser Kundenservice immer sehr gerne zur Verfügung!

Der Autor: