WordPress – Login schützen

Aktuell finden vermehrt Angriffe auf WordPress-Installationen statt. Grundsätzlich sollte immer darauf geachtet werden, dass sowohl von WordPress, als auch von allen verwendeten Plugins immer die neuste Version genutzt wird. Dazu weist Wordpress direkt nach dem Login auf veraltete Versionen hin, denen unbedingt Beachtung geschenkt werden sollte.

wpupdate

Die momentan zunehmend stattfindenden Angriffe jedoch erfolgen nicht auf veraltete und unsichere Skripte, sondern direkt auf den Loginbereich der WordPress-Installation. Aus diesem Grund möchten wir Ihnen gerne nachfolgend einige Tipps zur zusätzlichen Absicherung des Logins an die Hand geben.

Benutzername und Passwort

Meist wird als Benutzername der Name admin vergeben. Wurde nun noch ein einfaches Passwort gewählt, ist der Login recht leicht zu „erraten“. Daher ist es sehr empfehlenswert, sowohl einen nicht so allgemeinen Benutzernamen, als auch ein sicheres Passwort zu wählen. Dieses sollte möglichst aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Dass Passwort kann unter „Benutzer“ im WordPress-Backend geändert werden.

wpbenutzeraendern

Den Benutzernamen kann man leider nicht direkt über das WordPress-Backend ändern, hierfür ist ein Login in die Datenbank notwendig.

Die Datenbank kann z.B. über das PHPMyAdmin erreicht werden kann:

https://sslsites.de/IHRDOMAINNAME/sqladmin/

(Ersetzen Sie IHRDOMAINNAME bitte durch Ihren Domainnamen.)

Wählen Sie nun links oben die entsprechende Datenbank aus und klicken dann auf das kleine Symbol links neben der Tabelle „wp-users“.
Links neben der Zeile, in der nun der Username zu finden ist, klicken Sie nun bitte auf das Symbol, das einem Stift gleicht, um die Zeile zu bearbeiten. Sie können nun den „user_login“ abändern.

wp-users

Zusätzlicher Passwortschutz durch .htaccess

Durch eine zusätzliche .htaccess-Datei mit Passwortschutz kann der Login nochmals abgesichert werden. So erscheint vor dem eigentlichen WordPress-Login eine weitere Passwortabfrage. Eine detaillierte Anleitung zur Erstellung eines Passwortschutzes haben wir in unseren FAQ bereitgestellt.

Die .htaccess-Datei mit dem Passwortschutz muss in den Ordner „wp-admin“ der WordPress-Installation geladen werden und könnte so aussehen:

AuthType Basic
AuthName „Mein WordPress-Loginbereich“
AuthUserFile /serverpfad/unterverzeichnis/.htusers
AuthPGAuthoritative Off
require user meinname

Den Serverpfad kann man im Kundenmenü unter „Auftragsinformationen” -> „Pfade“ auslesen.

serverpfad

Hinter dem Serverpfad in der .htaccess-Datei wird dann das Unterverzeichnis angegeben, in das die .htusers-Datei mit dem Benutzernamen und dem verschlüsselten Passwort abgelegt wird.
Diese kann wie folgt aussehen:

meinname:LIj9Al340fTwM

Das Passwort steht hinter dem Doppelpunkt und muss verschlüsselt werden. Die Verschlüsselung wäre z.B. hier möglich.

Begrenzung der möglichen Login-Versuche durch Plugins

Über Plugins kann der Login zusätzlich geschützt werden, indem die möglichen Loginversuche limitiert werden. Hierfür kann z.B. das Plugin „Limit Login Attempts“ verwendet werden. Über dieses Plugin wird der Login nach vierfachem Fehlversuch zunächst für 20 Minuten deaktiviert. Auch so kann verhindert werden, dass das Passwort erraten wird, da die Anzahl der Versuche begrenzt wird.

loginlimit

Welche Plugins auch noch empfehlenswert sind für die Sicherheit Ihres WordPress? Schauen Sie un unser WordPress Guide!

Für Fragen zur Absicherung des WordPress-Logins steht Ihnen selbstverständlich auch unser Kundenservice immer sehr gerne zur Verfügung!

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

20 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Pascal Bajorat
    Pascal Bajorat - 23. April 2013 um 13:09 Uhr

    Ich hatte selber vor ein paar Tagen über die Absicherung von WordPress gebloggt, gerade aufgrund der aktuellen Gefahren (http://www.webdesign-podcast.de/2013/04/15/angriffe-auf-admin-konten-von-wordpress-systemen/).

    Das jetzt aber dF hier ein schönes How-To aufbaut um eigene Kunden zu schützen und noch freundlich Hilfe anbietet, finde ich eine mehr als noble Geste.

    Da wiederhole ich mich immer wieder gerne: „Ich bereue meinen Providerwechsel zu dF kein Stück, sondern ärgere mich eher, dass ich nicht schon früher gewechselt habe“.

  • hermann kniese
    hermann kniese - 23. April 2013 um 13:12 Uhr

    Ein einfacher schneller scan der WordPress installation mit
    http://wpscan.org/ (WPSCAN) ist meiner meinung nach zu empfehlen und auch leicht durchführbar.
    Hiermit können bekannte Sicherheitslücken in Plugins und Themes gefunden werden.

  • Michael Smith
    Michael Smith - 23. April 2013 um 13:22 Uhr

    Ich finde es super, dass sich ein Hoster so viele Gedanken zum Thema macht. Andere große Hoster schreiben bestenfalls nur wie man solche Systeme installiert.
    Schade finde ich aber, dass immer noch so viele „reguläre“ Internetseiten mit WP realisiert werden, wo es — ich meine für diesen Zweck — bessere Software gibt. Dadurch, schätze ich, werden auch mehr Installationen angegriffen. Würde nur eine Handvoll Blogger dieses System nutzen, wäre es weit weniger interessant…

  • Stefan Kaiser
    Stefan Kaiser - 23. April 2013 um 13:26 Uhr

    Danke für das Tutorial – werde mir gleich mal das Plugin installieren.

  • Rainer.D
    Rainer.D - 23. April 2013 um 14:58 Uhr

    Wenn man die Login-Versuche begrenzt sperrt man sich in dem Fall selber aus wenn der Angreifer via Script das Passwort erraten möchte und immer weiter und weiter (automatische) Versuche unternimmt … Es gibt ja auch andere Möglichkeiten eine zusätzliche Sicherung einzubauen (Eine Frage muss beantwortet werden, captcha, usw.)

  • Claudia
    Claudia - 23. April 2013 um 19:00 Uhr

    Danke, das Ihr nochmal im Blog darauf hinweist. Man kann auch einen weiteren Benutzer mit Administratorrechten und sicherem Passwort anlegen und sich dann ausloggen. Nun mit dem neuen Admindaten einloggen und den alten Admin-Zugang löschen. Die Beiträge des alten Admin kann man dann ganz einfach auf den neuen Zugang übertragen. So muß man nichts manuell in der Datenbank ändern.

    Hab in diesem Monat so zwischen dem 8. und 12. April in den Statistiken viele Zugriffe auf das WP-Login bemerkt und alle Seiten nochmal überprüft, die bei Euch gehostet sind. Man sollte auf jeden Fall auch prüfen, ob WordPress-Benutzer vorhanden sind, die man nicht selbst angelegt hat.

    Anscheinend treibt da mal wieder ein wilder Bot sein Unwesen, der wahllos Webserver abklappert 🙁

  • Jan
    Jan - 23. April 2013 um 19:34 Uhr

    Ich lasse mir unsere WP-Installation durch einen Cron-Job automatisch auf Updates überprüfen. Sofern ein Update vom Core, eines Plugins oder Themes nötig ist, werde ich vom System per EMail informiert.

  • Alexander Drost
    Alexander Drost - 23. April 2013 um 20:39 Uhr

    Eigentlich ja super, nur leider ist das Thema mit den Angriffen auf WordPress-Installationen schon alt ( siehe http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/). Außerdem vermisse ich das Domainfactory die Angriffe versucht im Dineste siener kunden selber abzuschwächen, um seinen Kunden unnötigen Traffic zu ersparen. Zudem vermisse ich einen Hinweis auf die durchaus vorhandenen guten Sicherheitsplugins, die einem viele hier vorgeschlagene Maßnahmen bereits abnehmen.

  • Dietmar Leher
    Dietmar Leher - 23. April 2013 um 21:47 Uhr

    Hallo zusammen,
    vielen Dank für Ihr Feedback und die zusätzlichen Hinweise sowie Empfehlungen zur Absicherung/Kontrolle von WordPress. Wir sprechen nur sehr selten Empfehlungen für Software oder Plugins aus und möchten keines einem anderen vorziehen. Grundsätzlich ist auch zu bedenken, dass jedes Plugin selbst eine Sicherheitslücke beinhalten kann und regelmäßig aktualisiert werden soll, damit nicht darüber ein Hackangriff erfolgreich ist.

  • Dietmar Leher
    Dietmar Leher - 23. April 2013 um 21:49 Uhr

    Hallo Alexander,
    Sie haben richtig erkannt, dass das Thema per se nicht neu ist und seit ca. 2 Wochen auf der ganzen Welt Hoster darüber berichten, dass gezielt Angriffe über sog. Botnetze auf Webserver mit WordPress erfolgen. Das ist natürlich auch mit ein Grund, dass wir diesen Blogartikel für unsere Kunden und Interessenten erstellt haben.
    Genauso haben wir aber auch im vergangenen Jahr eine Artikelserie zur Absicherung von Webseiten und hier im Blog gehabt und möchten damit nichts anderes, als unsere Leser zu sensibilisieren und zugleich aufklären.
    Seien Sie versichert, dass die Kolleginnen und Kollegen des technischen Supports fortlaufend unsere Erkennungs- und Abwehrstrategien auf die aktuellen Gegebenheiten anpassen. Dies tun wir grundsätzlich das ganze Jahr über und nicht nur punktuell und zählen das als seriöser Anbieter auch zu unserem Aufgabenbereich der nicht marketingtechnisch offensiv verwertet werden muss 😉

  • Torsten
    Torsten - 24. April 2013 um 09:16 Uhr

    Der Ordner „/wp-admin“ sollte nicht per Passwort geschützt werden. WordPress und ggf. auch einige Plugins benötigen Zugriff darauf und werden dann nicht mehr korrekt funktionieren.

    Die htaccess mit dem Passwortschutz sollte per File-Befehl auf die wp-login.php beschränkt werden.

    Siehe Punkt 7 hier: http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/

  • Benjamin Wahler
    Benjamin Wahler - 24. April 2013 um 13:09 Uhr

    Vielen Dank für den Tipp mit dem Plugin. Ich habe das gleich heute bei mir installiert und auch gleich heute schon eine Email über Sperrungen erhalten

    16 ungültige Anmeldeversuche (4 Sperrung(en)) von IP: 94.242.237.62

    Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: admin

    IP wurde gesperrt für 24 Stunden.

    Zudem habe ich mir noch das Plugin in Google Authenticator installiert um ein „Zwei-Faktor-Authentifizierung“ Login zu haben.

    Danke für die Info!

  • Torsten
    Torsten - 3. Mai 2013 um 15:33 Uhr

    @DF: Ihr solltet den Artikel unbedingt aktualisieren. WordPress mag es nicht, wenn der gesamte /wp-admin-Ordner gesperrt wird. Ich kann nur noch einmal darauf hinweisen, dass unbedingt nur die Datei wp-login.php mit dem Passwort-Schutz versehen werden sollte.

    Ansonsten ist der Tipp mit dem Google Authenticator noch absolut richtig. Damit erreicht man ebenfalls einen deutlichen Sicherheitsgewinn (wäre für mich allerdings auf den Admin beschränkt, arbeiten kann man dann mit einem Redakteurskonto und eher alternativ zu dem htaccess-Schutz)

  • Anna
    Anna - 3. Mai 2013 um 16:03 Uhr

    Es ist denkbar, dass gewisse Plugins dann nicht mehr funktionieren, wenn man den kompletten Adminordner sperrt. Im Einzelfall sollte man wie von Ihnen vorgeschlagen nur die wp-login.php sperren. Vielen Dank für den Hinweis!

  • Thomas
    Thomas - 9. Mai 2016 um 12:25 Uhr

    Ich habe ein Problem und hoffe auf hilfreiche Tipps. Vielen lieben dank bereits im Voraus.
    Was kann ich machen, wenn ich die zusätzliche Passwortabfrage vor dem Wp-login eingerichtet habe, aber meinen Benutzernamen und das Passwort verloren habe? Wie komme ich als Seitenbetreiber an dieser Abfrage vorbei?

    Vielen Dank und Grüße
    Thomas

    • Anna
      Anna - 9. Mai 2016 um 16:09 Uhr

      Hallo Thomas,

      dann können Sie in Ihre .htusers Datei ein neues verschlüsseltes Passwort eintragen und sich mit diesem wieder einloggen.

      Viele Grüße
      Anna

      • Thomas
        Thomas - 9. Mai 2016 um 16:31 Uhr

        Vielen Dank für die Auskunft. Allerdings ist mein vorrangiges Problem, dass ich keine .htusers oder .htpasswd habe und auch in meiner .htaccess keinen Verweis auf einer dieser beiden Dateien habe. Doch habe ich diesen zweiten Anmeldebereich an dem ich nicht vorbeikomme und mir so ein Adminlogin verwährt bleibt.
        Wissen Sie was ich in diesem Fall machen kann?

        Vielen Dank und Grüße

        Thomas

      • Nils Dornblut
        Nils Dornblut - 9. Mai 2016 um 21:12 Uhr

        Hallo Thomas,

        bitte wenden Sie sich mit der URL zur Passwortabfrage einmal an die Technik und fragen nach dem Ort der entsprechenden htaccess-Anweisung. Sie können diese dann selbst auskommentieren anschließend. Vermutlich ist das aus einem anderen Verzeichnis vererbt worden.

  • Axel Metayer
    Axel Metayer - 25. Oktober 2017 um 01:01 Uhr

    Welche Zugriffsrechte / chmod Werte sollte jeweils die .htaccess und .htusers haben?
    Bei WP Selber wird eine .htpasswd erwähnt. Wo liegt der Unterschied?
    https://codex.wordpress.org/Brute_Force_Attacks#Password_Protect_wp-login.php