Es ist wichtig WordPress so gut wie möglich gegen Brute Force-Angriffe zu schützen. Durch diese Attacken kommt es immer wieder vor das die WordPress Login Seite gezielt angegriffen wird. Ganz wichtig ist hier das Verzeichnis wp-admin zu schützen. Um die Angriffe zu unterbinden helfen unter anderem auch Plugins wie zum Beispiel iThemes Security. Besser wäre es allerdings diese Anfragen einfach komplett zu blockieren, dass diese keinen Erfolg mehr haben. Mit einer .htpasswd Datei, welche ein zusätzliches Passwort vor dem Einloggen abfragt könnt Ihr eure Webseite zusätzlich absichern. Die Login Seite muss nicht frei verfügbar sein. Normale Webseite Besucher bekommen diese nie zu Gesicht, daher stört es Sie auch nicht. Erfahrt hier wie Ihr euer WordPress Verzeichnis wp-admin durch htaccess schützen und so die Sicherheit erhöhen könnt.

 

wp-admin durch htaccess schützen

Falls Sie Zugriff auf die .htaccess Datei verfügen, gibt es die Möglichkeit ein zusätzliches Passwort über die .htaccess Datei einzurichten. Die eigentliche WordPress Login Seite kann so erst gar nicht aufgerufen werden. Brute Force-Angriffe werden also bereits vor dem eigentlichen Angriffsversuch abgeblockt.

Zuerst müssen Sie eine .htpasswd Datei anlegen, in dieser werden dann die Zugangsdaten MD5 verschlüsselt abgelegt. Diese Datei können zum Beispiel bei diesem htpasswd Generator erstellen. Die .htpasswd sieht beispielsweise wie folgt aus:

benutzername: $apr1$IHaD0/..$N9ne/Bqnh8.MyOtvKU56j1

Erstellt jetzt die .htaccess Datei mit folgenden Inhalt.

# protect /wp-admin
AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile /pfad/wp-admin/.htpasswd
require valid-user

Beide Dateien legt ihr dann mit Hilfe eines FTP Programms wie zum Beispiel FileZilla im wp-admin Ordner ab.

 

Weitere Möglichkeiten den Login Bereich zu schützen

Ein sicheres Passwort

Der einfachste Schritt ist, einen sicheren Benutzer und ein sicheres Passwort für den WordPress-Login zu wählen. Auf keinen Fall sollte der Benutzername „admin“ sein. Dies war sehr lange der Standard-Benutzername für WordPress und ist dieser Benutzername besonders unsicher.

 

Anzahl der Login-Versuche einschränken

Standardmäßig ist die Anzahl der Login-Versuche bei WordPress unbegrenzt. Das sollte Sie natürlich ändern. Dazu können Sie das Plugin Limited Login Attempts oder iThemes Security nutzen. Diese Plugins erlauben es Ihnen die Login-Versuche pro IP-Adresse zu begrenzen. Ist diese Anzahl überschritten, wird die IP-Adresse für eine bestimmte Zeit vom Zugriff auf die WordPress Seite gesperrt.

Zurück