Admin Login schützen und absichern

85
Tutorial teilen
Admin Login schützen und absichern

Die WordPress Sicherheit wird leider immer noch von vielen Anwendern vernachlässigt und in diesem Artikel zeigen wir dir einige Vorschläge, wie du z.B. die Admin Login schützen und absichern kannst.

WordPress Admin Login schützen

Richte eine Anmelde-Sperrfunktion ein

Eine Sperrfunktion für fehlgeschlagene Anmeldeversuche kann das Problem bei fortlaufenden Brute-Force-Attacken recht einfach lösen. Wann immer es einen Hacker-Versuch mit sich wiederholenden falschen Passwörtern gibt, wird die Site für diesen gesperrt und du wirst über diese nicht autorisierte Aktivität benachrichtigt.

Das iThemes Security Plugin ist derzeit das besten Plugins dafür, welches in dieser Hinsicht viel zu bieten hat. Zusammen mit über 30 anderen großartigen Sicherheitsmaßnahmen kannst eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche angeben, bevor das Plugin die IP-Adresse des Angreifers sperrt.

Verwende die 2-Faktor-Authentifizierung

Die Einführung eines 2-Faktor-Authentifizierungsmoduls (2FA) auf der Anmeldeseite ist eine weitere gute Sicherheitsmaßnahme. In diesem Fall stellt der Benutzer Anmeldeinformationen für zwei verschiedene Komponenten bereit. Der Website-Besitzer entscheidet, was diese beiden sind. Es kann sich um ein normales Passwort handeln, gefolgt von einer geheimen Frage, einem geheimen Code, einer Reihe von Zeichen oder einer beliebten Google Authenticator-App, die einen geheimen Code an das Telefon sendet. Auf diese Weise kann sich nur die Person mit Ihrem Telefon anmelden, welche auch einen Code erhält.

Benutze deine Email, um dich einzuloggen

Standardmäßig musst du deinen Benutzernamen eingeben, um sich bei WordPress anzumelden. Die Verwendung einer E-Mail-ID anstelle eines Benutzernamens ist ein sicherer Ansatz den Admin Login schützen zu können. Die Gründe liegen auf der Hand. Benutzernamen sind leicht vorauszusagen, während E-Mail-IDs es nicht sind. Außerdem wird jedes WordPress-Benutzerkonto mit einer eindeutigen E-Mail-Adresse erstellt, die es zu einer gültigen Kennung für die Anmeldung macht.

WordPress Login-URL umbenennen

Das Ändern der Login-URL ist eine einfache Sache. Standardmäßig kann die WordPress-Login-Seite einfach über wp-login.php oder wp-admin zur Haupt-URL der Site hinzugefügt werden.

Wenn Hacker die direkte URL deiner Login-Seite kennen, können sie versuchen, sich ihren Weg zu erzwingen. Sie versuchen sich mit ihrer GWDb (Guess Work Database, dh einer Datenbank mit vermuteten Benutzernamen und Passwörtern, zB Benutzername: admin und Passwort) anzumelden: p @ ssword … mit Millionen solcher Kombinationen).

Zu diesem Zeitpunkt haben wir die Anmeldeversuche der Benutzer bereits eingeschränkt und Benutzernamen für E-Mail-IDs ausgetauscht. Jetzt können wir die Login-URL ersetzen und 99% der direkten Brute-Force-Angriffe loswerden.

Dieser kleine Trick verhindert, dass eine nicht autorisierter Bot auf die Anmeldeseite zugreifen kann. Nur jemand mit der genauen URL kann es tun. Auch hier kann das iThemes Security-Plugin helfen, dir Login-URLs zu ändern.

Passwörter anpassen

Verbessere die Stärke deiner Passwörter, indem du Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwendest. Viele Menschen entscheiden sich für lange Passphrasen, da diese für Hacker kaum vorhersehbar, aber leichter zu merken sind, als ein Haufen Zufallszahlen und Buchstaben.

LastPass ist eine der einfachsten Methoden, um Passwörter zu verbessern. Es erzeugt nicht nur sichere Passwörter,  sondern speichert sie in einem Browser-Add-On, was dir die Mühe erspart, sich daran erinnern zu müssen.

Fazit

Dies war nur ein kleine Auswahl von Möglichkeiten den WordPress Loginbereich sicher zu machen. Weitere wäre z.B.:

  • SSL Zertifikat verwenden
  • Den Username Admin zu ändern
  • Veränderungen an Dateien beobachten
  • Das Datenbank Prefix wp_ zu ändern
  • Auslisten von Verzeichnissen verbieten
  • uvw.

Wir ihr seht, gibt es unzählige Möglichkeiten den WordPress Admin Login schützen zu können. Lieber einmal zuviel Zeit in Sicherheit investiert, als erst daran zu denken, wenn die Webseite bereits gehackt wurde. Das spart nicht nur Nerven, sondern auch Geld.

Sieh dir auch unser WordPress Security Checkliste an

Tutorial teilen

Hinterlasse einen Kommentar