Zur Startseite

Absicherung des WordPress-Adminbereichs

Methoden zum Schutz des CMS-Administratoren-Panels.

Um das WordPress-Administrationspanel abzusichern, sollten Sie nicht nur softwarebasierte Schutzmaßnahmen berücksichtigen, sondern auch die Infrastruktur, auf der Ihre Website gehostet wird. Ob Sie Webhosting, einen VPS oder einen dedizierten Server nutzen — eine korrekte Serverkonfiguration und geeignete Sicherheitsmaßnahmen helfen dabei, Risiken zu minimieren. In diesem Artikel gehen wir auf die wichtigsten Methoden zum Schutz des WordPress-Administrationspanels ein, die auf jeden Hosting-Typ angewendet werden können.

Um das WordPress-Administrationspanel zu schützen, können Sie:

  • IP-Zugriffsbeschränkungen einrichten

  • Google reCAPTCHA in das Anmeldeformular einbinden, um Brute-Force-Angriffe zu erschweren

  • Die Adresse der Anmeldeseite im Administrationspanel ändern

  • Zusätzliche Authentifizierung mit .htaccess + .htpasswd einrichten

Die genannten Methoden bieten einen einfachen und notwendigen Minimalschutz für WordPress.

Wenn Sie jedoch eine umfassende Lösung zum Schutz Ihrer Website benötigen, können spezielle Plugins eingesetzt werden:

ZUGRIFFSBESCHRÄNKUNG PER IP.

Zugriff auf die Website von der IP-Adresse 111.111.111.111 in .htaccess einschränken:

<FilesMatch  "^(wp-login|wp-config)\.phpquot;>
  Order deny,allow
  Deny from all
  Allow from 111.111.111.111.111 
</FilesMatch>

Zugriff auf die Website von allen Adressen außer 111.111.111.111 einschränken:

Order Deny,Allow
Deny from all
Allow from 111.111.111.111

Informationen zur Zugriffsbeschränkung über Nginx finden Sie hier

ADMINISTRATIONSPANEL VOR BRUTE-FORCE-ANGRIFFEN SCHÜTZEN

Ein einfach zu installierender und effektiver Schutz gegen Brute-Force-Angriffe auf Passwörter ist das Plugin Login Lockdown.

Laden Sie das Plugin Login Lockdown aus dem offiziellen WordPress.org-Repository herunter.

Das Funktionsprinzip: Wird eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche erreicht, wird die IP-Adresse auf die Sperrliste gesetzt und der Zugriff auf die Website blockiert. Das Plugin kann auf jedem Website-Typ verwendet werden:

  • Installieren Sie das Plugin Login Lockdown
  • Die Plugin-Einstellungen finden Sie unter https://example.com/wp-admin/options-general.php?page=loginlockdown.php.

Das Plugin muss nicht konfiguriert werden, Sie können jedoch eigene Einstellungen vornehmen:

file

Einstellungen des Plugins Login Lockdown

  • Max Login Retries — Die maximale Anzahl fehlgeschlagener Anmeldeversuche, nach der der IP-Zugriff gesperrt wird. Standardmäßig sind es 3 Versuche.
  • Retry Time Period Restriction (minutes) — Der Zeitraum, in dem die oben genannte Anzahl von Fehlversuchen erlaubt ist (standardmäßig 5 Minuten). Werden 2 Fehler bei der Passworteingabe gemacht, muss 5 Minuten gewartet werden, andernfalls droht eine Sperre.
  • Lockout Length (minutes) — Wie viele Minuten der Zugriff auf die Website gesperrt wird. Standardmäßig wird der IP-Zugriff für 60 Minuten blockiert.
  • Lockout Invalid Usernames? — Ob der Login-LockDown-Filter auch für Anmeldeversuche mit nicht existierenden Benutzernamen gelten soll. Standardmäßig deaktiviert.
  • Mask Login Errors? — WordPress zeigt Benutzern normalerweise unterschiedliche Meldungen an, je nachdem ob sie sich mit einem ungültigen Benutzernamen oder mit einem gültigen Benutzernamen aber falschem Passwort anmelden. Wird diese Option aktiviert, werden Fehlermeldungen bei gescheiterten Anmeldeversuchen ausgeblendet.
  • Show Credit Link? — Ob der Link zur Login-Lockdown-Seite auf der Anmeldeseite angezeigt werden soll. Standardmäßig sichtbar, kann aber deaktiviert werden.

Nach der Anmeldung ist zu sehen, dass die Website geschützt ist:

file

ADMINISTRATIONSPANEL MIT CAPTCHA SCHÜTZEN.

Das Plugin Google Captcha (reCAPTCHA) ist eine Sicherheitslösung, die die Formulare Ihrer WordPress-Website vor Spam schützt und es echten Nutzern ermöglicht, die Captcha-Prüfung problemlos zu bestehen. Es kann für Anmeldeformulare, Registrierung, Passwortwiederherstellung, Kommentare, gängige Kontaktformulare und viele weitere Formulartypen verwendet werden.

Installieren Sie das Plugin Google Captcha (reCAPTCHA)

Rufen Sie die Plugin-Einstellungen auf: http://example.com/wp-admin/admin.php?page=google-captcha.php

file

Registrieren Sie sich bei Google reCAPTCHA, fügen Sie Ihre Website hinzu, erhalten Sie die Schlüssel und tragen Sie diese in die im Screenshot gezeigten Felder ein.

Beim Anmelden und im Kommentarformular ist nun die Captcha-Prüfung zu sehen.

file

ADRESSE DES ADMINISTRATIONSPANELS DURCH UMBENENNUNG VERBERGEN.

WPS Hide Login ist ein Plugin, mit dem Sie die URL Ihrer Anmeldeseite einfach und sicher auf eine beliebige Adresse ändern können. Es benennt keine Dateien im Core um oder ändert diese und fügt auch keine Rewrite-Regeln hinzu. Es fängt lediglich Seitenanfragen ab und funktioniert auf jeder WordPress-Website.

Installieren Sie das Plugin WPS Hide Login

Geben Sie anschließend in den Plugin-Einstellungen unter http://example.com/wp-admin/options-general.php#whl-page-input eine neue Anmeldeadresse für das WordPress-Administrationspanel an und speichern Sie die Änderungen.

file

ADMINISTRATIONSPANEL MIT ZUSÄTZLICHER AUTHENTIFIZIERUNG SCHÜTZEN

file

Der Vorgang besteht aus zwei Schritten.

.htaccess Zunächst erstellen wir die Datei .htaccess in dem Verzeichnis der Website, das wir mit einem Passwort schützen möchten. Da es um die WordPress-Adminoberfläche geht, erstellen wir die Datei im Ordner /wp-admin.

AuthType Basic
AuthName
AuthName "Protected Area"
#Pfad zur Datei mit Benutzern und Passwörtern .htpasswd
AuthUserFile /home/f45454/mysite.com/public_html/wp-admin/.htpasswd
require valid-user
  • AuthName
    • Name der Authentifizierung. Die Meldung wird im Anmeldedialog angezeigt. Sie können diese Meldung auch einfach ändern, um gespeicherte Passwörter in Ihren Browsern zurückzusetzen.
  • AuthUserFile
    • Absoluter Pfad auf dem Server zur Datei mit Benutzernamen und Passwörtern (.htpasswd). Um diesen herauszufinden, verwenden Sie die PHP-Funktion getcwd() (Get Current Working Directory).

.htpasswd Eine Datei mit Benutzern und Passwörtern im Format Benutzer:Passwort. Das Passwort muss in verschlüsselter Form vorliegen.

Beispiel:

admin:$apr1$7C3cBu2Z$0ulE5W3hyDTNCCGYaJHlu.
Hilfe benötigt?Unsere Ingenieure helfen Ihnen kostenlos bei jeder Frage in wenigen MinutenKontaktieren Sie uns