So sichern Sie Ihre WordPress-Anmeldeseite (vollständige Anleitung)

Ein entscheidender Faktor für den Betrieb einer erfolgreichen WordPress-Website ist die Implementierung von Überwachungs- und Sicherheitsmaßnahmen. Schließlich kann eine gehackte Website viel Kopfzerbrechen bereiten – unabhängig davon, ob Ihre Website für geschäftliche oder private Zwecke genutzt wird. Es kann sich auf Ihren Umsatz auswirken, die Informationen Ihrer Besucher gefährden und Ihren Ruf ruinieren.

Ein typischer Einstiegspunkt für Hacker ist die WordPress-Anmeldeseite, auf die wir uns heute konzentrieren werden. Was folgt, ist ein Überblick über 14 Möglichkeiten, die WordPress-Anmeldesicherheit zu erhöhen, damit böswillige Akteure Ihre Website nicht verletzen.

Warum Ihre WordPress-Anmeldeseite sichern?

Bevor wir zur Liste der Sicherheitstipps kommen, lassen Sie uns zunächst kurz besprechen, warum Sie Ihre WordPress-Anmeldeseite überhaupt sichern möchten – vor Brute-Force-Angriffen oder auf andere Weise.

• WordPress ist sehr beliebt, daher suchen Cyberkriminelle häufig nach neuen Schwachstellen, die sie auf einer Vielzahl von Websites ausnutzen können.
• Da Hacker mit WordPress vertraut sind, wissen sie, wann eine Website veraltet ist und welche Sicherheitslücken in welcher Version vorhanden sind.
• Um über eine Anmeldeseite Zugriff zu erhalten, benötigen Hacker nicht immer fortgeschrittene Entwicklungskenntnisse oder besondere Fähigkeiten.

Das Führen einer sicheren WordPress-Anmeldeseite ist für den langfristigen Erfolg und die Gesamtleistung Ihrer Website von entscheidender Bedeutung.

So erhöhen Sie die Sicherheit Ihrer WordPress-Anmeldung

Sie wissen also, warum Sie ein sicheres WordPress-Login erstellen müssen, aber wie können Sie dies erreichen? Wir haben 14 Möglichkeiten zusammengestellt, um Ihre WordPress-Anmeldeseite richtig zu sichern, damit Sie die Sicherheit Ihrer Daten oder Kundeninformationen nicht dem Zufall überlassen müssen.

1. Installieren Sie ein WordPress-Sicherheits-Plugin

Sie können die meisten Sicherheitsbedenken in nur wenigen Minuten in den Griff bekommen, indem Sie ein hochwertiges WordPress-Sicherheits-Plugin installieren. Während viele Plugins darauf spezialisiert sind, bestimmte Aspekte einer Website oder vor bestimmten Arten von Angriffen zu schützen, ist ein umfassenderer Ansatz für die durchschnittliche Website am besten. Ein All-in-One-Sicherheits-Plugin enthält Funktionen wie Audit-Protokolle, Malware-Scans, Firewalls und Login-Sicherheitstools in einer einzigen Lösung.

Und ganz oben auf der Liste unserer Empfehlungen steht Jetpack Security.

Jetpack Security kümmert sich automatisch um zahlreiche Sicherheitsaufgaben. Und mit kostenlosen und kostenpflichtigen Funktionen steht jedem mit einer WordPress-Website ein gewisses Maß an Schutz zur Verfügung. Es verfügt über eine große Auswahl an Funktionen, mit denen Sicherheitsverletzungen verhindert werden können, die Ihnen aber auch bei der Diagnose und Wiederherstellung von auftretenden Vorfällen helfen. Diese beinhalten:

• Schutz vor Brute-Force-Angriffen
• Spam-Prävention
• Malware-Scannen
• Stillstandsüberwachung
• Sicherungen
• Aktivitätsprotokolle
• Zwei-Faktor-Authentifizierung

Während Sie die restlichen hier beschriebenen Schritte selbst durchführen können, wird die Verwendung eines Plugins wie Jetpack Security den Login-Hardening-Prozess optimieren.

2. Ändern und verbergen Sie Ihre WordPress-Anmelde-URL

Eine weitere Möglichkeit, Ihre Anmeldeseite sicherer zu machen, besteht darin, sie vor neugierigen Blicken zu verbergen. Standardmäßig lautet die Anmeldeadresse für alle WordPress-Sites http://www.yourwebsitename.com/wp-admin, was im Grunde so ist, als würde man einem Einbrecher Ihre Privatadresse geben. Alles, was Sie tun können, um dies zu verschleiern, ist eine gute Idee.

Das Ändern der WordPress-Anmelde-URL ist eine großartige Möglichkeit, Barrieren zu errichten, um die Arbeit des Hackers zu erschweren. Sie können ein Plugin finden, das dies für Sie erledigt, aber Sie können es auch selbst tun.

Dazu benötigen Sie einen FTP-Zugang zu Ihrer Website. Wenn Sie das haben, folgen Sie einfach den Anweisungen in unserem Tutorial: WordPress-Anmelde-URL: So finden, ändern und verbergen Sie sie.

3. Verwenden Sie ein starkes Passwort, um sich bei WordPress anzumelden

Sie können die Sicherheit Ihrer Website auch erhöhen, indem Sie auf ein stärkeres Passwort upgraden. Die Implementierung starker Passwortmaßnahmen macht es viel unwahrscheinlicher, dass ein Hacker oder Bot es „erraten“ kann. Obwohl „fluffy21“ leicht zu merken ist, ist es viel zu leicht zu erraten – besonders wenn „Fluffy“ der Name eines geliebten Haustieres ist.

Anstatt Passwörter basierend auf Namen, Alter oder Haustieren auszuwählen, ist es viel besser, ein Passwort zu erstellen, das Buchstaben und Zahlen, Groß- und Kleinbuchstaben und ein paar Symbole kombiniert. Sie können auf verschiedene Arten ein sicheres Passwort erstellen:

• Ein integriertes Tool für starke Passwörter. WordPress verfügt über ein starkes Passwort-Tool, das Sie dazu ermutigt, ein stärkeres Passwort zu erstellen, als Sie von Natur aus wählen könnten.
• Ein Passwortgenerator. Viele Passwortgeneratoren machen es einfach, ein starkes Passwort zu entwickeln, das nicht intuitiv erraten werden kann.
• Ein Passwort-Wächter/-Manager. Das einzige Problem mit starken Passwörtern ist, dass sie schwer zu merken sind. Durch die Verwendung eines Kennwortverwalters oder eines Verwaltungstools wird dieses Problem behoben. Beliebte Optionen sind LastPass, DashLane und 1Password.
  

4. Schützen Sie Ihre Anmeldeseite mit einem Passwort

Standardmäßig kann jeder auf die Anmeldeseite für Ihre WordPress-Site zugreifen. Und während Sie Ihre Anmelde-URL ausblenden oder ändern können, wie wir bereits besprochen haben, können Hacker sie möglicherweise finden, wenn der wp-admin- Ordner noch zugänglich ist.

Aus diesem Grund ist es eine gute Idee, eine weitere Schutzebene hinzuzufügen, bevor Sie auf die Anmeldeseite zugreifen. Und Sie können dies erreichen, indem Sie den wp-admin- Ordner mit einem Passwort schützen. Wenn Ihr Webhost cPanel verwendet, ist dieser Vorgang relativ einfach.

Melden Sie sich bei Ihrem Hosting-Provider-Konto an, greifen Sie auf das cPanel zu und gehen Sie dann zum Ordner „ Directory Privacy “.

Navigieren Sie beim Anzeigen der Dateien Ihrer Website zu public_html/wp-admin . Es sollte ein sichtbares Kontrollkästchen vorhanden sein, das dieses Verzeichnis mit einem Kennwort schützt . Aktivieren Sie das Kontrollkästchen. Erstellen Sie dann einen neuen Benutzernamen und ein neues Passwort für den Zugriff auf den wp-admin-Ordner. Speichern Sie Ihre Änderungen.

Versuchen Sie, sich wie gewohnt bei Ihrer Website anzumelden. Sie sollten jetzt einen anderen Satz von Anmeldeinformationen eingeben müssen, bevor Sie die Berechtigung erhalten, sich bei WordPress anzumelden.

Hinweis: Dieser Vorgang wäre identisch, auch wenn Sie den Speicherort Ihrer Anmeldeseite verschoben hätten. Schützen Sie den Ordner, in dem sich Ihre Anmeldeseite befindet, mit einem Passwort, auch wenn es nicht wp-admin ist.

5. Begrenzen Sie die Anzahl der Anmeldeversuche

Eine weitere Sache, die Sie tun müssen, um die WordPress-Anmeldeseite zu sichern, ist die Anmeldeversuche zu begrenzen. Hacker können Bots verwenden, um wiederholte Anmeldeversuche durchzuführen, bis sie den Code knacken – dh Ihr Passwort herausfinden und Zugriff auf Ihre Website erhalten. Leider erlaubt WordPress standardmäßig unbegrenzte Anmeldungen.

Um diesen potenziellen Zugriffspunkt zu verhindern, können Sie die Anmeldeversuche einschränken. Ein Plugin ist der beste Weg, dies zu erreichen. Tatsächlich bietet Jetpack Security Schutz vor Brute-Force-Angriffen als Teil seiner All-in-One-Sicherheitslösung.

Brute-Force-Angriffe können die Funktionsweise Ihrer Website unglaublich stören, noch bevor Hacker Zugriff erhalten. Beispielsweise können sie Ihre Website erheblich verlangsamen – oder dazu führen, dass sie überhaupt nicht mehr reagiert. Wiederholte Anmeldeversuche können schließlich erfolgreich sein und der Hacker kann dann Malware injizieren, Links einfügen oder auf andere Weise Chaos anrichten. Diese Angriffe können auch Ihre persönlichen Daten gefährden.

Die in Jetpack Security enthaltene Schutzfunktion gegen Brute-Force-Angriffe bietet die Tools, die zum Blockieren von Angriffen und zum Verhindern des Zugriffs böswilliger Hacker auf Ihre Daten erforderlich sind. Es funktioniert, indem bösartige IPs blockiert werden, bevor sie jemals auf Ihre Website gelangen. Es liefert auch eine Anzahl von Angriffen insgesamt und ermöglicht es Ihnen, bekannte IP-Adressen auf die Whitelist zu setzen.

6. Fügen Sie Ihrem WordPress-Anmeldeformular eine Sicherheitsfrage hinzu

Sie können die Sicherheit Ihres Anmeldeformulars auch erweitern, indem Sie dem Anmeldevorgang eine (oder zwei) Sicherheitsfrage hinzufügen. Anstatt also nur einen Benutzernamen und ein Passwort einzugeben, müssen Benutzer auch eine Sicherheitsfrage beantworten, um Zugriff zu erhalten.

Dieser einzelne Schritt macht es viel schwieriger, Ihre Website zu hacken. Und es ist relativ einfach umzusetzen.

Das No-Bot-Registrierungs-Plugin ist eine großartige Möglichkeit, dies zu erreichen. Laden Sie es herunter, indem Sie zu Plugins → Neu hinzufügen gehen und dann den Namen des Plugins eingeben. Sobald es erscheint, laden Sie es herunter und aktivieren Sie es.

Gehen Sie nach der Aktivierung im WordPress-Dashboard zu den Einstellungen . Hier können Sie das Plugin einrichten und die Regeln für die Verwendung von Sicherheitsfragen (auf Registrierungs-, Anmelde- oder Passwort vergessenen Seiten) konfigurieren.

Dies ist viel benutzerfreundlicher als ein CAPTCHA, da nur eine einfache und logische Frage beantwortet werden muss.

7. Fügen Sie WordPress eine Zwei-Faktor-Authentifizierung hinzu

Als nächstes können Sie die Zwei-Faktor-Authentifizierung aktivieren. Viele Websites und Apps verwenden diese beliebte Sicherheitsoption, einschließlich Gmail. Es funktioniert, indem Sie einen SMS-Code an Ihr Telefon senden, den Sie eingeben müssen, bevor Sie den Anmeldevorgang abschließen können.

Dies wird verwendet, um Ihre Identität zu überprüfen und sicherzustellen, dass der Zugriff nur autorisierten Benutzern gewährt wird. Jede Authentifizierungsebene, die Sie dem Prozess hinzufügen, erschwert es jemandem erheblich, Ihre Website zu hacken. Selbst wenn ein Angreifer Zugriff auf Ihre Anmeldeinformationen erhält, ist es unwahrscheinlich, dass er den 2FA-Prozess vereiteln kann.

Der einfachste Weg, eine Zwei-Faktor-Authentifizierung zu WordPress hinzuzufügen, ist die Verwendung eines 2FA-Plugins. Mehrere Sicherheits-Plugins beinhalten diese Funktion, aber auch hier ist Jetpack Security mit der sicheren Authentifizierung stark.

Mit der sicheren Authentifizierung können Sie sich mit Ihren Standard-WordPress.com-Anmeldeinformationen anmelden und das Standard-Anmeldeformular vollständig deaktivieren oder umgehen. Außerdem können Sie sich dafür entscheiden, die Zwei-Faktor-Authentifizierung für alle Benutzer zur Voraussetzung zu machen, um Ihrer Website zusätzlichen Schutz zu bieten.

8. Installieren Sie ein SSL-Zertifikat auf Ihrer WordPress-Site

Eine weitere Möglichkeit zum Schutz ist die Installation eines SSL-Zertifikats. Ein kostenloses SSL-Zertifikat zu bekommen ist einfach, also ist es eine Sicherheitsmaßnahme, die niemand überspringen sollte.

Mit SSL sichern die meisten Websites ihre Daten. Und Sie können erkennen, ob eine Website sicher ist, da dem „HTTP“ im URL-Feld ein „S“ hinzugefügt wird, sodass es „HTTPS“ lautet. Browser verwenden häufig andere visuelle Hinweise, wie ein grünes Schlosssymbol, um Besucher wissen zu lassen, dass Ihre Website über ein aktives SSL-Zertifikat verfügt.

Abgesehen von den Auswirkungen auf die Sicherheit navigieren Besucher möglicherweise nicht weiter auf Ihrer Website, wenn sie sehen, dass sie ungesichert ist. Außerdem neigen Websites mit SSL-Zertifikaten dazu, in Suchmaschinen besser zu ranken, und einige Browser zeigen Besuchern sogar eine Warnung an, wenn Sie keine haben.

Überspringen Sie diesen Schritt nicht. Erfahren Sie, wie Sie ein kostenloses SSL-Zertifikat erhalten.

9. Deaktivieren Sie WordPress-Anmeldehinweise nach fehlgeschlagenen Anmeldeversuchen

Anmeldehinweise können für echte WordPress-Benutzer wirklich hilfreich sein, aber sie können Hackern manchmal zu viele Informationen über Ihren Benutzernamen und Ihr Passwort preisgeben. Wenn Sie versuchen, sich bei einer WordPress-Site anzumelden und den Benutzernamen falsch eingeben, erhalten Sie eine Fehlermeldung, die lautet: „Der Benutzername ist auf dieser Site nicht registriert. Wenn Sie Ihren Benutzernamen nicht kennen, versuchen Sie es stattdessen mit Ihrer E-Mail-Adresse.“

Etwas Ähnliches passiert, wenn Sie den richtigen Benutzernamen oder die richtige E-Mail-Adresse, aber das falsche Passwort eingeben.

Um Anmeldehinweise zu entfernen, müssen Sie der Datei functions.php Ihrer Website einige Codezeilen hinzufügen.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Wenn jemand – echt oder Bot – einen falschen Benutzernamen oder ein falsches Passwort eingibt, wird er mit der Meldung „Es ist ein Fehler aufgetreten“ und nicht mit der Standardnachricht begrüßt.

10. Halten Sie Ihre WordPress-Installation und Plugins auf dem neuesten Stand

Hacker finden auch über veraltete Installationen Einstiegspunkte in WordPress-Seiten. Jedes Mal, wenn WordPress aktualisiert wird, werden alle behobenen Fehler und Sicherheitslücken online gestellt. Wenn Ihre Installation veraltet ist, haben Hacker eine Anleitung, um Ihre Website zu verletzen.

Wenn neue WordPress-Core-Updates eingeführt werden, müssen Sie Ihre Website sichern und das Update so schnell wie möglich installieren.

Aber das ist nicht alles, worauf Sie achten müssen. Software von Drittanbietern – dh Plugins und Themes – sind ebenfalls potenzielle Schwachstellen. Es ist sogar noch wichtiger, sie auf dem neuesten Stand zu halten, da Plugins und Themes von verschiedenen Entwicklungsfirmen mit unterschiedlichen Standards und Ansätzen erstellt werden.

Aus diesem Grund müssen Sie auch bei den von Ihnen installierten Plugins und Designs selektiv vorgehen. Wenn Ihr Go-to-Social-Sharing-Plugin seit zwei Jahren nicht aktualisiert wurde, ist es möglicherweise an der Zeit, eines zu finden, das regelmäßig aktualisiert wird.

11. Verstecken Sie Ihre WordPress-Versionsnummer

Eine schnelle Möglichkeit, die Sicherheit der Anmeldeseite zu verbessern, besteht darin, die WordPress-Versionsnummer auszublenden. Zumindest wird dies Hacker veranlassen, gründlicher zu prüfen, welche Sicherheitslücken sie ausnutzen können. Und Sie können es ziemlich einfach entfernen.

Suchen Sie die Datei functions.php und fügen Sie (nachdem Sie Ihre Website gesichert haben) die folgende Codezeile zur Datei hinzu:

 remove_action('wp_head', 'wp_generator');

12. Verstecken Sie Ihren WordPress-Login-Benutzernamen

Ein weiterer Schritt, den Sie unternehmen können, besteht darin, Ihren WordPress-Login-Benutzernamen zu verbergen. Oft liegt der Schwerpunkt auf der Erstellung eines supersicheren Passworts – was ausgezeichnet ist – aber Sie müssen auch an Ihren Benutzernamen denken. Oft ist es öffentlich zugänglich – eine Gelegenheit, die Hacker ausnutzen können.

Der schnellste Weg, Ihren Benutzernamen vor neugierigen Blicken zu verbergen, besteht darin, ihn nicht mehr in Blogbeiträgen und in Autorenarchiven erscheinen zu lassen.

Um Ihren Benutzernamen aus Blogbeiträgen zu entfernen, müssen Sie einfach zu Benutzer → Profil → Nickname gehen, während Sie in WordPress angemeldet sind. Von hier aus können Sie den Spitznamen ändern, sodass Ihr Benutzername für Website-Besucher nicht mehr sichtbar ist. Anstatt also „blogperson02“ zu sehen, sehen sie Ihren Vornamen, Vor- und Nachnamen oder einen anderen von Ihnen konfigurierten Spitznamen.

Um Ihren Benutzernamen aus den Autorenarchiven zu entfernen, benötigen Sie ein SEO-Plugin wie Yoast SEO.

Installieren Sie Yoast wie jedes andere Plugin und gehen Sie dann zum Menü SEO → Search Appearance → Archives im WordPress-Dashboard. Hier gibt es eine Option zum Deaktivieren von Autorenarchiven. Tun Sie dies und klicken Sie dann auf Änderungen speichern .

13. Verkürzen Sie Ihren WordPress-Timer für die automatische Abmeldung

Es ist üblich, dass Sie bei Ihren Konten angemeldet bleiben, wenn Sie sie häufig verwenden. Dies kann jedoch zu potenziellen Sicherheitsverletzungen führen, insbesondere wenn mehrere Personen Konten auf Ihrer Website haben. Die Implementierung eines Auto-Logout-Timers ist eine großartige Möglichkeit, diese Sicherheitslücken zu schließen.

Wenn eine Sitzung unbeaufsichtigt gelassen wird, wird sie automatisch abgemeldet. Standardmäßig meldet WordPress Benutzer nach 48 Stunden ab. Durch Aktivieren des Kontrollkästchens „Remember Me“ bleiben Benutzer 14 Tage lang angemeldet. Sie können diese Zeitrahmen ein wenig ändern, indem Sie ein Plugin eines Drittanbieters verwenden. Eines, das dieser Funktion gewidmet ist, ist Inactive Logout.

Navigieren Sie nach der Installation zu Einstellungen → Inaktive Abmeldung → Grundlegende Verwaltung . Wählen Sie dann die Dauer der Leerlaufzeit aus, die eine Abmeldung auslösen soll.

14. Löschen Sie alte und ungenutzte WordPress-Benutzerkonten

Schließlich kann das Löschen von Konten, die nicht mehr verwendet werden, auch dazu beitragen, Ihre WordPress-Sicherheit zu verbessern. Wenn Sie mehrere offene Konten auf Ihrer Website haben, ist jedes ein Zugangspunkt zu privaten Daten. Und wenn Sie die Passwörter für diese Konten nicht regelmäßig aktualisieren, könnten sie erhebliche Schwachstellen aufweisen.

Um dies zu vermeiden, löschen Sie alte und ungenutzte Konten. Machen Sie dies zu einem Teil Ihres regelmäßigen Website-Wartungsplans.

Sie sollten auch nur Benutzern Berechtigungen erteilen, die sie benötigen. Nicht jeder Benutzer benötigt Editor- oder Administratorrechte.

Behalten Sie auch die aufgeführten Konten im Auge. Manchmal erstellen Hacker ein gefälschtes Konto. Wenn einer auftaucht, löschen Sie ihn sofort und stärken Sie den Rest Ihrer Sicherheitsmaßnahmen. Erfahren Sie, was zu tun ist, wenn Ihre WordPress-Website gehackt wurde.

Sichern Sie Ihre WordPress-Anmeldeseite

Der Besitz einer Website bedeutet, ein gewisses Maß an Verantwortung für deren Inhalt und Benutzer zu tragen. Dies ist natürlich doppelt der Fall, wenn Sie Kundeninformationen sammeln. Aber egal, wie Sie Ihre WordPress-Seite nutzen, die Erhöhung der Sicherheit rund um die Anmeldeseite ist eine großartige Möglichkeit, Ihre Daten langfristig zu schützen.

Und die hier vorgestellten Tipps sollen Ihnen helfen, in kürzester Zeit effizient bei der WordPress-Sicherheitswartung zu werden.

Bereit für den ersten Schritt? Beginnen Sie mit Jetpack Security.