10 hervorragende Tipps zum Schutz des WordPress-Adminbereichs

Veröffentlicht: 2022-07-12

Unter den 8.000 infizierten Websites, die Sucuri bekannt sind, basieren laut seinem Hacked Website Report für 2016 74 % auf WordPress. Diese seriöse Statistik hilft Ihnen teilweise dabei, die anhaltende und anhaltende Sorge um die Websicherheit auf Ihrer Website zu erkennen.

Böswillige Dritte verwenden verschiedene Methoden, um Ihre WordPress-Website anzugreifen. Das Admin-Dashboard wäre das anfälligste Ziel. Es ist wie das Zentrum Ihrer Website, das wichtige Daten enthält. Sobald sie in Ihr Admin-Dashboard einbrechen, ergreifen sie gefährliche Aktionen, die Ihrer Website erheblichen Schaden zufügen.

Um verdächtige Angriffe effektiv zu verhindern, müssen Sie den WordPress-Administrator schützen. Unser heutiger Artikel konzentriert sich auf 10 Möglichkeiten, Ihren Login-Bereich zu straffen. Bevor wir uns mit den Details befassen, lassen Sie uns kurz einige Gründe für die Sicherung Ihres Administrator-Logins erläutern.

Warum WordPress Admin sichern

Wenn wir über Website-Exploits sprechen, denken wir definitiv an Hacker, die mit ausgeklügelten Computersystemen in Ihren Server einbrechen.

Tatsächlich ist der Prozess viel einfacher als das. Sie können einfach auf das Backend Ihrer Website zugreifen und es kontrollieren. Dann leiden Sie unter den Folgen von Datenverlust, rechtlichen Problemen und Geldausgaben für die Reinigung der Website.

In den meisten Fällen hinterlassen Hacker Malware auf Ihrer Website, um Kundendaten wie Telefonnummern oder Kreditkartendaten zu stehlen. Sobald diese privaten Informationen gestohlen werden, verlieren Ihre Kunden nicht nur Geld und werden belästigt, sondern es schadet auch Ihrem Markenruf.

Käufer werden nie wieder in Ihren Online-Shop zurückkehren, um etwas zu kaufen, da sie nicht sicher sind, ob ihre Informationen vollständig geschützt sind. Sie können auch in einen Rechtsstreit verwickelt werden, weil Sie Kundendaten nicht sorgfältig schützen.

Außerdem ist die Bereinigung der Website aufgrund eines Cyberangriffs kostspielig. Sie müssen WordPress-Wartungsdienste beauftragen, um dies zu bewältigen.

Es gibt mehrere Techniken, die Sie anwenden können, um den WordPress-Administrator zu schützen. Nachfolgend finden Sie die 10 einfachsten Lösungen für jeden Website-Besitzer, von nicht technisch versierten bis hin zu technisch versierten Personen.

#1 Ändern Sie den Standard-Admin-Benutzernamen

WordPress weist den Standardbenutzernamen aller Websites admin zu. Und Cyberkriminelle wissen das mit Sicherheit. Sie erraten leicht Ihr Passwort, um sich bei Ihrer Website anzumelden. Sie können es entweder irgendwo erwerben oder einen Brute-Force-Angriff versuchen.

Sie sollten anstelle des Admin -Benutzernamens einen anderen Benutzernamen verwenden, um die Admin-Anmeldung zu sichern. Glücklicherweise ist das Ändern von Benutzernamen in WordPress ein Kinderspiel.

  1. Besuchen Sie Benutzer im Admin-Menü Ihrer Website
  2. Wählen Sie Alle Benutzer und öffnen Sie das Administratorprofil
    pda-alle-benutzer
  3. Aktualisieren Sie den Benutzernamen und das Passwort
  4. Speichern Sie Ihre Änderungen

#2 Verwenden Sie starke Passwörter, um den WordPress-Admin zu schützen

Es wird geschätzt, dass 8 % der gehackten WordPress-Sites von schwachen Passwörtern stammen. Denken Sie also daran, ein starkes Passwort für Ihr Konto zu verwenden. Das Passwort muss mindestens 8 Zeichen lang sein und aus Buchstaben, Zahlen und Sonderzeichen bestehen. Sie können das neue Passwort direkt auf der Seite Benutzer eingeben, wo Sie den Benutzernamen ändern.

Passwortgeneratoren unterstützen Sie sehr beim Erstellen von zufälligen und starken Passwörtern. Wählen Sie einfach die Elemente aus, die Sie in das Passwort aufnehmen möchten, und überlassen Sie die Arbeit dem Tool.

Es ist jedoch schmerzhaft, sich alle Ihre Passwörter zu merken, da Sie Tonnen von Passwörtern und Konten besitzen, die verwaltet werden müssen. Glücklicherweise haben Sie Passwort-Manager-Apps zur Hand, die Sie dabei unterstützen, Ihre Passwörter sicher zu speichern, ohne sich Sorgen machen zu müssen, gehackt zu werden.

#3 Erstellen Sie eine benutzerdefinierte Anmelde-URL

Neben dem Benutzernamen stellt WordPress Ihnen auch einen Standard-Login-Link zur Verfügung, indem es /wp-login.php zur Website-Domain hinzufügt. Zum Beispiel www.example.com/wp-login.php . Wenn Sie sowohl die Standard-Anmelde-URL als auch den Benutzernamen beibehalten, erhalten Hacker auf halbem Weg Zugriff auf Ihren Site-Admin.

Obwohl du eine benutzerdefinierte Admin-Login-URL erstellen kannst, indem du die Datei wp-login.php bearbeitest, empfehlen wir dringend, ein Plugin zu verwenden. Sie müssen den Server nicht berühren oder Änderungen an Dateien und Ordnern vornehmen, die die Website zerstören könnten.

Berücksichtigen Sie WPS Hide Login, wenn Sie ein Plugin auswählen, um den WordPress-Login-Link anzupassen. Das Plugin gewinnt das Vertrauen von über 1 Million Benutzern weltweit und erweist sich als die bisher beliebteste Lösung in dieser Nische.

Befolgen Sie die folgenden 4 Schritte, um mit dem Plugin zu beginnen.

  1. Installieren und aktivieren Sie WPS Hide Login auf Ihrer Website
  2. Gehen Sie im Admin-Menü zu Einstellungen
  3. Wählen Sie WPS-Anmeldung ausblenden
  4. Geben Sie den neuen Anmeldelink in das Feld Anmelde-URL ein

Denken Sie daran, Ihre Änderungen zu speichern. Sobald dies erledigt ist, können nur Benutzer mit dem neuen Anmeldelink und den korrekten Kontodaten auf Ihre Admin-Seite zugreifen.

#4 Passwortschutz wp-admin Ordner

Der wp-admin-Ordner besteht aus wichtigen Verwaltungsdateien, die sich im Stammverzeichnis befinden. Sie können eine zusätzliche Sicherheitsebene für Ihren Administrator erstellen, indem Sie diesen wp-admin-Ordner mit einem Passwort schützen.

  1. Melden Sie sich bei Ihrem Hosting-cPanel an oder verbinden Sie sich mit einem FTP-Client
  2. Klicken Sie auf Kennwortgeschützte Verzeichnisse oder Verzeichnisdatenschutz
    pda-kennwortschutzverzeichnis
  3. Finde den Ordner wp-admin im Verzeichnis /public_html/
  4. Aktivieren Sie die Option Kennwortschutz für dieses Verzeichnis
  5. Geben Sie einen Benutzernamen und ein Passwort an
    pda-benutzername-passwort-verzeichnis
  6. Klicken Sie auf Speichern

Dies ist, was Benutzer sehen, wenn sie versuchen, Ihre WordPress-Administrationsseite abzurufen. Sie müssen den richtigen Benutzernamen und das richtige Passwort eingeben, um die erste Authentifizierungsebene zu passieren, bevor sie die Administratoranmeldedaten übermitteln.

pda-admin-authentifizierung

#5 Passwörter für alle Benutzer zurücksetzen

Eine andere Möglichkeit, den WordPress-Administrator zu schützen, besteht darin, jeden Benutzer zu zwingen, seine Passwörter zurückzusetzen, insbesondere auf Websites mit mehreren Benutzern. Um dies schnell zu erreichen, benötigen Sie Hilfe vom Emergency Password Reset-Plugin.

Nach der Aktivierung können Administratoren Passwörter zurücksetzen und ihnen den Zurücksetzungslink automatisch mit nur einem Klick per E-Mail zusenden. Führen Sie die folgenden Schritte aus:

  1. Installieren Sie das Notfall-Passwortzurücksetzungs- Plugin
  2. Gehen Sie zu BenutzerNotfall-Passwortzurücksetzung
    pda-notfall-passwort-zurücksetzen
  3. Drücken Sie die Schaltfläche Alle Passwörter zurücksetzen

Das ist es!

#6 Anmeldeversuche begrenzen

WordPress erlaubt Benutzern, Anmeldeinformationen so oft einzugeben, wie sie möchten, bis sie erfolgreich Zugriff auf Ihren Admin-Bereich erhalten. Dennoch gibt diese Option Hackern die Möglichkeit, Ihre Website mit Brute-Force-Angriffen anzugreifen.

Diese böswilligen Benutzer haben oft eine Passwortbibliothek mit den gebräuchlichsten. Hacker verwenden ein automatisiertes Skript und gehen Tausende potenzieller Passwörter durch.

Um das Risiko zu verringern, können Sie Anmeldeversuche mit dem Wordfence-Sicherheits-Plugin begrenzen. Es ist mehr als nur ein Plugin zur Verhinderung von Brute-Force-Angriffen, das für die Site-Sicherheit und die WordPress-Firewall zuständig ist. Wir werden die Nützlichkeit dieses Plugins in den kommenden Abschnitten besprechen.

  1. Installieren und aktivieren Sie das Wordfence-Sicherheits-Plugin für Ihre Website
  2. Öffnen Sie Wordfence und wählen Sie Alle Optionen
    pda-wordfence-enable-brute-force-attack
  3. Aktivieren Sie Brute-Force-Schutz aktivieren unter Firewall-Optionen
  4. Geben Sie die Zeit ein, in der Benutzer fehlgeschlagene Anmeldeinformationen übermitteln dürfen

Wenn sie sich anmelden können, obwohl sie die maximale Anzahl an Versuchen erreicht haben, blockiert das Plugin sofort ihre IP-Adresse.

#7 Beschränken Sie den Anmeldezugriff nach IP-Adressen

Diese Methode ist vorteilhaft, wenn Sie einige Benutzer haben, die Zugriff auf Ihren Admin-Bereich benötigen. Dazu müssen Sie die .htaccess-Datei über das File Transfer Protocol (FTP) oder den Dateimanager Ihres Webhosts bearbeiten.

Fügen Sie der Datei den folgenden Code hinzu:

 AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „WordPress Admin Access Control“
AuthType Basic
<LIMIT GET>
Befehl verweigern, zulassen
abgelehnt von allen
# Whitelist-IP-Adresse
ab xx.xx.xx.xxx zulassen
</LIMIT>

Ersetzen Sie xx.xx.xx.xxx durch die echte IP-Adresse.

Das Ändern der .htaccess-Datei ist ernsthaft gefährlich. Denken Sie daran, ein Backup Ihrer Website zu erstellen, bevor Sie die .htaccess-Datei bearbeiten. Auf diese Weise können Sie die vorherige Version rückgängig machen, wenn mit der Website etwas schief geht.

#8 Zwei-Faktor-Authentifizierung einrichten

Mit der Zwei-Faktor-Authentifizierung (2FA) können Sie Ihrem WordPress-Adminbereich eine zusätzliche Sicherheitsebene hinzufügen. Geben Sie beispielsweise den an Ihr Mobilgerät gesendeten Sicherheitscode ein oder verwenden Sie Ihre Gesichtserkennung.

Wenn Sie das oben vorgestellte Wordfence-Plugin installiert haben, können Sie diese Funktion ohne die Hilfe einer zusätzlichen Lösung nutzen.

  1. Besuchen Sie Wordfence und öffnen Sie den Abschnitt Anmeldesicherheit
  2. Scannen Sie die QR-Codes mit Ihrer Authentifizierungs-App

#9 Anmeldehinweise deaktivieren

Wenn sich Benutzer nicht beim Admin-Dashboard anmelden, zeigt WordPress eine Fehlermeldung an, die sie darüber informiert, ob ihr Benutzername oder Passwort falsch war. Dies gibt Benutzern Hinweise zu den Anmeldeinformationen.

Nehmen Sie ein Beispiel für Hacker, die einen zufälligen Benutzernamen und ein zufälliges Passwort verwenden, um auf die Admin-Seite zuzugreifen. Wenn sie eines der Details kennen, müssen sie nur noch das richtige andere suchen.

Sie können dies stoppen, indem Sie die Datei functions.php Ihres Themes bearbeiten. Gehen Sie im WordPress-Backend zu AppearanceTheme Editorfunctions.php . Geben Sie dann den folgenden Code in Ihre Datei functions.php ein.

 Funktion no_wordpress_errors(){
return 'Etwas stimmt nicht!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

#10 Verwenden Sie eine Website-Anwendungs-Firewall

Eine Firewall ist nie eine alte Lösung, um Ihren WordPress-Admin zu sichern. Es überwacht den Website-Verkehr und blockiert böswillige Anfragen für den Zugriff auf Ihre Website. Einige beliebte Plugins, die Sie ausprobieren können, sind Wordfence, iThemes Security und Sucuri.

Sie halten nicht nur verdächtige Benutzer fern, sondern scannen auch nach Malware. Es gibt eine Reihe von Login-Schutzoptionen zur Auswahl, von Brute-Force-Angriffsschutz, Zwei-Faktor-Authentifizierung, CAPTCHA usw.

Zeit, den WordPress-Admin zu schützen

Die Folgen von WordPress-Exploits sind verheerend. Sie verlieren Kunden, Markenruf und Geld aufgrund von Cyberkriminalität bei der Anmeldung durch Administratoren.

Vorbeugen ist immer besser als heilen. Sie haben die 10 besten Tipps zur Sicherung Ihres WordPress-Adminbereichs mit und ohne Plugins durchgesehen.

Es dauert ein paar Klicks, um den Admin-Benutzernamen und das Passwort zu ändern. Sie können Plugins installieren, um eine benutzerdefinierte Anmelde-URL zu generieren, Anmeldeversuche zu begrenzen, 2FA einzurichten und eine Firewall anzuwenden. Sie müssen Code verwenden, um den wp-admin-Ordner mit einem Passwort zu schützen, die Anmeldung nach IP-Adressen einzuschränken und Anmeldehinweise zu deaktivieren.

Wie viele dieser Methoden haben Sie angewendet? Teilen Sie es uns im Kommentarbereich unten mit.