So sichern Sie Ihren WordPress-Admin (Wp-Admin)

Veröffentlicht: 2022-08-27

WordPress-Sicherheit ist im WordPress-Ökosystem sehr wichtig. Einer der zu ergreifenden Sicherheitsansätze besteht darin, Ihren Wp-Admin zu sichern. Dies liegt daran, dass der Wp-Admin wahrscheinlich der erste Punkt ist, den Angreifer verwenden werden, um zu versuchen, Zugriff auf Ihre Website zu erhalten.

Standardmäßig werden WordPress-Administrationsdateien im Wp-admin-Ordner gespeichert. Obwohl WordPress über verschiedene Sicherheitsmaßnahmen zum Schutz des Ordners verfügt, macht die Tatsache, dass der standardmäßige WordPress-Administrator weithin bekannt ist, ihn zu einem leichten Ziel für Hacker. Es ist daher wichtig, das Risiko von Webangriffen zu reduzieren, die vom WordPress-Admin ausgelöst werden.

In diesem Artikel werden wir uns einige der Ansätze ansehen, die Sie verwenden können, um Ihren WordPress-Admin zu sichern.

Inhaltsverzeichnis

Ansätze zur Sicherung Ihres Wp-Admin

  • Vermeiden Sie die Verwendung des standardmäßigen „admin“-Benutzernamens
  • Starke Passwörter erstellen
  • Schützen Sie den Wp-Admin-Bereich mit einem Passwort
  • Erstellen Sie eine benutzerdefinierte Anmelde-URL
  • Integrieren Sie eine Zwei-Faktor-Authentifizierung/-Verifizierung
  • Automatische Abmeldung aktivieren
  • Begrenzen Sie die Anzahl der Anmeldeversuche
  • IP-Beschränkung implementieren
  • Deaktivieren Sie Fehler auf der Anmeldeseite
  • Verwenden eines Sicherheits-Plugins
  • Aktualisieren Sie WordPress auf die neueste Version

Fazit

Ansätze zur Sicherung Ihres Wp-Admin

Es gibt verschiedene Möglichkeiten, die Sie nutzen können, um den WordPress-Adminbereich zu sichern. Nachfolgend finden Sie eine kurze Liste dieser Sicherheitspraktiken.

1. Vermeiden Sie die Verwendung des standardmäßigen „admin“-Benutzernamens

Bei einer neuen WordPress-Installation ist das erste erstellte Konto das Administratorkonto. Bei einer solchen Installation ist „admin“ als Standardbenutzername festgelegt. Das ist eigentlich öffentliches Wissen.

Eine Möglichkeit, wie ein Hacker leicht herausfinden kann, ob „admin“ Ihr Benutzername ist, besteht darin, einfach auf Ihre Site-Anmelde-URL zuzugreifen und den „admin“-Benutzernamen auszuprobieren. Wenn „admin“ tatsächlich ein Benutzername auf der Website ist, wird eine solche Fehlermeldung im Anmeldebildschirm angezeigt. “ Fehler: Das Passwort, das Sie für den Benutzernamen admin eingegeben haben, ist falsch. Passwort vergessen ?”

Eine solche Fehlermeldung würde dem Hacker als Bestätigung dienen, dass auf der Website ein Benutzername „admin“ existiert.

Zu diesem Zeitpunkt hat ein Hacker bereits zwei Informationen über Ihre Website. Dies sind der Benutzername und die Anmelde-URL. Alles, was der Hacker braucht, ist das Passwort für die Website.

Ein Hacker wird an dieser Stelle nun versuchen, Angriffe durchzuführen, indem er einfach Passwörter gegen diesen Benutzernamen ausführt, um Zugriff auf die Website zu erhalten. Dies kann manuell oder sogar über Bots erfolgen.

Ein anderer Ansatz, den ein Hacker verwenden kann, besteht darin, einfach die Abfrage „?author=1/“ an die URL anzuhängen, sodass sie als yourdomain/?author=1/ gelesen wird. Wenn Sie einen Benutzernamen mit dem Benutzer admin haben, gibt die URL Beiträge des Benutzers zurück oder keine, wenn ihm keine Beiträge zugeordnet sind. Unten ist eine Beispielabbildung:

In beiden Fällen würde dies, solange kein 404-Fehler zurückgegeben wird, als Bestätigung dienen, dass es sicher einen Benutzernamen mit dem Benutzernamen „admin“ gibt.

Basierend auf den obigen Szenarien ist es wichtig, dass Sie ein neues Administratorkonto im Abschnitt Benutzer > Neu hinzufügen in Ihrem WordPress-Dashboard erstellen, wenn Sie den Standardbenutzernamen „admin“ eingerichtet haben.

Stellen Sie anschließend sicher, dass Sie das vorherige „admin“-Konto löschen.

2. Erstellen starker Passwörter

Starke Passwörter sind für jede WordPress-Site da draußen unerlässlich. Schwache Passwörter hingegen machen es Hackern leicht, sich Zugang zu Ihrer WordPress-Seite zu verschaffen.

Einige der Passwortsicherheitsmaßnahmen, die Sie integrieren können, umfassen:

  • Stellen Sie sicher, dass das Passwort lang genug ist (mindestens 10 Zeichen)
  • Das Passwort sollte mindestens alphanumerische Zeichen, Leerzeichen und Sonderzeichen enthalten
  • Stellen Sie sicher, dass Passwörter regelmäßig geändert oder aktualisiert werden
  • Stellen Sie sicher, dass Sie Passwörter nicht wiederverwenden
  • Passwörter sollten keine Wörterbuchwörter sein
  • Speichern Sie Passwörter mit einem Passwort-Manager
  • Stellen Sie sicher, dass Benutzer, die sich auf der Website registrieren, starke Passwörter eingeben

Passwörter sollten auch nicht erratbar sein, da dies wiederum ein Sicherheitsrisiko darstellen würde.

3. Schützen Sie den Wp-Admin-Bereich mit einem Passwort

WordPress bietet dem Wp-Administrator eine Sicherheitsstufe, indem es Benutzern erlaubt, ihren Benutzernamen und ihr Passwort einzugeben, um sich anzumelden. Dies reicht jedoch möglicherweise nicht aus, da Hacker beim Zugriff auf den Wp-Admin tatsächlich Webangriffe ausführen können. Es ist daher empfehlenswert, dem Wp-Admin eine zusätzliche Sicherheitsebene hinzuzufügen. Dies kann entweder erfolgen über:

i) cPanel

ii) .htaccess

Über cPanel

Um den Wp-Admin über cPanel mit einem Passwort zu schützen, müssen Sie Folgendes ausführen:

Greifen Sie zunächst auf Ihr cPanel-Dashboard zu und klicken Sie auf „Directory Privacy“.

Greifen Sie als Nächstes auf den Ordner public_html zu.

Klicken Sie darin auf die Schaltfläche „Bearbeiten“ im wp-admin-Verzeichnis.

Aktivieren Sie auf dem nächsten Bildschirm die Option „Kennwortschutz für dieses Verzeichnis“ und geben Sie im Feld „Geben Sie einen Namen für das geschützte Verzeichnis ein“ einen Namen Ihrer Wahl ein und speichern Sie Ihre Änderungen.

Sobald dies erledigt ist, treten Sie einen Schritt zurück und erstellen Sie einen neuen Benutzer mit Ihren gewünschten Details (Benutzername und Passwort).

Wenn ein Benutzer versucht, auf den wp-admin-Ordner zuzugreifen, muss er bei der oben beschriebenen Vorgehensweise den neu erstellten Benutzernamen und das neu erstellte Passwort eingeben, bevor er zu dem Bildschirm weitergeleitet wird, auf dem er seinen oder ihren WordPress-Administrator eingeben muss Referenzen.

Per .htaccess

Die .htaccess ist eine Konfigurationsdatei, die von Apache verwendet wird, um Änderungen an Verzeichnissen vorzunehmen. In diesem Artikel erfahren Sie mehr über die Datei.

In diesem Abschnitt werden wir untersuchen, wie die .htaccess-Datei verwendet wird, um den wp-admin-Ordner einzuschränken. Dazu müssen wir zwei Dateien (.htaccess und .htpasswd) erstellen, indem wir Folgendes ausführen:

i) Erstellen Sie eine .htaccess-Datei

Erstellen Sie mit einem Texteditor Ihrer Wahl eine neue Datei mit dem Namen .htaccess .

Fügen Sie der Datei folgenden Inhalt hinzu:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

Im obigen Code müssen Sie den angegebenen „AuthUserFile“-Pfad (/home/user/public_html/mydomain.com/wp-admin/) mit Ihrem wp-admin-Verzeichnispfad ändern, in den Sie die .htpasswd-Datei hochladen . Zusätzlich müssen Sie auch das „usernamedetail“ in der Zeile „require user“ mit Ihrem gewünschten Benutzernamen ändern.

ii) Erstellen Sie eine .htpasswd-Datei

Erstellen Sie weiterhin mit einem Texteditor Ihrer Wahl eine neue Datei mit dem Namen .htpasswd.

Greifen Sie auf den wtools.io-Generator zu.

Geben Sie Ihren Benutzernamen und Ihr Passwort in die dafür vorgesehenen Felder im Htpasswd-Formular ein und klicken Sie auf die Schaltfläche „Generieren“.

Wenn Sie fertig sind, kopieren Sie das Ergebnis in Ihre .htpasswd-Datei und speichern Sie Ihre Änderungen.

iii) Laden Sie die Dateien per FTP hoch

Um die Dateien per FTP hochzuladen, müssen Sie ein Tool wie Filezilla verwenden.

Zunächst müssen Sie Ihre .htaccess-Datei in das wp-admin-Verzeichnis Ihrer Website hochladen, gefolgt von der .htpasswd-Datei.

Sobald ein Benutzer nun versucht, auf /wp-admin zuzugreifen, wird ihm ein Anmeldebildschirm ähnlich dem unten gezeigten angezeigt:

4. Erstellen Sie eine benutzerdefinierte Anmelde-URL

Der Zugriff auf WordPress-Anmelde-URLs erfolgt entweder durch Anhängen von wp-admin oder wp-login.php? zu Ihrer Domäne. Die Tatsache, dass dies die standardmäßigen WordPress-Anmeldeendpunkte sind, bedeutet, dass ein Hacker, solange er Zugriff auf die Domain hat, problemlos auf Ihre Anmelde-URL zugreifen kann.

Wenn Sie zufällig auch den Standard-Benutzernamen „admin“ verwenden, würde dies wiederum bedeuten, dass ein Hacker nur eine Information herausfinden müsste, nämlich das „Passwort“.

Es ist daher wichtig, eine benutzerdefinierte Anmelde-URL für Ihre Website zu haben. Eine Möglichkeit, dies zu erreichen, besteht darin, dass Sie das WPS Hide Login-Plugin installieren müssen.

Navigieren Sie nach der Installation des Plugins zum Abschnitt Einstellungen > WPS-Anmeldung ausblenden und geben Sie Ihre gewünschte Anmelde-URL und eine Weiterleitungs-URL an, auf die zugegriffen wird, wenn ein nicht angemeldeter Benutzer versucht, auf Wp-login.php oder Wp-admin zuzugreifen.

Sobald dies erledigt ist, speichern Sie Ihre Änderungen.

Dies erschwert es jedem, der versucht, auf Ihre Website-Anmeldung zuzugreifen, und reduziert so potenzielle Aufgaben.

5. Integrieren Sie eine Zwei-Faktor-Authentifizierung/-Verifizierung

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsmechanismus, bei dem eine zusätzliche Sicherheitsebene bereitgestellt wird, indem eine zusätzliche Authentifizierungsanforderung hinzugefügt wird.

Um die Zwei-Faktor-Authentifizierung auf Ihrer WordPress-Seite zu implementieren, können Sie ein Plug-in eines Drittanbieters Ihrer Wahl verwenden. In diesem Leitfaden empfehlen wir die Verwendung des Plugins WP 2FA – Zwei-Faktor-Authentifizierung für WordPress aufgrund seiner Benutzerfreundlichkeit.

Um das Plugin zu verwenden, navigieren Sie im WordPress-Dashboard zum Abschnitt Plugins > Neu hinzufügen und suchen Sie nach WP 2FA.

Installieren und aktivieren Sie das Plugin.

Navigieren Sie anschließend zum Abschnitt Benutzer > Profil und klicken Sie auf die Schaltfläche „2FA konfigurieren“.

Wählen Sie auf dem nächsten Bildschirm Ihre gewünschte 2FA-Methode aus. In unserem Fall wählen wir hier die Option „Einmaliger Code, der mit Ihrer App Ihrer Wahl generiert wird“.

Fahren Sie nach der Auswahl mit dem nächsten Schritt fort. Wählen Sie hier Ihre gewünschte App zur Authentifizierung aus der bereitgestellten Symbolliste aus. Durch Klicken auf ein Symbol wird zur Anleitung zum Einrichten der Anwendung umgeleitet.

In unserem Fall verwenden wir hier die App „Google Authenticator“. Sie können daher zunächst damit beginnen, die Google Authenticator-App auf Ihrem gewünschten Gerät, z. B. auf einem Handy, zu installieren.

Sobald dies erledigt ist, öffnen Sie die App und tippen Sie auf das schwebende „+“-Symbol im unteren rechten Bereich der App.

Als nächstes müssen Sie den QR-Code im oben abgebildeten Screenshot scannen.

Daraufhin werden Sie neben dem 2FA-Code zu einem Bildschirm mit dem neu hinzugefügten Konto weitergeleitet.

Gehen Sie als Nächstes zurück zu Ihrer Website und geben Sie Ihren 2FA-Code ein, validieren und speichern Sie die Konfiguration. Unten ist eine Beispielabbildung:

Sobald dies geschehen ist, erhalten Sie nun eine Erfolgsmeldung und können anschließend ein Backup Ihrer Codes durchführen.

Detaillierte Illustrationen dazu finden Sie in der Anleitung hier.

Sobald ein Benutzer nun versucht, sich bei der Site anzumelden, auch wenn er die erste Anmeldung umgeht, wird ihm eine zusätzliche Authentifizierungsebene angezeigt, auf der er oder sie den Authentifizierungscode eingeben muss.

6. Aktivieren Sie die automatische Abmeldung

Nach dem Einloggen auf einer Website und Benutzer schließen ihr Browserfenster nicht, werden die Sitzungen für längere Zeit nicht beendet. Dies macht eine solche Website anfällig für Hacker durch Cookie-Hijacking. Dies ist eine Technik, bei der ein Hacker in der Lage ist, eine Sitzung zu kompromittieren, indem er Cookies im Browser eines Benutzers stiehlt oder darauf zugreift.

Als Sicherheitsmechanismus ist es daher wichtig, inaktive Benutzer innerhalb der Website automatisch abzumelden. Um dies zu erreichen, können Sie ein Plugin wie das Inactive Logout-Plugin verwenden.

Das Plugin kann über den Abschnitt Plugins > Neu hinzufügen installiert werden, indem es zuerst gesucht, installiert und aktiviert wird.

Navigieren Sie nach der Aktivierung des Plugins zum Abschnitt Einstellungen > Inaktives Abmelden, stellen Sie das „Idle Timeout“ ein und speichern Sie Ihre Änderungen.

Sie können den Wert beliebig einstellen, aber 5 Minuten wären ideal.

7. Begrenzen Sie die Anzahl der Anmeldeversuche

Standardmäßig bietet WordPress keine Begrenzung der Anzahl der Anmeldeversuche innerhalb einer Website. Dies ermöglicht es Hackern, Skripte auszuführen, die allgemeine Benutzeranmeldedaten enthalten, um zu versuchen, in die Website einzudringen. Wenn die Anzahl der Versuche viel zu hoch ist, kann dies zu einer Überlastung Ihres Servers und schließlich zu einer Ausfallzeit auf der Website führen. In einem Fall, in dem Sie gemeinsame Anmeldedaten verwenden, ist es wahrscheinlich, dass ein Hacker erfolgreich auf die Website zugreift.

Daher ist es wichtig, die Anzahl der Anmeldeversuche innerhalb einer Website zu begrenzen. Für diese Implementierung können Sie ein Plugin wie Login Lockdown verwenden.

Ähnlich wie bei anderen Plugin-Installationen auf wordpress.org können Sie das Login Lockdown-Plugin aus dem Abschnitt Plugins > Neu hinzufügen installieren. Suchen Sie im Abschnitt nach dem Plugin, installieren und aktivieren Sie es.

Navigieren Sie nach der Aktivierung zu Einstellungen > Anmeldesperre und geben Sie Ihre gewünschten Sperreinstellungen an, wie z.

8. Implementieren Sie die IP-Beschränkung

Die IP-Beschränkung ist ein Ansatz, den Sie auch implementieren können, um dem Wp-Admin den Zugriff zu verweigern. Diese Methode ist jedoch empfehlenswert, wenn Sie eine statische IP verwenden.

Um die IP-Beschränkung zu implementieren, musst du eine .htaccess-Datei im wp-admin-Verzeichnis erstellen, falls du noch keine hast, und der Datei den folgenden Code hinzufügen:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Sobald Sie fertig sind, müssen Sie xx.xx.xx.xxx im Code durch die IP-Adressen ersetzen, denen Sie Zugriff gewähren möchten.

Wenn Sie auch Ihr Netzwerk ändern, müssen Sie auf Ihre Site-Dateien zugreifen und die neue IP hinzufügen, um sich bei der Site anmelden zu können.

Wenn nun ein Benutzer, dessen IP nicht auf den wp-admin zugreifen darf, versucht, darauf zuzugreifen, wird er auf eine Verbotene Fehlermeldung ähnlich der folgenden Abbildung stoßen.

9. Deaktivieren Sie Fehler auf der Anmeldeseite

WordPress zeigt standardmäßig Fehler auf der Anmeldeseite an, wenn ein Benutzer versucht, sich mit falschen Anmeldeinformationen bei der Website anzumelden. Einige Beispiele für diese Fehlermeldungen sind:

  • FEHLER: Ungültiger Benutzername. Passwort vergessen?
  • FEHLER: Falsches Passwort. Passwort vergessen?

Wenn solche Nachrichten gerendert werden, liefern sie tatsächlich Hinweise auf die falschen Anmeldedaten, und das würde bedeuten, dass einem Hacker nur ein Detail bleibt, das er herausfinden müsste. Beispielsweise ist die zweite Nachricht ein Hinweis darauf, dass das Passwort falsch ist. Der Hacker müsste daher nur das Passwort herausfinden, um Zugriff auf die Website zu erhalten.

Um diese Fehlermeldungen zu deaktivieren, müssen Sie den folgenden Code in die Datei functions.php im Design einfügen:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Wenn ein Benutzer nun versucht, sich mit falschen Anmeldedaten bei der Site anzumelden, wird keine Fehlermeldung angezeigt. Nachfolgend eine beispielhafte Darstellung dazu:

10. Verwendung eines Sicherheits-Plugins

WordPress-Sicherheits-Plugins helfen bei der Reduzierung von Sicherheitsbedrohungen auf Ihrer Website. Einige dieser Sicherheits-Plugins bieten Funktionen wie das Hinzufügen von reCaptcha, IP-Beschränkung und vieles mehr.

Es ist daher wichtig, dass Sie die Verwendung eines Sicherheits-Plugins in Betracht ziehen, um die Wahrscheinlichkeit von Angriffen innerhalb des Wp-Admin zu verringern. Einige Beispiele für Sicherheits-Plugins, die Sie verwenden können, sind: WordFence und Malcare.

11. Aktualisieren Sie WordPress auf die neueste Version

WordPress ist eine regelmäßig aktualisierte Software. Einige der Updates enthalten Sicherheitsfixes. Wenn es beispielsweise eine Sicherheitsfreigabe gab, die auf den Wp-Admin abzielte, und Sie in Ihrem Fall Ihre WordPress-Version nicht aktualisieren, würde dies bedeuten, dass Ihr Wp-Admin anfällig für Angriffe ist.

Es ist daher wichtig, Ihre WordPress-Version regelmäßig zu aktualisieren, um das Risiko von Exploits auf Ihrer Website zu verringern.

Fazit

Der WordPress-Administrator ist ein Hauptziel von Hackern, um die volle Kontrolle über Ihre Website zu erlangen. Daher ist es wichtig, dass Sie den WordPress-Adminbereich Ihrer Website schützen.

In diesem Artikel haben wir eine Reihe von Möglichkeiten untersucht, die Sie verwenden können, um Ihren WordPress-Admin zu sichern. Wir hoffen, dass der Artikel informativ und hilfreich ist. Sollten Sie Fragen oder Anregungen haben, nutzen Sie bitte den Kommentarbereich unten.