WordPress-Login-Sicherheit: 5 einfache Schritte zum Sichern Ihrer Login-Seite
Veröffentlicht: 2021-10-20Du fragst dich, ob du dir Sorgen um die WordPress-Login-Sicherheit machen solltest?
WordPress ist das weltweit beliebteste CMS, weil es sehr einfach ist, damit eine Website zu erstellen. Obwohl es sich um ein kostenloses CMS handelt, ist ein Preis zu zahlen. WordPress ist extrem vorhersehbar, was es manchmal zu einem leichten Ziel macht.
Nehmen Sie zum Beispiel die Anmeldeseite.
Jede WordPress-Website hat dieselbe Anmeldeseite (/wp-admin.com oder /wp-login.php). Kombinieren Sie Vorhersehbarkeit mit der menschlichen Vorliebe für die Verwendung schwacher Anmeldeinformationen, und die Seite wird zu einem verlockenden Ziel für Hacker.
Sicherheitsexperten sagen, dass die Anmeldeseite die anfälligste Seite einer Website ist. Jeden Tag setzen Hacker Bots ein, um Brute-Force-Angriffe auf diese Seite durchzuführen. Indem sie Ihre Anmeldeinformationen herausfinden, können sie problemlos auf Ihr CMS zugreifen. Sie müssen also alles in Ihrer Macht Stehende tun, um es vor diesen ungebetenen Gästen zu schützen.
In diesem Artikel zeigen wir Ihnen fünf fortgeschrittene Methoden zur Verbesserung der WordPress-Anmeldesicherheit und zur Verhinderung von Hackerangriffen.
So sichern Sie eine WordPress-Anmeldeseite im Jahr 2022
Es gibt viele schlechte Ratschläge im Bereich der Cybersicherheit. Das meiste davon zielt darauf ab, Menschen in Angst zu versetzen und sie dazu zu bringen, zwanghaften Entscheidungen nachzugeben. Anstatt den Lärm zu verstärken, zeigen wir Ihnen in diesem Artikel Methoden, die tatsächlich funktionieren. Jene sind:
- URL der Anmeldeseite ändern
- Implementieren Sie die Zwei-Faktor-Authentifizierung
- Begrenzen Sie fehlgeschlagene Anmeldeversuche
- Erkennung des Benutzernamens verhindern
- Verwenden Sie die automatische Abmeldung
Sie müssen bemerkt haben, dass wir die Durchsetzung starker Passwörter und die Installation von SSL-Zertifikaten nicht berücksichtigt haben. Das liegt daran, dass es eine Selbstverständlichkeit ist. Wir hoffen, dass Sie diese bereits verwenden. Sehen Sie sich unsere anderen Anleitungen an, wie Sie das erledigen können.
Hinweis: Um die unten genannten Maßnahmen durchzuführen, müssen Sie das eine oder andere Plugin installieren. Und wir wissen, dass selbst die besten Plugins einen Ausfall verursachen können. Machen Sie also ein Backup Ihrer Website, bevor Sie fortfahren.
Nun, fangen wir an:
1. URL der Anmeldeseite ändern
Wie wir am Anfang des Artikels gesagt haben, sieht die Standard-WordPress-Anmeldeseite so aus:
-
www.website.com/wp-admin/ -
www.website.com/wp-login.php/
Jeder kennt es, einschließlich Hacker, die Bots entwerfen, die auf WordPress-Anmeldeseiten abzielen. Und da 59 % der Amerikaner [1] schwache Passwörter verwenden, ist es viel zu einfach, eine Website zu hacken , indem man die Anmeldeseite brutal erzwingt .
Eine Möglichkeit, Ihre Anmeldeseite zu schützen, besteht darin, die URL zu ändern.
Das Erstellen einer neuen benutzerdefinierten Anmeldeseiten-URL ist einfach. Es gibt eine Reihe von Plugins, mit denen Sie dies mit ein paar Klicks tun können.
Wir werden das WPS Hide Login-Plugin verwenden, um den Prozess zu demonstrieren, aber wenn Sie eines der anderen Plugins bevorzugen, fahren Sie fort. Die Schritte werden gleichermaßen einfach und schnell sein.
So ändern Sie Ihre WordPress-Anmelde-URL
Installieren und aktivieren Sie WPS Hide Login. Gehen Sie zu Einstellungen → WPS Anmeldung ausblenden .
Scrollen Sie zum Ende der Seite nach unten, fügen Sie die neue URL in den Abschnitt Anmelde-URL ein und klicken Sie auf Änderungen speichern .
Versuchen Sie, sich mit der neuen URL anzumelden. Vergessen Sie nicht, es mit Ihren Teamkollegen zu teilen.
Wenn Sie Hilfe benötigen, finden Sie hier unsere spezielle Anleitung: So ändern Sie die URL Ihrer WordPress-Anmeldeseite.
2. Implementieren Sie die Zwei-Faktor-Authentifizierung
Sie müssen bei der Verwendung von Facebook und Gmail auf die Zwei-Faktor-Authentifizierung gestoßen sein. Die Dienste senden normalerweise einen eindeutigen Code an Ihre registrierte Handynummer, wenn Sie versuchen, sich bei Ihrem Konto anzumelden. Diese Sicherheitsmaßnahme wird implementiert, um sicherzustellen, dass nur der Besitzer des Kontos darauf zugreifen kann. Selbst wenn Hacker Ihre Zugangsdaten in die Finger bekommen könnten, gibt es keine Möglichkeit, den eindeutigen Code zu stehlen, der an Ihre registrierte Handynummer gesendet wird.
Die Zwei-Faktor-Authentifizierung kann auch auf Ihre WordPress-Website angewendet werden. Es fügt der Anmeldeseite eine Sicherheitsebene hinzu. Alles, was Sie tun müssen, ist, eines der folgenden Plugins zu installieren:
- Google Authenticator von miniOrange
- Google Authenticator – Zwei-Faktor-Authentifizierung (2FA)
- WP 2FA von WP White Security
Das Einrichten eines Zwei-Faktor-Authentifizierungs-Plugins ist sehr einfach. Wir verwenden den Google Authenticator von miniOrange, um Ihnen den Einrichtungsprozess zu zeigen.
So implementieren Sie die Zwei-Faktor-Authentifizierung
Installieren Sie den Google Authenticator von miniOrange auf Ihrer WordPress-Anmeldeseite. Sobald Sie das Plugin aktivieren, erscheint ein Setup-Widget. Wählen Sie die erste Option, dh Google Authenticator .
Laden Sie als Nächstes die Google Authenticator-App auf Ihr Smartphone herunter. Öffnen Sie die App und scannen Sie den QR-Code .
Die App generiert einen Code . Geben Sie es im Setup-Widget ein und klicken Sie auf Speichern .
Die 2FA-WordPress-Anmeldesicherheit ist jetzt auf Ihrer Anmeldeseite aktiv.
3. Begrenzen Sie fehlgeschlagene Anmeldeversuche
WordPress ermöglicht seinen Benutzern unbegrenzte Anmeldeversuche. Das mag harmlos klingen, ist aber ehrlich gesagt eine eklatante Sicherheitslücke.
Unbegrenzte Anmeldeversuche ermöglichen Hackern Brute-Force-Angriffe. Bei dieser Art von Angriff setzen Hacker Bots ein, um die richtige Kombination aus Benutzername und Passwort zu finden. Die Bots scheitern mehrmals, bevor sie auf die richtigen Anmeldeinformationen stoßen. Eine der effektivsten Möglichkeiten, Bot-Angriffen entgegenzuwirken, besteht darin, Anmeldeversuche zu begrenzen.
Die folgenden Plugins helfen Ihnen dabei:
- Anmeldeversuche begrenzen Neu geladen
- Anmeldung mit WPS-Limit
- WP-Limit-Anmeldeversuche von Arshid
So begrenzen Sie fehlgeschlagene Anmeldeversuche
Installieren Sie das Plugin und gehen Sie dann zu Anmeldeversuche beschränken → Einstellungen → Lokale App . Hier können Sie einstellen, wie oft Anmeldeversuche auf Ihrer Website erlaubt sein sollen. Und wie lange jemand nach dieser Anzahl von Anmeldeversuchen gesperrt bleibt.
4. Verhindern Sie die Entdeckung des Benutzernamens
Normalerweise wird der Benutzername als weniger wichtig angesehen als das Passwort. Es handelt sich um eine öffentlich zugängliche Aufzeichnung, und deshalb gehen wir davon aus, dass sie von geringem Wert sein muss. Nicht wahr.
Der Benutzername macht die Hälfte Ihrer Anmeldeinformationen aus. Es muss ebenso wie das Passwort geschützt werden.
Auf einer WordPress-Website finden Sie Benutzernamen, die in Beiträgen und Autorenarchiven angezeigt werden. Glücklicherweise gibt es eine Möglichkeit, beide zu deaktivieren.
So deaktivieren Sie Autorenarchive
Dies kann mit Hilfe eines beliebigen SEO-Plugins erfolgen. Im folgenden Tutorial verwenden wir Yoast SEO, um es zu zeigen.
Gehen Sie zu SEO → Search Appearance → Archives und deaktivieren Sie dann die Author Archives. Klicken Sie auf Änderungen speichern .
So ändern Sie den Anzeigenamen
Der Anzeigename wird in veröffentlichten Artikeln und Kommentaren angezeigt. Standardmäßig sind der Anzeigename und der Benutzername (den Sie zum Anmelden verwenden) identisch. Um die Ermittlung des Benutzernamens zu verhindern, können Sie den Anzeigenamen ändern.
Gehen Sie zu Benutzer → Profil → Spitzname . Sie können den Anzeigenamen nicht direkt ändern. Ändern Sie stattdessen den Spitznamen. Wählen Sie dann den neuen Spitznamen aus dem Dropdown-Menü unten aus.
5. Automatische Abmeldung
Automatische Abmeldungen schützen Websites vor Schnüfflern. Wenn Benutzer Sitzungen unbeaufsichtigt lassen, beenden automatische Abmeldungen die Sitzung und schützen so die Website.
Das standardmäßige WordPress-Verhalten besteht darin, den Benutzer 48 Stunden nach Ablauf des Anmeldesitzungs-Cookies abzumelden. Und wenn der Benutzer das Kästchen „Remember Me“ aktiviert hat, bleiben Sie 14 Tage lang eingeloggt. Um Sitzungen aufgrund von Leerlaufzeiten zu beenden, müssen Sie ein separates Plugin installieren.
Die folgenden Plugins helfen Ihnen beim automatischen Abmelden, um inaktive Benutzersitzungen zu beenden:
- Inaktive Abmeldung
- iThemes-Sicherheit
So aktivieren Sie die automatische Abmeldung
Aktivieren Sie das Plugin und gehen Sie dann zu Einstellungen → Inaktive Abmeldung → Grundlegende Verwaltung . Stellen Sie die Uhr auf ein Leerlauf-Timeout ein. Es gibt auch Optionen für rollenbasierte Timeouts. Schau es dir an, wenn du magst.
Fazit zur WordPress-Login-Sicherheit
Alles bereit? Toll! Bevor Sie diese Seite verlassen, noch ein letzter Ratschlag: Die Verbesserung der WordPress-Login-Sicherheit bringt Sie der Sicherung Ihrer gesamten Website einen Schritt näher, was das Endziel ist!
Auch wenn Sie Maßnahmen ergriffen haben, um Hacker am Brute-Force-Eindringen in Ihre Website zu hindern, können sich die Eindringlinge dennoch über anfällige Themes und Plugins Zugang verschaffen. Halten Sie Ihre Seite daher rund um die Uhr aktuell.
Um Ihre Website weiter zu sichern, empfehlen wir Ihnen dringend, alle Sicherheitsmaßnahmen zu ergreifen, die in diesem Leitfaden behandelt werden: 10 wichtige WordPress-Sicherheitstipps.
Wenn Sie Fragen zum Umgang mit Ihrer WordPress-Login-Sicherheit haben, teilen Sie uns dies in den Kommentaren unten mit.