WordPress-Login-Sicherheit: Sichern Sie ganz einfach Ihre Login-Seite - MalCare

Veröffentlicht: 2023-04-19

Wussten Sie, dass es pro Minute über 90.000 Hack-Angriffe auf WordPress-Websites gibt? Das ist eine extrem hohe Statistik, die wir einfach nicht ignorieren können.

Um WordPress-Sites zu hacken, zielen Hacker am häufigsten auf die Anmeldeseite ab. Dies liegt daran, dass ein Hacker durch den Zugriff auf Ihre Website über diese Seite die vollständige Kontrolle über Ihre Website erlangen kann.

Das daraus resultierende Chaos wird schwerwiegende Auswirkungen auf Ihre Website haben. Hacker können illegale Produkte unter Ihrem Namen verkaufen oder Ihre Besucher auf bösartige Websites leiten. Sie könnten Besucher auch dazu verleiten, doppelte Produkte zu kaufen oder Malware herunterzuladen. Dies kann Ihrem Unternehmen und Ihrem Ruf erheblichen Schaden zufügen.

Glücklicherweise können Sie verhindern, dass Hacker Ihre Website missbrauchen, indem Sie die Seite schützen, auf die es am meisten ankommt – die Anmeldeseite. Bei MalCare beschäftigen wir uns täglich mit diesen Hacks und möchten das Problem an alle WordPress-Benutzer richten. Hier zeigen wir Ihnen die besten Sicherheitsmaßnahmen, die Sie ergreifen können, um Ihre Anmeldeseite vor Hackern zu schützen. In unserem Leitfaden erfahren Sie auch, wie Sie Ihre Website vor Hackern schützen können.

TL;DR: Wenn Sie eine einfach zu implementierende WordPress-Sicherheitslösung benötigen, die Ihre Anmeldeseite automatisch schützt, installieren Sie unser MalCare Security Plugin. Es ermöglicht eine sofortige Begrenzung der Anmeldeversuche und bietet Ihnen auch Optionen zum Härten Ihrer WordPress-Website.

[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]

5 Schritte zum Sichern Ihrer WordPress-Anmeldeseite

Es gibt mehrere Maßnahmen, die Sie ergreifen können, um Ihre WordPress-Anmeldeseite zu sichern. Allerdings ist nicht jeder Schritt, den Sie unternehmen, effektiv. Manchmal fügen Sie nur Lärm hinzu, während Ihre Anmeldeseite anfällig bleibt.

In diesem Artikel konzentrieren wir uns auf 5 wichtige Schritte, die Sie unternehmen können, die sich als effektiv erwiesen haben und Ihre Website definitiv sicher halten.

Wir gehen davon aus, dass Sie SSL bereits auf Ihrer Website installiert haben. Wenn Sie keinen SSL-Schutz haben, müssen Sie ihn sofort von Ihrem Hosting-Provider oder einem SSL-Provider hinzufügen. Auf jeder Website sollte SSL als erste grundlegende Website-Sicherheitsmaßnahme installiert sein. Es verschlüsselt die zwischen Ihrer Website und Ihrem Server übertragenen Daten. Das bedeutet, dass Hacker Ihre Daten nicht stehlen können, wenn sie zwischen Ihrer Website und dem Hosting-Server ausgetauscht werden. Daher werden Hacker, die versuchen, Benutzeranmeldeinformationen von der Anmeldeseite zu stehlen, daran gehindert.

1. Verwenden starker Benutzernamen und Passwörter zum Sichern einer Anmeldeseite

Beim Erstellen von Benutzerkonten auf WordPress-Sites neigen die Leute dazu, etwas zu verwenden, das sie sich leicht merken können oder das sie für jedes andere Konto verwendet haben. Das Problem dabei ist, dass es die Arbeit eines Hackers so viel einfacher macht.

Erstens verwenden Hacker eine Technik namens Brute Force, bei der sie versuchen, verschiedene Benutzernamen und Passwörter auszuprobieren, um zu versuchen, sich Zugang zu Ihrem Konto zu verschaffen. Sie tun dies, indem sie automatisierte Bots und Algorithmen verwenden, die in wenigen Sekunden Tausende von Versuchen durchführen können. Wenn Sie einfache Passwörter wie „Passwort123“ verwenden, kann ein Bot es bei den ersten Versuchen erraten.

Zweitens, wenn Sie für alle Ihre Konten dieselben Anmeldeinformationen verwenden, bedeutet dies Probleme. Es gab so viele Datenschutzverletzungen von Top-Unternehmen, und allein im Jahr 2019 wurden 4,1 Milliarden Datensätze aufgedeckt. Wenn Ihr Benutzername und Ihr Passwort beispielsweise auf einer Shopping-Website gestohlen wurden, können Hacker damit versuchen, andere Konten von Ihnen zu hacken, z. B. Ihre E-Mail-Adresse, Ihr Internet-Banking oder Ihre WordPress-Site.

Ihre Admin-Anmeldedaten sind wie die Schlüssel zu Ihrem Zuhause oder Büro. Aus diesem Grund besteht der erste Schritt zur Anmeldesicherheit darin, solide Benutzernamen und Passwörter zu verwenden.

  • Wir empfehlen, niemals den Standardbenutzernamen „admin“ zu verwenden. Wenn der Name Ihrer Website thefirstexample.com lautet, machen Sie Ihren Admin-Benutzernamen nicht zu „thefirstexample“. Dies sind die ersten paar Benutzernamen, die Hacker auf dem Anmeldebildschirm versuchen. Verwenden Sie stattdessen ungewöhnliche und einzigartige, die für niemanden schwer zu erraten sind.
  • Wenn es um Passwörter geht, müssen Sie eines verwenden, das für niemanden schwer zu erraten ist. Wir empfehlen die Verwendung einer Passphrase in Kombination mit Symbolen und Ziffern. Das macht Ihr Passwort wirklich stark.

Während Sie Ihr Passwort erstellen, zeigt WordPress an, wie schwach oder stark Ihr Passwort ist. Um Ihnen ein Beispiel zu geben, haben wir Folgendes in unserem WordPress-Admin-Konto erstellt:

Wordpress schwaches passwort

WordPress hat angegeben, dass das Passwort sehr schwach ist. Also haben wir unser Spiel damit verbessert:

starkes passwort wordpress

Da Ihre WordPress-Website schließlich ein wertvolles Gut ist, denken wir, dass sie ein einzigartiges Passwort verdient. Denken Sie sich eine aus, die Sie auf keiner anderen Website verwenden.

Jetzt wissen Sie, dass Ihre Anmeldeinformationen sicher sind. Wenn Sie mehrere Benutzer auf Ihrer WordPress-Site haben, ist es wichtig, dass alle diese Empfehlungen befolgen, da dies ein sehr wichtiger Schritt zum Schutz Ihrer WordPress-Anmeldeseite ist.

2. Begrenzen Sie die Anzahl der Anmeldeversuche für mehr Sicherheit

Standardmäßig erlaubt WordPress eine unbegrenzte Anzahl von Anmeldeversuchen. Hacker nutzen diese Funktion durch Brute-Force-Angriffe aus. Sie können einen Brute-Force-Schutz erhalten, indem Sie einfach die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, die einem Benutzer gewährt werden.

Sie haben diese Eingabeaufforderung vielleicht schon gesehen, wenn Sie auf einer Website, insbesondere bei Online-Banking, ein falsches Passwort eingegeben haben:

fehlgeschlagene Anmeldeversuche

Dies liegt daran, dass die Website begrenzte Anmeldeversuche implementiert hat. Ein Benutzer hat drei Möglichkeiten, die richtigen Anmeldeinformationen einzugeben, um auf sein Konto zuzugreifen. Nach drei Fehlversuchen würden sie von ihrem Konto gesperrt und müssten die Option „Passwort vergessen“ verwenden.

Sie können diese Funktion auf zwei Arten implementieren:

  • Verwenden eines Plugins – Wir empfehlen das MalCare-Sicherheits-Plugin. Nach der Installation wird automatisch ein begrenzter WordPress-Anmeldeschutz implementiert. Das Plugin bietet Ihnen auch Captcha-basierten Schutz, der verhindert, dass bösartige Bots auf Ihre Website zugreifen.
  • Manuell – Um die Anzahl der Anmeldeversuche manuell zu begrenzen, müssen Sie auf Ihre Datei functions.php zugreifen. Sie müssen eine WordPress-Aktion und einen Hook-Filter mit einer entsprechenden Callback-Funktion hinzufügen. Diese Methode ist technisch und riskant. Wenn Sie mit dem Codieren nicht vertraut sind, sollten Sie dies am besten nicht versuchen.

Mit diesen beiden Maßnahmen hat Ihre WordPress-Website die grundlegenden Sicherheitsmaßnahmen für Ihre Anmeldeseite getroffen. Jetzt können wir zu fortgeschritteneren Maßnahmen übergehen.

[ss_click_to_tweet tweet=“WordPress erlaubt standardmäßig eine unbegrenzte Anzahl von Anmeldeversuchen. Verwenden Sie MalCare, um begrenzte Anmeldeversuche automatisch zu implementieren.“ content="WordPress erlaubt standardmäßig eine unbegrenzte Anzahl von Anmeldeversuchen. Verwenden Sie MalCare, um begrenzte Anmeldeversuche automatisch zu implementieren.“ style="default"]

3. Verwenden der 2-Faktor-Authentifizierung für stärkere Anmeldesicherheit

Sie müssen bemerkt haben, dass Sie beim Versuch, sich bei Ihrem Google Mail-Konto anzumelden, zwei Schritte ausführen müssen.

Schritt eins beinhaltet die Eingabe Ihrer Anmeldeinformationen. Im zweiten Schritt sendet Ihnen Google Mail einen Bestätigungscode an Ihre registrierte Telefonnummer oder E-Mail-Adresse. Danach müssen Sie diese Nummer in Ihrem Google Mail-Konto eingeben, um auf Ihre E-Mails zuzugreifen. Dies ist die Zwei-Schritt-Verifizierung oder Zwei-Faktor-Authentifizierung.

Zwei-Faktor-Verifizierung für Login-Sicherheit

Um sicherzustellen, dass der Benutzer, der auf das Konto zugreift, authentisch ist, verwendet der Prozess reguläre Anmeldeinformationen plus ein Einmalkennwort (OTP), das in Echtzeit generiert wird.

Selbst wenn also ein Hacker Ihre Zugangsdaten erraten sollte, müsste er immer noch den an Sie gesendeten einmaligen Code eingeben, und Sie können Ihre WordPress-Anmeldeseite einfach sichern.

Sie können die 2-Faktor-Authentifizierung mithilfe eines Plugins implementieren. Zwei Plugins, die wir empfehlen, sind Google Authenticator 2FA und Two Factor Authentication.

Hinweis: Wenn Sie das MalCare-Plugin verwenden, wird die 2-Faktor-Authentifizierung bald verfügbar sein.

4. Geoblocking – Verhindern Sie, dass ein Hacker Ihre WordPress-Website erreicht

Wenn Sie eine WordPress-Site einrichten, begrüßen Sie automatisch Datenverkehr aus der ganzen Welt, es sei denn, Sie konfigurieren sie für eine bestimmte Region.

Um zu sehen, woher Ihr Traffic stammt, müssen Sie sich bei Google Analytics anmelden. Auf dem Dashboard sehen Sie die Option „Wo sind Ihre Benutzer?“. Wenn Sie auf „Standortübersicht“ klicken, können Sie genau sehen, woher Ihre Besucher kommen.

Primärverkehr des Blogs

Alternativ zeigt Ihnen ein Plugin wie MalCare auch, woher Ihr Traffic stammt.

Wir sind oft auf Website-Eigentümer gestoßen, die festgestellt haben, dass sie unerwünschten Traffic aus bestimmten Ländern erhalten.

Um Ihnen zu zeigen, was wir meinen, nehmen wir ein Beispiel. Angenommen, Sie haben eine Website, die nur das Vereinigte Königreich bedient – ​​example.co.uk. Aber wenn Sie Analytics überprüfen, sehen Sie, dass ein Großteil des Datenverkehrs Ihrer Website aus anderen Ländern wie Russland, Singapur und den Vereinigten Staaten stammt. Sie sollten es als rote Flagge betrachten.

Dies ist nur ein Hinweis auf Hacker, Sie können das MalCare-Plugin verwenden, um zu sehen, ob der Datenverkehr tatsächlich bösartig ist oder nicht.

Greifen Sie nach der Installation des MalCare-Plugins auf das Dashboard zu. Unter „Sicherheit“ sehen Sie die Anzahl der Anmeldeversuche auf Ihrer Website und wie viele das Plugin blockiert hat.

MalCare-Anmeldeanfragen

Wenn Sie auf „Mehr anzeigen“ klicken, zeigen Ihnen die Prüfprotokolle genau, woher der Datenverkehr stammt und welcher Benutzername versucht wurde.

Malcare begrenzt Anmeldeversuche für eine bessere WordPress-Sicherheit

Wenn Sie der Meinung sind, dass solcher Datenverkehr ein unerwünschtes Risiko darstellt, können Sie einfach ganze Länder blockieren. Dafür bietet MalCare eine Option namens „Geoblocking“ an, die eine Sicherheitsebene hinzufügt, indem jede IP-Adresse aus dem von Ihnen ausgewählten Land blockiert wird. Hier ist wie:

  • Wählen Sie im Dashboard Ihre Website aus und klicken Sie dann auf „Geoblocking“.
malcare geoblocking
  • Wählen Sie als Nächstes aus dem Dropdown-Menü die Länder aus, die Sie blockieren möchten. Sobald Sie auf „Land sperren“ klicken, wird die Meldung „Ausgewählte Länder-IPs wurden erfolgreich gesperrt“ angezeigt.
Malcare Geoblocking

Geoblocking oder Länderblockierung hilft, das Risiko eines Hackerangriffs zu mindern. Es ist nicht ratsam, ganze Länder zu blockieren, da ein Teil des Datenverkehrs legitim sein könnte. Wenn Sie sich jedoch zu 100 % sicher sind, dass Sie keinen Datenverkehr aus diesem Land benötigen, blockieren Sie ihn am besten einfach, damit Sie Ihre WordPress-Anmeldeseite sichern können, indem Sie verhindern, dass ein Hacker darauf zugreift.

Lesen Sie auch: So beheben Sie Probleme mit der WordPress-Anmeldung, die nicht sicher ist

5. Automatische Abmeldung

Es ist nicht ungewöhnlich, die Angewohnheit zu haben, sich bei einem Konto anzumelden und es offen zu lassen. Möglicherweise schließen Sie den Browser, ohne sich von Konten abzumelden. Wenn Sie Ihr System unbeaufsichtigt lassen, könnte ein Hacker Ihren Browser erneut öffnen und wird automatisch bei Ihren Konten angemeldet.

Solche Gewohnheiten erhöhen das Risiko von Angriffen. Um solche Risiken zu mindern, implementieren viele Websites die „automatische Abmeldung“. Dies ist beim Online-Banking üblich. Wenn Sie für einen bestimmten Zeitraum inaktiv sind, werden Sie automatisch von der Website abgemeldet. Möglicherweise wird eine Eingabeaufforderung wie die folgende angezeigt:

Fehler, der zum Abmelden führt

Dies ist eine wesentliche Maßnahme, die Sie auf Ihrer WordPress-Website umsetzen können. Es stellt sicher, dass niemand ein angemeldetes Konto ausnutzen kann, während der Benutzer nicht in seinem System ist.

Diese Maßnahme wird besonders für Personen empfohlen, die remote oder auf ihren eigenen persönlichen Geräten arbeiten. Als Websitebesitzer können Sie niemals sicherstellen, dass er sich daran erinnert, sich abzumelden, wenn er inaktiv ist. Wenn sie einen öffentlichen Computer oder ein ungesichertes öffentliches WLAN verwenden, ist Ihre Website einem größeren Risiko ausgesetzt.

Im Gegensatz zu E-Banking-Diensten meldet WordPress Benutzer nicht automatisch ab, wenn sie inaktiv sind. Sie können diese Sicherheitsmaßnahme jedoch implementieren, indem Sie Plugins wie Bulletproof Security verwenden.

Das Plugin verfügt über eine Sicherheitsfunktion namens „Idle Session Logout“, die Sie aktivieren können. Sie können den Zeitraum der Inaktivität auswählen, nach dem ein Benutzer automatisch abgemeldet wird.

automatische Abmeldung

Diese Maßnahme schützt Ihre Website davor, in die falschen Hände zu geraten.

[ss_click_to_tweet tweet=“Ich habe meine WordPress-Anmeldeseite ganz einfach mit diesem Sicherheitsleitfaden von MalCare gesichert.“ content=“Ich habe meine WordPress-Anmeldeseite einfach mit diesem Sicherheitsleitfaden von MalCare gesichert.“ style="default"]

Fazit: Es ist nicht nur Ihre Login-Seite

Der Schutz einer Sicherheit Ihrer WordPress-Anmeldeseite bringt Sie einer sicheren WordPress-Website einen Schritt näher. Hacker jagen gerne Websites, die leicht zu hacken sind. Indem Sie Ihre Website also mit grundlegenden Maßnahmen schützen, werden Hacker es wahrscheinlich ein paar Mal versuchen und dann zu einem einfacheren Ziel übergehen.

Dies garantiert jedoch nicht, dass Hacker Ihre Website nicht hacken können. Hacker identifizieren und nutzen jede Schwachstelle, die sie auf Ihrer Website finden. Es könnte sich um ein neu installiertes Plugin handeln, das eine Sicherheitslücke aufweist. Möglicherweise hat ein Theme, das Sie vor langer Zeit installiert und vergessen haben, es zu aktualisieren, im Laufe der Zeit eine Schwachstelle entwickelt. Es gibt viele solcher Gelegenheiten, die Hacker nutzen.

Was Sie wirklich brauchen, ist ein umfassender Schutzplan. Wir empfehlen dringend, ein paar weitere Sicherheitsmaßnahmen wie IP-Blockierung zu ergreifen, die Website mit wp-config.php zu sichern, dieser vollständigen Anleitung zur WordPress-Sicherheit zu folgen und eines der besten WordPress-Sicherheits-Plugins zu verwenden – MalCare, das Ihre Website rund um die Uhr schützt. Sie erhalten Zugriff auf regelmäßige Scan-Berichte und können auch empfohlene WordPress-Härtungsmaßnahmen implementieren. Auf diese Weise wird es extrem schwer, in Ihre WordPress-Site einzudringen!


 Schützen Sie Ihre Website mit unserem MalCare Security Plugin !