Verwenden auch Sie, so wie viele andere unbedarfte Internetnutzer, stets und überall den gleichen Login. Von der Bank über das E-Mail-Konto bis hin zum Shopping-Account, umständliche 30-stellige Passwörter möchte sich doch wirklich niemand merken – und schon gar nicht für so viele verschiedene Zugänge. Erkennen Sie sich wieder? Selbst, wenn Sie verschiedene Logins verwenden (sehr vorbildlich), sollten Sie dennoch die Absicherung Ihrer WordPress-Webseite nicht vernachlässigen.
Durch so genannte „Brute-Force-Angriffe“ (lesen Sie mehr dazu in meinem kostenlosen E-Book) versuchen Angreifer, sich Zugang zu Ihrer Webseite zu erhalten – wie Sie sich sicher denken, haben diese Angriffe nur ein Ziel: Schaden verbreiten.
Werden Sie Opfer eines solchen Angriffes, kann die Erreichbarkeit Ihrer Internetseite massiv gestört und eingeschränkt sein, denn der Server ist durch die Vielzahl der Anfragen überlastet. Haben Sie Ihren WordPress-Login in einem solchen Moment nicht umfänglich abgesichert, kann es sogar zu einem unerwünschten Hack kommen – der Angreifer erhält also tatsächlich den Zugang zu Ihrer Webseite.
Lassen wir es nicht so weit kommen, denn glücklicherweise haben Sie mehrere Möglichkeiten, sich gegen solche Bedrohungen zu schützen:
1. Wählen Sie ein sicheres Passwort
Sobald Sie Ihre WordPress-Webseite aufgesetzt (installiert) haben, sollten Sie umgehend das zum WordPress-Login gehörende Passwort ändern. Gleichzeitig empfehlen wir Ihnen dringend, die Änderung des Benutzernamens vom Standard „admin“ auf eine individuelle Bezeichnung. Nicht nur bei WordPress, sondern auch in anderen Systemen, Routern, etc. gilt der „admin“ als absoluter Standard-Benutzername. Das wissen auch potenzielle Angreifer und nutzen diese Tatsache gnadenlos aus.
2. Richten Sie ein extra Passwort über die .htaccess-Datei ein
Sofern Sie Zugang zur .htaccess-Date haben, sollten Sie unbedingt auch diese Möglichkeit nutzen, um IhrenWordPress-Login vor unerwünschten Zugriffen zu schützen. Hinterlegen Sie in dieser Datei daher ein zusätzliches Passwort. Dieses Vorgehen hat den Vorteil, dass der eigentliche WordPress-Login erst gar nicht aufgerufen werden kann. Somit verlaufen die Brute-Force-Angriffe ins Leere und Ihre Server überlasten nicht.
So richten Sie ein .htaccess-Passwort ein
Zunächst laden Sie über Ihren FTP-Client eine neue leere Datei in das Hauptverzeichnis. Diese Datei nennen Sie „.htpasswd“. Innerhalb dieses Verzeichnisses sollte bereits die .htaccess-Datei liegen. Sehen Sie diese? Dann wissen Sie, dass Sie im richtigen Ordner sind.
Nun laden Sie diese Datei, die Sie eben hochgeladen haben runter (klingt unlogisch, macht aber Sinn) und öffnen Sie mit einem Code-Editor, wie beispielsweise notepad++. Erstellen Sie nun mit einem Online htpasswd Generator einen Benutzernamen und ein Passwort.
Zu guter Letzt müssen Sie nun noch den Code für Ihre .htaccess-Datei erstellen. Dafür müssen Sie Ihren eigenen AuthUserFile-Pfad herausfinden. Doch keine Bange, auf „How to find the full path to a file using PHP“ finden Sie eine gute Anleitung.
Anschließend ändern Sie Ihren Pfad im nachstehenden Code und kopieren diesen in Ihre .htaccess-Datei.
<Files wp-login.php>
AuthType Basic
AuthName „My Protected Area“
AuthUserFile /path/to/.htpasswd
Require valid-user
</Files>
Sofern Sie den Code in Ihre bestehende .htaccess-Datei eingefügt haben und die .htpasswd-Datei mit den generierten Zugangsdaten im Hauptverzeichnis abgelegt haben, sehen Sie beim nächsten Login zukünftig die Passwort-Abfrage im Browser. Ihr Login ist nun doppelt geschützt.
Benötigen Sie weitere Informationen zur Einrichtung eines .htaccess-Passwortes für Ihre Webseite? Dann schauen Sie sich doch einmal den Artikel „Initiative: Mehr Sicherheit für WordPress durch den Admin-Schutz“ an.
3. Schränken Sie die Anzahl der Login-Versuche ein
Eine dritte Möglichkeit bietet die Begrenzung der Login-Versuche, denn standardmäßig sind diese bei WordPress unbegrenzt. Sie erkennen bestimmt das Sicherheitsrisiko dahinter: Unter diesen Umständen kann ein Angriff auf Ihre Login-Daten so lange stattfinden, bis der Hacker die Daten ergaunert hat.
Abhilfe schafft hier das Plugin „Limit Login Attempts“. Mittels dieser Erweiterung können Sie die Login-Versuche pro IP-Adresse auf beispielsweise 3 Versuche begrenzen. Wird die Anzahl der möglichen Versuche überschritten, sperrt das System die entsprechende IP-Adresse für den Zugriff auf Ihre Webseite für eine gewisse Zeitspanne, die Sie vorher in den Einstellungen festlegen können.
Fazit
Sie sehen also, es gibt einige Möglichkeiten, den WordPress-Login Ihrer Webseite vor unerlaubten Zugriffen zu schützen. Kennen Sie weitere Möglichkeiten, um eine WordPress-Webseite abzusichern? Lassen Sie uns teilhaben und nutzen Sie die Kommentarfunktion unter dem Artikel. Wir freuen uns sehr auf Ihre Tipps und Ihr Feedback.
0 Kommentare