Blog

WordPress Login absichern

WordPress Login absichern

Eine weitere Maßnahme, die äußerst nützlich ist um einen überwältigenden Großteil der Angriffsversuche zu vermeiden, ist die Adresse für den Zugriff auf das Backend (/wp-login.php) zu verändern. Kostenlos und unkompliziert mach dies das Plugin WPS Hide Login. Nach Installation und Aktivierung findet sich unter Einstellungen | Allgemein ein weiteres Eingabefeld, in dem eine (nahezu) beliebige Adresse für die Login-Maske gewählt werden kann. Diese sollte man idealerweise für sich behalten und nicht anschließend prominent auf der Webseite platzieren.

In Kombination mit einer WAF (s.o.) kann man anschließend einen Zugriff auf wp-login.php sogar als pauschal böse einstufen und die IP Adressen solcher Zugriffe sofort auf eine Blacklist setzen lassen.

Es muss allerdings nicht noch gesondert darauf hingewiesen werden, dass zudem die Verwendung von einfachen Passwörtern oder Benutzernamen wie “admin” von sich aus zu vermeiden sind.

Ein weiterer Sicherheitsmechanismus, der allerdings nicht ganz komfortabel ist, stellt die 2-Faktor Authentifizierung dar. Hierbei wird neben dem Nutzernamen und Passwort auch noch ein Zahlencode erforderlich, der mit einer App auf dem Smartphone erzeugt wird. Dies ist derzeit state-of-the-art im Bereich der Sicherheitstechnik und durchaus empfehlenswert. Wordfence bietet diese Technik in der kostenpflichtigen Variante an. Wer lieber auf kostenfreie Lösungen setzen möchte, ist mit dem Plugin Google Authenticator sehr gut bedient, das die gleichnamige Technik von Google nutzt, die bereits in vielen anderen Seiten und Anwendungen integriert ist.

Unkomfortabel ist diese Lösung dahingehend, dass ein Login nun wirklich jedes mal die Eingabe eines sich verändernden Codes erfordert, doch dieser Mehrwert an Sicherheit, sollte zumindest für den Administrator der Seite angezeigt sein.