0351 16056061 | info@stachowitz-medien.de
WordPress-Login umbenennen
Angriffe auf Blogs oder Websites, welche mit WordPress betrieben werden, sind nichts Neues. Doch der Schaden, der dann oftmals entsteht, ist für den Nutzer mit viel Arbeit verbunden, um die Daten wieder herzustellen.
WordPress-Login begrenzen
Das Plug-In Limit Login-Attempts beschränkt deine Anmeldeversuche im Blog, doch es gibt noch eine Möglichkeit, das Blog anzugreifen. Durch die Datei wp-login.php selbst lassen sich Änderungen vornehmen, um dem Nutzer zu schaden.
WordPress-Login umbenennen
Hier hilft das Plug-In Rename WP-Login.php. Dieses Plug-In ermöglicht es, die Datei wp-login.php und das dahinterliegende Verzeichnis /wp-admin/ so zu verändern, dass ein Angriff nicht mehr möglich ist. Der Hacker sieht diese Änderungen nicht, sondern geht davon aus, dass die Datei auch auf dem Server liegt. Das Plug-In fängt die Aufrufe der wp-login.php ab und leitet diese um oder gibt eine entsprechende Fehlermeldung aus.
Das Plug-In vergibt einen Dateinamen, der nur virtuell genutzt wird. Von Außen sind diese Änderungen nicht zu erkennen, sondern man geht davon aus, dass die Datei tatsächlich umbenannt wurde. Deinstalliert man das Plug-In wieder, ist alles wieder im Urzustand. Ein nettes Plug-In, um die Sicherheit bei WordPress weiter zu erhöhen.
Verdeckter Login
Eine weitere Möglichkeit, dem Hacker das Leben schwer zu machen, ist ein verdeckter Login. Dazu musst das Plugin WPS-Hide Login installiert werden. Dieses Plugin hat einen sehr guten Support. Wer versucht, die wp-admin in der URL aufzurufen, bekommt eine Fehlermeldung. Es ist zu empfehlen, einen Namen für die Anmeldeseite zu nutzen, der nicht im Bezug zum Blog steht. Anmeldebegriffe wie „anmelden“ oder „login“ kennen Hacker ebenso. Nutze also einen Namen, den nur du kennst. Eine Zahlen-Buchstaben-Kombination ist sinnvoll. Speichere dann den Link zu deinem Blog als neues Lesezeichen, damit du es nicht vergisst!
SSL-Verschlüsselung hilft ebenso
Eine weitere Hilfe ist die Verschlüsselung per SSL. Diese Verschlüsselung kann mit Hilfe eines Zertifikates, welches beim Hoster erworben werden kann, umgesetzt werden. Zudem muss in der wp-config.php eine kleine Anpassung vorgenommen werden. Trage dazu folgenden Code in die Datei ein. Speichern nicht vergessen.
//for just the login define('FORCE_SSL_LOGIN', true); //for the whole admin define('FORCE_SSL_ADMIN', true);
Wer diese Verschlüsselung nicht hat, der öffnet dem Hacker alle Tore, um die Passworte auslesen zu können.
Wie erkenne ich, ob ich eine SSL-Verbindung habe?
Zu erkennen ist dieses an der Internetadresse, die mit https beginnt. Das „s“ steht für Secure, also Sicherheit. Erscheint dieses beim Aufrufen deiner URL nicht, gibt es auch kein entsprechendes Zertifikat. Frage bei deinem Hoster nach. Er ist in der Regel auch behilflich bei der Einrichtung. Dein Webdesigner weiß in der Regel auch, wie eine SSL-Verbindung einzurichten ist.
Das Plug-In “Rename WP-Login.php“ ansich finde ich sehr gut, ALLERDINGS mit einem riesen Haken: Der .htaccess-Schutz entfällt!
Dadurch ist dieses Plug-In für mich leider nicht zu gebrauchen.
SSL würde ich heute eh jedem empfehlen, da zumindest ich zuhäufig in mir nicht vertrauten Netzwerken/ WLANs unterwegs bin. Habe meinen Blog per htaccess zusätzlich zum eigentlichen Login abgesichert und seit dem ist Ruhe!
Beim Verschieben des Login-Pfades aber bitte daran denken, diesen dann nicht auf der Seite zu verlinken. Leider auch schon so gesehen 😀