Adminbereich schützen

Der Administrationsbereich von WordPress-Projekten ist per Standardeinstellung über meine-domain. Um sich vor diesem und anderen Angriffsmustern zu schützen, können Sie den Standardpfad zu Ihrem WordPress-Admin-Login ändern bzw. Wir zeigen Ihnen, wie das funktioniert. Wenn Sie die Administrator-Anmeldedaten geändert haben, ist der WP-Admin-Login auch nur von Ihnen durchführbar. Mit der Brute-Force-Methode oder anderen Mustern könnte im Anschluss direkt der Angriff auf Ihren Login starten. Ein individueller WordPress-Admin-Login ist daher durchaus empfehlenswert — und schnell und unkompliziert mit entsprechenden WordPress- Plugins realisiert. Das leichtgewichtige und kostenlose Plugin Rename wp-login. Wir haben die WordPress-Erweiterung mit Version 5. Wie genau die Anpassung der WP-Login-Page funktioniert, lesen Sie im Folgenden. Im ersten Schritt installieren Sie das Sicherheits-Plugin über das Backend Ihres WordPress-Projekts. Sobald Sie das Plugin im Anschluss an die Installation über den gleichnamigen Button aktivieren, können Sie es im Seitenmenü aufrufen.

Adminbereich Sicherheit

Idealerweise hast du einen Hoster wie an Tag 1 beschrieben gewählt und dieser Punkt sollte kein Problem darstellen. Dies ist auch dann nötig, wenn dein Joomla! Falls es trotz allem zu einem Serverfehler kommt, musst du dich entweder beim Hoster informieren, wie diese Funktion aktiviert wird oder darauf verzichten. Ob die Option an oder aus sein soll ist Geschmackssache. Umlaute in der URL erlaubt sind. Wenn deaktiviert wandelt Joomla! Umlaute und Sonderzeichen automatisch um. So wird z. Diese Option ist sinnvoll bei kyrillischen Sprachen wie z. Als letzter Punkt in diesem Bereich kann der Seitentitel automatisch in den Browsertitel eingebaut werden. Meistens ist dies aus Seo-Gesichtspunkten nicht empfehlenswert. Vor dem Onlinegang empfiehlt es sich den Cache zu konfigurieren um die Performance zu verbessern. Während der Entwicklung und Webseitenerstellung sollte die Option aber deaktiviert bleiben um Änderungen sofort zu sehen. Der Wert sollte vor dem Onlinegang wieder reduziert werden.

Schutzmaßnahmen für den Adminbereich

Ein paar Zeilen Shell-Script oder welche Programmiersprache man favorisiert und schon kann eine Brute-Force-Attacke starten. Hierbei wird einfach immer wieder probiert ob eine Passwort-Nutzername-Kombination funktioniert. Ist, wie bei vielen WordPress-Installationen noch immer üblich, der User-Account admin im Einsatz, hat der Hacker schon mal den Benutzernamen und 1 von 2 Eingabefeldern sind somit korrekt ausgefüllt. Oft genug steht der Anmeldename sogar irgendwo im Artikel oder kommt euch dieser Satz nicht irgendwie bekannt vor? Juni durch den Benutzer admin veröffentlicht. In diesem Artikel möchte ich zwei wirklich einfache, aber dennoch effektive Methoden vorstellen, die zumindest eine Brute-Force-Attacke verhindern können. Zum einen durch eine zusätzliche serverseitige Passwortabfrage und zum anderen durch das WordPress-Plugin Limit Login Attempts. Das Brute-Force-Problem ist auf praktisch alle Content Management Systeme, Foren, Blogs usw. Kurz zurück zum Hacker-Script: Nun geht es an die Suche nach dem richtigen Passwort. Ein Wörterbuch, eine Liste mit Vor- und Kosenamen oder ein Lexikon als Datengrundlage und das bereits erwähnte Script, welches immer und immer wieder versucht mit Begriffen aus der Datenvorlage den Loginbereich zu überwinden, reichen oftmals aus.

Adminbereich absichern

Den genauen Datei-Pfad zur WordPress-Installation findest du bei deinem Hoster im Kundenmenu. Vermutlich an einer Stelle, die gut versteckt ist. Eine weitere Möglichkeit ist die Anzeige der PHP-Einstellungen deines Servers. Dazu erstellst du eine PHP-Datei und fügst folgenden Code ein:. Nun kannst du im Browser unter meineseite. Viel einfacher geht es natürlich mit einer neuen WordPress Version. Bei älteren WordPress Versionen kannst du z. Zuerst erstellt du die Datei. Darin wird der Benutzername und das Passwort für den serverseitigen Login gespeichert. Das geht ganz einfach mit dem Online-Tool Htpasswd Generator. Hier gibst du im ersten Feld den gewünschten Benutzernamen ein. Im nächsten Feld kannst Du dann dein Passwort eingeben. Der Benutzername bleibt im Klartext stehen. Die folgende Textzeile kannst du nun einfach kopieren und in die Datei. Im nächsten Schritt musst du die Datei. Diese findest du im Hauptverzeichnis deiner WordPress Installation. Also dort, wo auch die wp-config-Datei zu finden ist.