WordPress Admin-Bereich zusätzlich absichern

Wer einen Blog oder eine Webseite auf Basis eines anderen CMS (Content Management Systems) hat, sollte den Admin-Bereich zusätzlich absichern.

Dazu kann man die .htaccess in Verbindung mit der .htpasswd verwenden und so ein zusätzliches Passwort abfragen.

Der Vorteil dabei ist, dass der “Angreifer” noch vor der eigentlichen Authentifizierung im Admin-Bereich einen beliebigen (vorher festgelegten) Usernamen und Passwort eingeben muss. So wird die WordPress-Datenbank nicht belastet.

Die Kollegen von Playground beschreiben das Verfahren sehr detailliert:

Initiative: Mehr Sicherheit für WordPress durch den “Admin”-Schutz

Das Verfahren lässt sich auch auf andere Installation anwenden, so muss lediglich der Ordnername angepasst werden. Bei Joomla zum Beispiel ist es “Administrator” statt “wp-admin”.

WordPress Sicherheitsplugins

Zusätzlich dazu, gibt es noch Sicherheitsplugins, die zum Beispiel eine IP-Adresse nach X ungültigen Anmeldeversuchen sperren. Das wäre zum Beispiel Limit Login Attempts. Das Plugin bietet auch die Funktionalität den Admin über fehlgeschlagene Anmeldeversuche per E-Mail zu informieren.

In Kombination der beiden Methoden hat man eine gute Security-Grundlage geschaffen. Doch bedenkt: 100%ige Sicherheit gibt es leider nicht.

WordPress Admin-Bereich zusätzlich absichern 5.00/5 (100.00%) / 4

Kommentare

  1. “Limit Login Attempts” kann ich auch empfehlen, da es auch so einfach ist. Dachte nicht, dass es bei mir ein mögliches Risiko ist, aber hab sogar schon eine Warn-Email bekommen, dass sich da wer versucht hat einzuloggen. :o
    Man hat davor garkeinen Anhaltspunkt, wie es um den eigenen Blog steht. Oder sobald es halt zu spät ist.

    Die Frage wär natürlich, ob das Profis nicht einfach umgehen können. Einfach mit ein paar Proxy, aber zumindest macht man ihnen das Leben so schwerer. ;)

  2. Hallo,
    ich habe vor kurzem auch dieses Plugin im Einsatz gehabt, habe es aber wieder deaktiviert, da ich mich einmal ausgesperrt hatte, weil es mit dem Passwort nicht klappen wollte. Aber ansonsten finde ich das Plugin recht gut und das sorgt für die nötige Sicherheit von WordPress.

  3. Als wir uns bei unserer Webseite für WordPress entschieden haben, war uns gar nicht klar, wie sehr das wohl Hacker anzieht. Was ich da allerdings in den letzten Tagen so lese… Na gut, man muss sich halt nun mit der Materie auseinander setzen. Deswegen gestern gleich mal dieses Plugin installiert. Heute bereits die erste Mail im Posteingang, dass ne IP gesperrt wurde. Hätte ich nie gedacht.

    Werde wohl die hier empfohlene Technik auch noch mit einbauen. Verstehe eh nicht, warum das nicht gleich so umgesetzt wurde. Der Adminbereich unserer halbdynamischen “alten” Seite war auf die gleiche Weise abgesichert. Hatten da über Jahre hinweg nie Probleme gehabt.

  4. Ich nutze bei mir “Lockdown WP Admin” als Plugin zum Ändern der Admin URL. Ist wirklich gut um diese Versuche zu unterbinden.

  5. Hallo,

    ich habe mich mittlerwele für einen .htaccess-Schutz und für “Limit Login Attempts” entschieden. Nachdemm ich ständig Mails bekommen habe, dass jemand versucht hat, sich in dem Adminbereich einzuloggen, hatte ich die Nase voll und habe den Login noch zusätzlich mit htaccess geschützt.

    Viele Grüße

  6. Das sollte inzwischen zum standart werden. Die Angriffe auf WordPress und gerade auf den Adminbereich werden immer mehr.

  7. Man kann seinen WP-Admin nicht sicher genug machen. Die Lösung mit htaccess halte ich für die Beste. Damit werden die ganzen Kiddies schnell ausgebremst.

  8. Limit Login Attempts ist übrigens nur begrenzt alleine wirksam, denn wenn da ein Botnetz am Werk ist, wo jeder Client nur einen Passwortversuch testet, kommt das Plugin erst gar nicht zum Einsatz – da sollte man dann mindestens auf den .htaccess-Schutz zusätzlich setzen.

  9. Vielen Dank mit dem Tipp des Limit Login Attempts, das kannte ich noch nicht und allein bei Login-Versuchen gewarnt zu werden hat schon mal was. Auch wenn die ganzen Sachen eh automatisiert sind und so ziemliches jedes Blog Angriffsziel ist.

  10. Der Tipp ist wirklich zu empfehlen!
    Den WordPress Admin Berreich mit einem sichereren Passwort seperat zum Login zu sichern ist soviel ich weiß die einfachste und sicherste Methode den Blog zu schützen. Ich mache das auch.
    Zusätzlich nutze ich ein Sicherheitsplugin, ob Plugin das hält was es verspricht weiß ich nicht, aber hauptsächlicht vertraue ich auch auf die 2 Passwortabfragen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>