In den letzten Tagen konnte ich bei einigen Kundenblogs wieder Attacken auf den Adminbereich „wp-admin“ von Wordpress erkennen. Ich verwende bei den meisten Blogs das Plugin Login-Lockdown, das nicht nur die erfolglosen Loginversuche mitschneidet, sondern auch das Login für eine IP sperrt, wenn eine bestimmte Anzahl an falschen Logins erfolgt ist. Die Anzahl der Logins und die Dauer der Sperrung kann man selbst festlegen, indem man die Einstellungen der Plugins im Adminbereich verändert. Auf diese Weise sieht man eben auch, ob ein Hacker sich mit einer [Brute-Force-Attacke->brute-force-angriff] Zugriff auf den Wordpress-Admin verschaffen möchte. Diese Technik wird übrigens auch verwendet, um die XML-RPC-Schnittstelle von Wordpress zu attakieren – aber dazu mehr in einem anderen Beitrag.
Ich habe nun nach einem Weg gesucht, um den Wordpress Login – also speziell die Daten wp-login.php im Ordner /wp-admin/zu schützen. Der einfachste Weg besteht darin, diese Datei einfach umzunennen. Da die Scripte der Hacker meistens direkt auf die Datei mit dem Namen wp-login.php losgehen, laufen die zukünftigen Attacken nach dem Umbenennen der Datei schonmal ins Leere. Um die Prozedur des Umnennens auch für normale Wordpress-Nutzer zu ermöglichen, gibt es ein Wordpress Plugin namens „rename wp-login„.
Kapitel in diesem Beitrag:
Funktionsweise von rename-wp-login
Dieses Plugin verändert jedoch nicht technisch gesehen den Namen der Datei sondern fängt URL-Aufrufe zur Datei ab und leitet sie dann entsprechend um bzw. gibt eine Fehlermeldung aus, wenn man die nicht mehr vorhandene „wp-login.php“ aufrufen möchte. Es ist schwer zu verstehen, aber man vergibt mit dem Plugin quasi einen neuen Dateinamen, der dann aber nur virtuell verwendet wird. Für die Hacker und andere Benutzer ist es aber nicht ersichtlich, sondern es sieht von aussen so aus, als wäre die Daten tatsächlich umbenannt. Das schöne an dem Plugin ist: Wenn man es deaktiviert, ist alles wieder beim alten und man muss nichts zurück umbenennen – also eine sehr nutzerfreundliche Möglichkeit, diese Sache durchzuführen.
Wordpress 4 Sicherheit: Training als Video-Workshop
Für alle die sich etwas tiefer in Wordpress einarbeiten möchten, kann ich das Videotraining von Galileo empfehlen. Dort ist auch ein komplettes Kapitel der Wordpress-Sicherheit gewidmet und dazu gibt es noch viele weitere Tipps, Tricks und Erklärungen auf Video, so dass man die einzelnen Schritte im WP-Admin direkt nachvollziehen kann.
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Seit 2012 betreibe ich meinen Blog als Sir Apfelot und helfe meinen Lesern bei technischen Problemen. In meiner Freizeit flitze ich auf elektrischen Einrädern, fotografiere mit meinem iPhone, klettere in den hessischen Bergen oder wandere mit meiner Familie. Meine Artikel behandeln Apple-Produkte, Drohnen-News und Lösungen für aktuelle Bugs.
Die Seite enthält Affiliate Links / Bilder: Amazon.de
Hi. Das sind 2 schöne Plugins die du hier vorstellst. Seit ein paar Tagen befasse ich mich mit der Sicherheit von Wordpress da auch ich immer wieder Zugriffe auf meine wp-login.php feststellen muss. Besonders das „rename wp-login“ klingt interessant, ich werde es mal ausprobieren. Danke für deine Tipps und einen schönen Blog hast du hier. Gruß Manuel.
….wie logge ich mich dann selbst noch als admin auf die wordpress-Seite ein?
Hallo Rolf! Du kannst dich dann über die neue (selbst vergebene) URL zum Admin einloggen. Die Zugangsdaten bleiben gleich, aber die Adresse des Adminbereichs ändert sich. Ich hoffe, du kommst rein. :-)
Toller Tipp über den ich da stolpere… und den ich direkt in meinen Blogs auch anwenden werde.
Hi Carola! Freut mich, wenn er dir hilft. Hier ist noch ein Tipp von der Sorte „Schnell erledigt mit Langzeitwirkung“: https://www.sir-apfelot.de/wordpress-ladezeit-in-20-sekunden-optimieren-leverage-browser-caching-683/
Spiele ich mittlerweile auch in jedes WP ein, das ich neu aufsetze. :)
Hallo,
super Sache das Plugin Rename wp-login.php. Ich habe noch eine .htpasswd in der .htaccess muss ich hier umbennen?
Danke und Grüße
Joachim
Hallo Joachim! Die .htpasswd ist aber keine Standard-Datei von Wordpress. Ich nehme an, die ist ein zusätzlicher Login-Schutz, der vor dem eigentlichen WP-Admin-Login erfolgt. In dem Fall musst du eigentlich nichts weiter umbenennen. Aber wie gesagt: Die .htpasswd kenne ich jetzt nicht im Detail und kann nur vermuten, dass nichts weiter nötig ist. Weißt du, wo die .htpasswd herkommt? Viele Grüße!
Jens
Hallo Jens,
völlig richtig es ist keine Standard-Datei, sondern eine zusätzliche Absicherung. Ein Anleitung findest Du hier unter Punkt 7.
http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/
Gruß
Joachim
Ach ja, die Anleitung von Sergej. Ja, die ist ganz gut, aber aus meiner Sicht schon was für paranoide Personen. Die Hälfte reicht in der Regel auch, um seinen Admin frei von Hackern zu halten. Das größte Einfallstor sind leider auch die nicht aktualisierten Plugins, die irgendwelche Sicherheitslücken aufweisen, die Hacker dann nutzen.
Ich habe es nochmals überprüft. Wenn ich das Plugin Rename wp-login.php aktiviere, funktioniert der Befehl
AuthName „Admin-Bereich“
AuthType Basic
AuthUserFile /Pfad-zu-deiner-datei-htpasswd/.htpasswd
require valid-user
nicht.
Ganz oben steht ja auch .
Meine Frage:
Wie müßte dann die Zeile richtig heissen, wenn ich auf einen Ordner im Plugin „Rename wp-login.php“ umstelle?
Vielen Dank
Joachim
Hi Joachim! Wieso möchtest du den Zusatzlogin mit .htaccess und .htpasswd ändern? Eigentlich sollte es weiterhin funktionieren, wenn du die .htpasswd nicht verschoben hast. Die Zeile in der .htaccess-Datei sagt dem Server ja nur, wo die Datei liegt und die muss nicht unbedingt im Ordner von „Rename wp-login.php“ liegen, sondern kann auch da bleiben, wo sie bisher ihre Dienst verrichtet hat. Wenn du trotzdem einen Fehler bekommst, muss irgendwo noch ein Fehler sein… ich kann mir das gerne anschauen, wenn du magst. Allerdings müsste ich dann mal auf den Server schauen… Viele Grüße! Jens
Vielen Dank für diesen tollen Tipp, funktioniert wunderbar und ich hoffe damit wenigstens die Angriffsversuche einschränken zu können. Daumen hoch für Deinen Blog, gefällt mir wirklich sehr gut.
Danke für dein Lob! Freut mich! :)
Hallo Sir Apfelot,
ich möchte bei einer Kundenseite eine besonders hohe Sicherheitsstufe einrichten mit htaccess-Schutz UND umbenannter Login-URL (Plugin „Rename WP-Login.php“).
Ich habe beides eingerichtet, aber wenn ich die umbenannte Login-URL aufrufe, kommt der htaccess-Wächter nicht. Was muss ich in der htaccess eintragen, damit man auch bei der neuen URL einen htaccess-Benutzernamen und -Passwort eintragen muss?
Hallo Michaela! Der .htaccess-Schutz gilt in der Regel für den kompletten wp-admin Ordner. Wenn du dich allerdings einmal in den htaccess-Schutz eingeloggt hast, dann wirst du eine Weile nicht mehr nach dem Login gefragt. Eventuell ist das der Fall, warum der Schutz nicht mehr greift. Wenn du es testen möchtest, rufst im Browser einfach ein neues „privates Fenster“ auf. In diesem sind keine Cookies und ähnliches vorhanden und du wirst behandelt, wie ein unbekannter Nutzer. Entsprechend sollte auch die Abfrage kommen.
Die beste Lösung wäre in deinem Fall aber vielleicht sowieso das Plugin „iThemes Security“. Damit kannst du beide Features mit einem Plugin realisieren, wenn ich mich nicht täusche. Es hat auch noch viele andere Vorteile, wie das Blocken von Brute-Force-Attacken und die Sperrung der XMLRPC Schnittstelle.
Ich hoffe, ich konnte dir helfen!
Hallo Sir Apfelot,
ich habe mir gerade Rename wp-login.php installiert und meine Url geändert. Wenn ich diese jetzt aufrufe, kommt folgende Fehlermeldung: Not Found
The requested URL was not found on this server.
Was habe ich denn da wieder falsch gemacht?
Viele Grüße
Sabine
Hallo Sabine! Ich schätze, du hast die Datei wp-login.php in irgendwas anderes umgenannt. Du musst für das Einloggen nun natürlich den neuen Namen der Datei eintragen. LG, Jens