Es gibt nichts Schlimmeres, als festzustellen, dass Ihre Website kompromittiert wurde. Der WordPress-Adminbereich ist der Haupteinstiegspunkt für Hacker und somit der kritischste Teil Ihrer Website, den es zu schützen gilt.
Wir wissen, dass es stressig sein kann, an Brute-Force-Angriffe oder Datendiebstahl zu denken. Viele Website-Besitzer befürchten, dass sie nicht über die technischen Fähigkeiten verfügen, um ihr Dashboard richtig abzusichern.
Die gute Nachricht ist, dass Sie kein Sicherheitsprofi sein müssen, um einen großen Einfluss zu erzielen. Aus unserer Erfahrung mit der Verwaltung Tausender von WordPress-Websites haben wir festgestellt, dass nur wenige einfache Änderungen ausreichen, um eine starke Verteidigung aufzubauen.
In diesem Leitfaden führen wir Sie durch die effektivsten Tipps zur Sicherung Ihres Admin-Bereichs. Diese einfachen Schritte geben Ihnen Sicherheit und halten Ihre Website sicher.
Wir werden viele Tipps behandeln, und Sie können die unten stehenden Schnelllinks verwenden, um zwischen ihnen zu springen:
- 1. Firewall verwenden
- 2. Passwortschutz für das WordPress-Admin-Verzeichnis
- 3. Verwenden Sie immer starke Passwörter
- 4. Verwenden Sie die Zwei-Faktor-Authentifizierung auf dem WordPress-Login-Bildschirm
- 5. Anmeldeversuche begrenzen
- 6. Anmeldezugriff auf IP-Adressen beschränken
- 7. Anmeldehinweise deaktivieren
- 8. Benutzer zur Verwendung starker Passwörter auffordern
- 9. Passwort für alle Benutzer zurücksetzen
- 10. WordPress aktuell halten
- 11. Benutzerdefinierte Anmelde- und Registrierungsseiten erstellen
- 12. WordPress-Benutzerrollen und Berechtigungen kennenlernen
- 13. Zugriff auf das WordPress-Dashboard einschränken
- 14. Abgemeldete inaktive Benutzer
- Häufig gestellte Fragen zur Absicherung des WordPress-Adminbereichs
- Zusätzliche Ressourcen für WordPress-Sicherheit
1. Firewall verwenden
Eine Website Application Firewall (WAF) überwacht den Datenverkehr Ihrer Website und blockiert verdächtige Anfragen, bevor sie Ihren Server erreichen können. Dies ist Ihre erste Verteidigungslinie gegen Hacking-Versuche.
Obwohl es mehrere WordPress-Firewall-Plugins gibt, empfehlen wir eine Firewall auf DNS-Ebene wie Cloudflare. Firewalls auf DNS-Ebene sind effektiver, da sie Bedrohungen am Netzwerkrand blockieren, sodass bösartiger Datenverkehr Ihre Website nie erreicht.
Bei WPBeginner verwenden wir den Enterprise-Plan von Cloudflare, um unsere Website vor Hacking-Versuchen, Malware und anderen bösartigen Aktivitäten zu schützen. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Artikel, wie Sie das kostenlose Cloudflare CDN für Ihre Website einrichten.
Eine weitere großartige Option ist Sucuri, das wir zuvor verwendet haben. Weitere Details finden Sie in unserem Artikel darüber, warum wir von Sucuri zu Cloudflare gewechselt haben.
2. Passwortschutz für das WordPress-Admin-Verzeichnis
Ein weiterer Tipp, der sich als äußerst effektiv erwiesen hat, ist das Hinzufügen eines Passwortschutzes für das WordPress-Admin-Verzeichnis. Dies fügt eine zweite Verteidigungsebene hinzu, die zwei separate Passwörter zum Zugriff auf Ihr Dashboard erfordert.
Sie können dies über Ihr WordPress-Webhosting-Kontrollfeld tun. Hier sind die Schritte für cPanel:
- Melden Sie sich bei Ihrem WordPress-Hosting-cPanel-Dashboard an und klicken Sie auf das Symbol „Verzeichnisschutz“.
- Wählen Sie Ihren
wp-admin-Ordner aus, der sich normalerweise im Verzeichnis/public_html/befindet. - Aktivieren Sie das Kontrollkästchen neben 'Dieses Verzeichnis mit einem Passwort schützen' und geben Sie ihm einen Namen.
- Klicken Sie auf „Speichern“ und gehen Sie dann zurück, um einen Benutzer mit einem neuen Benutzernamen und Passwort zu erstellen.
Jetzt sieht jeder, der versucht, auf Ihre Admin-Login-Seite zuzugreifen, zuerst eine Authentifizierungsaufforderung.
Dies blockiert die meisten automatisierten Bot-Angriffe.
Detailliertere Anweisungen finden Sie in unserem Leitfaden zum Schutz des WordPress-Admin-Verzeichnisses (wp-admin) mit einem Passwort. Bitte beachten Sie, dass diese Schritte für Hosts gelten, die cPanel verwenden. Wenn Sie ein anderes Control Panel verwenden, prüfen Sie die Dokumentation Ihres Hosts.
3. Verwenden Sie immer starke Passwörter
Sie müssen starke, komplexe Passwörter für alle Ihre WordPress-Konten verwenden. Schwache Passwörter sind einer der häufigsten Gründe, warum Websites gehackt werden.
Ein starkes Passwort verwendet eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (!, #, @, %, usw.). Je länger es ist, desto sicherer ist es.
Es ist fast unmöglich, sich Dutzende komplexer Passwörter zu merken. Deshalb nutzt unser gesamtes Team bei WPBeginner eine Passwort-Manager-App wie 1Password, um sicher eindeutige Passwörter für jeden Dienst zu generieren und zu speichern.
Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur besten Methode zur Verwaltung von Passwörtern für WordPress-Anfänger.
4. Verwenden Sie die Zwei-Faktor-Authentifizierung auf dem WordPress-Login-Bildschirm
Die Zwei-Schritt-Verifizierung, auch bekannt als Zwei-Faktor-Authentifizierung (2FA), fügt eine weitere kritische Sicherheitsebene hinzu. Wir verwenden 2FA nicht nur auf unseren WordPress-Websites, sondern auch auf all unseren Online-Konten, bei denen die Option verfügbar ist.
Nach der Eingabe Ihres Passworts müssen Sie auch einen zeitlich begrenzten Code eingeben, der von einer App auf Ihrem Telefon generiert wird, wie z. B. 1Password oder Authenticator. Selbst wenn ein Hacker Ihr Passwort stiehlt, kann er sich ohne Ihr Telefon nicht anmelden.
Für detaillierte Schritt-für-Schritt-Anleitungen siehe unseren Leitfaden zur Einrichtung der 2-Faktor-Authentifizierung in WordPress mit Google Authenticator: 2-Faktor-Authentifizierung in WordPress mit Google Authenticator einrichten.
5. Anmeldeversuche begrenzen
Standardmäßig erlaubt WordPress den Benutzern, sich beliebig oft anzumelden. Dies ermöglicht es Hackern, automatisierte Skripte zu verwenden, um Tausende von Passwortkombinationen in dem, was als „Brute-Force-Angriff“ bekannt ist, auszuprobieren.
Sie können dies leicht verhindern, indem Sie das Plugin Limit Login Attempts Reloaded installieren. Nach der Aktivierung gehen Sie zu Einstellungen » Limit Login Attempts, um zu konfigurieren, wie viele fehlgeschlagene Versuche erlaubt sind, bevor eine IP-Adresse vorübergehend gesperrt wird.
Detaillierte Anweisungen finden Sie in unserem Leitfaden zur Begrenzung von Anmeldeversuchen in WordPress.
Um mehr über das Plugin zu erfahren, können Sie auch unsere detaillierte Limit Login Attempts-Bewertung lesen.
6. Anmeldezugriff auf IP-Adressen beschränken
Warnung: Dies ist eine fortgeschrittene Technik und sollte nur verwendet werden, wenn Sie eine statische (feste) IP-Adresse haben. Die meisten Heiminternetverbindungen verwenden dynamische IPs, die sich regelmäßig ändern. Wenn Sie diese Methode mit einer dynamischen IP verwenden, sperren Sie sich selbst von Ihrer eigenen Website aus.
Wenn Sie eine feste IP-Adresse haben, können Sie den Zugriff auf Ihren Admin-Bereich auf diese Adresse beschränken. Fügen Sie einfach diesen Code zu Ihrer .htaccess-Datei hinzu:
Vergessen Sie nicht, die 'xx'-Werte durch Ihre eigene IP-Adresse zu ersetzen. Sie können Ihre aktuelle IP-Adresse leicht finden, indem Sie bei Google nach „Was ist meine IP-Adresse“ suchen. Wenn Sie mehr als eine IP-Adresse verwenden, stellen Sie sicher, dass Sie diese ebenfalls hinzufügen.
Detaillierte Anweisungen finden Sie in unserem Leitfaden zum Schränken des Zugriffs auf WordPress-Admin mit .htaccess.
7. Anmeldehinweise deaktivieren
Wenn ein Login fehlschlägt, teilt Ihnen WordPress mit, ob der Benutzername oder das Passwort falsch war. Obwohl dies für Benutzer hilfreich ist, bestätigen diese Hinweise auch einem Angreifer einen gültigen Benutzernamen und erleichtern ihm die Arbeit.
Sie können diese Hinweise ausblenden, indem Sie den folgenden Code zur Datei functions.php Ihres Themes hinzufügen. Wir empfehlen jedoch die Verwendung eines Code-Snippet-Plugins wie WPCode. Dies ist eine viel sicherere Methode, um benutzerdefinierten Code zu verwalten, ohne das Risiko von Website-Fehlern einzugehen.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Weitere Details finden Sie in unserem Leitfaden zum einfachen Hinzufügen von benutzerdefiniertem Code in WordPress, ohne Ihre Website zu beschädigen.
8. Benutzer zur Verwendung starker Passwörter auffordern
Wenn Sie eine WordPress-Website mit mehreren Autoren betreiben, kann ein einzelner Benutzer mit einem schwachen Passwort eine Schwachstelle für alle schaffen. Sie können eine Richtlinie für starke Passwörter erzwingen, um dies zu verhindern.
Um dies zu tun, können Sie das Plugin Solid Security (früher bekannt als iThemes Security), vom Team bei SolidWP, installieren und aktivieren.
Dann können Sie die Schritte in unserem vollständigen Leitfaden befolgen, wie Sie starke Passwörter für Benutzer in WordPress erzwingen.
9. Passwort für alle Benutzer zurücksetzen
Für Multi-User-WordPress-Sites können Sie die Sicherheit verbessern, indem Sie alle Benutzer zwingen, ihre Passwörter zurückzusetzen. Dies ist besonders nützlich, wenn Sie einen Sicherheitsverstoß vermuten oder einfach eine neue Passwortrichtlinie durchsetzen möchten.
Installieren und aktivieren Sie zuerst das Plugin Emergency Password Reset. Nach der Aktivierung gehen Sie zur Seite Benutzer » Emergency Password Reset und klicken Sie auf die Schaltfläche „Alle Passwörter zurücksetzen“.
Detaillierte Anweisungen finden Sie in unserem Leitfaden zum Zurücksetzen von Passwörtern für alle Benutzer in WordPress unter Zurücksetzen von Passwörtern für alle Benutzer in WordPress.
10. WordPress aktuell halten
WordPress veröffentlicht häufig neue Versionen, um Funktionen hinzuzufügen und Sicherheitslücken zu beheben. Das Ausführen einer veralteten Version von WordPress, Ihrer Plugins oder Ihres Themes ist eines der größten Sicherheitsrisiken, die Sie eingehen können.
Stellen Sie immer sicher, dass Sie die neueste Version der WordPress-Kernsoftware sowie aller Ihrer Plugins und Themes verwenden. Weitere Informationen hierzu finden Sie in unserem Leitfaden, warum Sie immer die neueste Version von WordPress verwenden sollten.
11. Benutzerdefinierte Anmelde- und Registrierungsseiten erstellen
Für Websites, die eine Benutzerregistrierung erfordern, wie z. B. Mitgliedschaftsseiten oder Online-Shops, sollten Sie benutzerdefinierte Anmelde- und Registrierungsseiten erstellen.
Dies verhindert, dass Nicht-Admin-Benutzer jemals den standardmäßigen WordPress-Login-Bildschirm sehen oder darauf zugreifen müssen. Es bietet eine professionellere Benutzererfahrung und ermöglicht es Ihnen, den Standardzugriff auf wp-admin vollständig zu sperren, ohne Ihre Mitglieder oder Kunden zu beeinträchtigen.
Der einfachste Weg, dies zu tun, ist mit einem Plugin wie WPForms, das ein leistungsstarkes User Registration Addon hat. Detaillierte Anweisungen finden Sie in unserem Leitfaden, wie Sie benutzerdefinierte Login- und Registrierungsseiten in WordPress erstellen.
12. WordPress-Benutzerrollen und Berechtigungen kennenlernen
WordPress verfügt über ein integriertes Benutzermanagementsystem mit verschiedenen Rollen und Berechtigungen. Die Zuweisung der falschen Rolle kann einem Benutzer weitaus mehr Berechtigungen erteilen, als er benötigt, und so ein potenzielles Sicherheitsrisiko darstellen.
Es ist wichtig zu verstehen, was jede Rolle tun kann, bevor Sie Benutzer zu Ihrer Website hinzufügen. Hier sind die 5 Standardrollen:
- Administrator: Hat vollen Zugriff auf alle Einstellungen und Inhalte der Website.
- Herausgeber: Kann alle Beiträge veröffentlichen und verwalten, einschließlich derer anderer Benutzer.
- Autor: Kann nur eigene Beiträge veröffentlichen und verwalten.
- Mitarbeiter: Kann eigene Beiträge schreiben und verwalten, aber nicht veröffentlichen.
- Abonnent: Kann sich nur anmelden und sein eigenes Profil verwalten.
Eine vollständige Aufschlüsselung finden Sie in unserem Anfängerleitfaden zu WordPress-Benutzerrollen und -berechtigungen.
13. Zugriff auf das WordPress-Dashboard einschränken
Auf manchen Websites benötigen bestimmte Benutzer überhaupt keinen Zugriff auf das WordPress-Dashboard. Standardmäßig kann sich jeder Benutzer anmelden und den Admin-Bereich sehen, auch wenn seine Berechtigungen eingeschränkt sind.
Um dies zu beheben, installieren und aktivieren Sie das Plugin Dashboard-Zugriff entfernen. Gehen Sie nach der Aktivierung zu Einstellungen » Dashboard-Zugriff und wählen Sie aus, welche Benutzerrollen auf den Admin-Bereich zugreifen dürfen. Andere können auf die Homepage oder eine andere URL umgeleitet werden.
Für detailliertere Anweisungen lesen Sie unseren Leitfaden unter So beschränken Sie den Dashboard-Zugriff in WordPress.
14. Abgemeldete inaktive Benutzer
Angemeldete Benutzer, die ihre Computer verlassen, können ein Sicherheitsrisiko darstellen. Wenn ihr Computer öffentlich oder gemeinsam genutzt wird, könnte jemand anderes auf ihr Konto zugreifen.
Sie können dies lösen, indem Sie das Plugin Inactive Logout installieren. Gehen Sie zu Einstellungen » Inactive Logout und legen Sie ein Zeitlimit fest. Nach Ablauf dieser Inaktivitätsperiode werden Benutzer automatisch abgemeldet.
Weitere Details finden Sie in unserem Artikel zur automatischen Abmeldung inaktiver Benutzer in WordPress.
Häufig gestellte Fragen zur Absicherung des WordPress-Adminbereichs
Was ist der wichtigste Schritt, um meinen WordPress-Adminbereich zu sichern?
Die Verwendung einer Web Application Firewall (WAF) ist der wichtigste erste Schritt. Eine gute Firewall, wie Cloudflare oder Sucuri, blockiert bösartigen Datenverkehr, bevor er Ihre Website erreicht, und verhindert so eine Vielzahl von Angriffen.
Ist es wirklich notwendig, das wp-admin-Verzeichnis mit einem Passwort zu schützen?
Obwohl nicht zwingend erforderlich, ist es sehr effektiv. Es fügt eine zweite Authentifizierungsebene hinzu, die fast alle automatisierten Bots stoppt, die versuchen, Ihre Anmeldeseite mit Brute-Force-Angriffen zu knacken. Es ist eine einfache Änderung, die die Sicherheit erheblich erhöht.
Kann ich mich durch Befolgen dieser Tipps von meiner eigenen Website aussperren lassen?
Ja, wenn Sie nicht vorsichtig sind. Der Tipp, den Login-Zugriff auf bestimmte IP-Adressen zu beschränken, ist nur für fortgeschrittene Benutzer mit einer statischen IP gedacht. Wenn Sie eine normale, dynamische IP-Adresse verwenden, sperren Sie sich selbst aus. Sichern Sie Ihre Website immer, bevor Sie Dateien wie .htaccess bearbeiten.
Zusätzliche Ressourcen für WordPress-Sicherheit
Wir hoffen, dieser Artikel hat Ihnen geholfen, einige neue Tipps und Tricks zum Schutz Ihres WordPress-Adminbereichs zu lernen.
Möglicherweise möchten Sie auch unsere anderen Expertenleitfäden zur Sicherung Ihrer Website lesen:
- Der ultimative Leitfaden zur WordPress-Sicherheit – Schritt für Schritt
- Die besten WordPress-Sicherheits-Plugins zum Schutz Ihrer Website (im Vergleich)
- So scannen Sie Ihre WordPress-Site auf potenziell bösartigen Code
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Olaf
Sicherheit ist einfach grundlegend, und der Admin-Bereich ist der wichtigste Teil von WordPress, da er die gesamte Website steuert. Dies macht admin-zielgerichtete Hacking-Versuche immer häufiger, was logisch ist, da WordPress Millionen von Websites antreibt. Daher werden die Bemühungen von Hackern immer ausgeprägter. Dies ist eine Liste wirklich exzellenter Schlüsselelemente. Während es möglicherweise nicht notwendig ist, alle zu implementieren, können selbst einige die Sicherheit der Website erheblich verbessern. Die Kombination aus einem starken Passwort, Zwei-Faktor-Authentifizierung und der Begrenzung von Anmeldeversuchen scheint so robust zu sein, dass der Admin-Bereich praktisch unzerbrechlich wäre.
Dennis Muthomi
Ich habe einen Hacking-Versuch auf meiner eigenen WordPress-Website erlebt. Ich mag besonders die Betonung auf die Verwendung starker Passwörter und Zwei-Faktor-Authentifizierung. Ich möchte hinzufügen, dass regelmäßige Backups Ihrer Website im Falle einer Sicherheitsverletzung ebenfalls entscheidend sind.
Jiří Vaněk
Ich habe viele Ihrer Tipps befolgt und zusätzlich die URL der Administration geändert, um potenzielle Brute-Force-Angriffe zu verhindern. Was starke Passwörter angeht, würde ich auch empfehlen, nicht den Standardbenutzer „admin“ zu verwenden, da dies der erste Benutzer ist, den ein Hacker mit Brute Force angreifen wird. Persönlich verwende ich bei der Installation von WordPress nie den Benutzer „admin“, sondern wähle immer einen benutzerdefinierten Namen. Es ist ein kleines Detail, aber es kann auch zur Sicherheit beitragen.
Mrteesurez
Ich glaube nicht, dass Hacker eine Möglichkeit finden würden, einzudringen, wenn man all diese Tipps und Tricks umsetzen kann.
Ich habe einige davon angewendet, wie die Begrenzung von Anmeldeversuchen und den Zugriff auf das Dashboard, und sie haben gut funktioniert. Ich werde weiterhin andere für maximale Sicherheit implementieren.
Jiří Vaněk
WordPress ist ein komplexes System, und die Absicherung allein der Administration reicht nicht aus. Es gibt immer einen Weg, wie ein Hacker Sie angreifen kann. Sie könnten FTP ins Visier nehmen, um sensible Datenbankinformationen zu erhalten, versuchen, eine schlecht geschützte MySQL auszunutzen, oder versuchen, eine neu entdeckte Schwachstelle in einem Plugin, Theme oder WordPress selbst auszunutzen, bevor Sie es aktualisieren können. Daher ist es immer gut, umfassend zu denken und andere Elemente des Systems wie MySQL, FTP und WordPress-Komponenten nicht zu vergessen.
Moinuddin Waheed
Unverzichtbare Tipps und Tricks zum Schutz des WordPress-Admin-Dashboards.
Ich habe die Zwei-Faktor-Authentifizierung für die Admin-Anmeldung und auch die Login-Beschränkungen für den Admin-Zugriff verwendet.
Der Schutz des Dashboards ist von größter Bedeutung, da er schwerwiegende Folgen haben kann, wenn das Dashboard kompromittiert wird.
Ich wusste nicht, dass wir so viele Schritte unternehmen können, um unser Dashboard zu schützen.
Vielen Dank für die umfassenden Listen mit Tipps zum Schutz des Dashboards.
WPBeginner Support
Schön zu hören, dass Sie unsere Liste hilfreich fanden!
Admin
Theo
„Dieses Plugin wurde am 23. November 2020 geschlossen und ist nicht mehr zum Download verfügbar. Diese Schließung ist endgültig.“
Ich weiß, dass dies ein 3,5 Jahre alter Artikel ist!
Es wäre schön, wenn jemand eine Alternative vorschlagen könnte! Vielen Dank für Ihre Zeit!
WPBeginner Support
Wir werden uns sicherlich nach Alternativen umsehen.
Admin
Raksa Sav
Wenn ich jemanden als Administrator von WordPress hinzufüge, kann er mich dann von WordPress entfernen oder meine WordPress-Seite stehlen?
WPBeginner Support
Hallo Raksa,
Ja, sie können andere Administratoren entfernen und die Kontrolle über Ihre Website übernehmen.
Admin
Muchsin
Ich möchte fragen
Ich habe das Tutorial-Verzeichnis-Datenschutz in diesem Artikel ausprobiert und es läuft reibungslos, aber es gibt ein Problem: Wenn ich als Benutzer die Suchfunktion im Navigationsmenü meiner Website ausprobiere, werde ich immer aufgefordert, den Benutzernamen und das Passwort für dieses Verzeichnis einzugeben. Wie löse ich das Problem?
Ich benutze das Newspaper-Theme von tagdiv.
sherizon
Was ist der beste Rat für den Start einer E-Commerce-Website, kann ich WordPress verwenden?
WPBeginner Support
Hallo Sherizon,
Ja, das können Sie. Sehen Sie sich unseren Leitfaden zum Erstellen eines Online-Shops an.
Admin
Brenda Donovan
Gute Hinweise und Tipps hier. Spielt es eine Rolle, wo in der functions.php-Datei man das Block-Hinweis-Skript platziert? Einfach unten hinzufügen?
WPBeginner Support
Hallo Brenda,
Ja, Sie sollten es unten hinzufügen.
Admin
Joe
Eine weitere wirklich hilfreiche Methode zum Schutz Ihrer WP-Website ist die Verwendung eines Logins, der NICHT ADMIN und nicht Ihre E-Mail-Adresse ist. Verwenden Sie einen eindeutigen Login-Namen wie WP@#% oder etwas Verrücktes wie das.
Dragos
Sie sollten auch ändern, wo Sie den Standardordner von wp-admin installieren.
Abhinav S Thakur
Kann das jemand reparieren?
Wie kann ich SSL nur für den Admin erzwingen und der Rest der Website soll http sein.
So wie wp beginner eine Nicht-SSL-Website hat!
Läuft WordPress, cPanel
Pinkey
Hallo,
Ich habe gerade eine inhaltsbasierte Website gestartet und leider wurde meine Website gehackt. Bitte beraten Sie uns mit geeigneten Lösungen (Software/Zertifikate usw.), um zukünftige Hackerangriffe zu vermeiden.
Danke & viele Grüße,
Pinkey
Lucy Barret
Die von Ihnen hinzugefügten Tipps sind sehr hilfreich. Aber zur Absicherung von WordPress müssen Sie der Sicherheit Ihres Login-Bereichs mehr Gewicht verleihen. Sie müssen sich mehr darauf konzentrieren, Ihren Admin-Login-Bereich zu stärken.
John
Irgendeine Idee, warum das Löschen von wp-login.php Brute-Force-Angriffe nicht verhindert? Ich dachte, es wäre eine schnelle Lösung für eine Website, die nur meinen Login benötigt, und würde die Datei nur bei Bedarf ersetzen?
Hilfe bitte!
Craig
Toller Ratschlag, abgesehen von der Entfernung von Admin-Nachrichten. Wenn Sie die Benutzererfahrung aus Sicherheitsgründen einschränken, machen Sie es nicht richtig.
Tahir
Intelligente Sammlung...!!
Talha
Vielen Dank. Ich habe eine Website. Ich werde sie dort einrichten.
Pat Fortino
Dieses Plugin existiert nicht mehr: Stealth Login
Können Sie eine Alternative empfehlen?
Danke
Lori
Mir wurde auch gesagt, ich solle „Links zur Admin-Seite von der Website entfernen, damit die Hacking-Roboter nicht einfach einem Link folgen können.“ Ich bin mir nicht sicher, was das bedeutet oder wie ich es tun würde… Weiß jemand, was das bedeutet und könnte mir Schritt-für-Schritt-Anleitungen dazu geben?
(Ich sehe nirgendwo auf meiner Website Links zu einer Admin-Seite und erinnere mich auch nicht, dass es jemals welche gab. Der einzige Weg, wie ich auf die Admin-Seite zugreife, ist über die Adresse /wp-admin.)
Emily Johns
Tolle Informationen!
Für nicht-erfahrene Blogger und Coder empfehle ich die Installation eines WordPress-Plugins, um die Dinge zu erleichtern.
Von den von Ihnen erwähnten habe ich das kostenlose Plugin „Wordfence Security“ gefunden, um Blogs zu sichern und sie schneller zu machen.
Getestet und zufrieden damit!
Barry Richardson
Ich hatte den Eindruck, dass der ursprüngliche Benutzername (z. B. „admin“) einer WP-Site nicht gelöscht werden kann, sodass selbst wenn wir einen neuen Benutzernamen hinzufügen würden, der ursprüngliche „admin“ für einen potenziellen Hacker immer noch ausnutzbar wäre.
WPBeginner Support
Wenn Sie ein neues Benutzerkonto mit der Administratorrolle erstellen, können Sie den Admin-Benutzer sicher löschen.
Admin
Sandeep Jinagal
Hallo WPBeginner, zuerst einmal, machst du das Beste vom Besten???
Und ich möchte wissen, ich möchte meine Login-Seite wie deine einrichten. Weil, wenn ich versuche, deine Login-Seite zu öffnen. Es zeigt ein Popup zum Einloggen. Kannst du mir dieses Tool geben.
WPBeginner Support
Bitte sehen Sie sich unseren Leitfaden an, wie Sie das WordPress-Admin-Verzeichnis mit einem Passwort schützen.
Admin
Kheti
Danke für dieses lehrreiche Material. Sehr hilfreich. Danke für die gute Arbeit und Unterstützung.
ifaheem
Toller Artikel, muss aber aktualisiert werden. Es gibt ein paar großartige Plugins, die alle oben genannten Aufgaben mit einer Plugin-Installation erledigen!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
Nachdem die obigen Schritte ausgeführt wurden (aktualisieren Sie sie mit etwas Recherche), fühle ich mich ein wenig sicher.
Installieren Sie kein Plugin, ohne mindestens 5 Bewertungen gelesen zu haben. Sie sagen Ihnen die Wahrheit (suchen Sie nach einer schlechten Bewertung und sehen Sie, was er/sie sagt; sie haben etwas Schlimmes erlebt!)
Prince Jain
Thank you for such a great post.
Aber bitte aktualisieren Sie das Stealth-Login-Plugin. Erstellen Sie keine benutzerdefinierte URL für das Login-Fenster, sondern fügen Sie einen Autorisierungscode unter Benutzername und Passwort im Login-Fenster von WordPress hinzu.
Können Sie außerdem bitte ein Plugin vorschlagen, um eine benutzerdefinierte URL für das Login-Fenster zu erstellen.
Mitchell Miller
Stealth Login wurde aus dem WP Plugin Repository entfernt.
Aber das Ändern des Links wp-login.php ist der erste Schritt zum Schutz einer WordPress-Website.
laya rappaport
Was passiert, wenn Sie jemandem Ihre Anmeldedaten geben, um an Ihrer Website zu arbeiten, und diese die Anmeldedaten ändern, sodass Sie keinen Zugriff mehr auf Ihr WordPress-Konto haben?
James Campbell
Ich bin mir nicht sicher, ob es eine Möglichkeit gibt, die Informationen Ihrer Website unbedingt abzurufen, aber wenn Sie dazu in der Lage sind, erstellen Sie immer einen neuen Benutzer und geben Sie anderen Personen über diesen bestimmten Benutzer Zugriff. Dies ermöglicht es Ihnen, den Zugriff auf bestimmte Bereiche einzuschränken, und Sie können deren Zugriff auch löschen, wenn er nicht mehr benötigt wird. Wenn Sie Ihren Zugriff auf Ihre Website aufgeben, lassen Sie sich aussperren.
Lisa Wells
Wenn jemand Ihre WordPress-Benutzerinformationen geändert hat, können Sie sich hoffentlich immer noch über z. B. phpMyAdmin in Ihre Datenbank einloggen. Von dort aus sollten Sie in der Lage sein, direkt in den Tabellen einen neuen Admin-Benutzer zu erstellen:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Ein weiterer hilfreicher Punkt, der nicht erwähnt wurde, sind die Datenbankberechtigungen. Der Wordpress-DB-Benutzer muss im Allgemeinen nicht alle Berechtigungen erhalten. In den allermeisten Fällen benötigt er nur ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
Wenn Sie es also direkt in MySQL tun, würde es so aussehen:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Wenn Sie dies in cPanel oder Ähnlichem tun, aktivieren Sie einfach die entsprechenden Kontrollkästchen, wenn Sie dem db_user Berechtigungen erteilen.
Tanmoy Das
Tolle Tipps für jeden Anfänger! Ich möchte die Login-URL immer ändern, weiß aber nicht, wie. Danke für diese Tipps.
Derick
@Daniel: Hacker haben jetzt ein Werkzeug, das alle Ihre Benutzernamen einschließlich der Rollen auflistet. Das würde den Hacker überhaupt nicht täuschen.
Thorir
Habe gerade das Limit Login Attempts Plugin auf meinen WP-Seiten installiert. Auf einer davon bemerkte ich fast sofort eine Sperrung, es war auch die einzige Installation, die im Stammverzeichnis lag. Alle anderen befinden sich in einem Unterverzeichnis und mehrere Stunden später hat keine davon eine Sperrung registriert.
Ist das vielleicht ein hilfreicher Faktor, sicherheitstechnisch?
Mary
Hallo, ich hoffe, es geht Ihnen gut!
Das war ein großartiger Artikel, aber für mich etwas kompliziert.
weil ich im Moment den einfachen Weg brauche, das WordPress Firewall Plugin sah gut aus, aber
Meine Befürchtung ist, meine Login-Seite zu verlieren.
Ich habe lange versucht, mit FTP zu arbeiten, und konnte es nicht verstehen.
Wird das ein gutes Plugin für eine Schisserin sein?? Danke Mary
Ed van Dun
Und was ist mit Bullet Proof Security? Es deckt einige der oben genannten Bereiche und noch einige mehr ab.
Prodip
Alle oben genannten Tipps haben mir geholfen, meinen Blog sicherer zu machen.
Dr. Sean Mullen
Das sind tolle Informationen, aber bitte aktualisieren Sie sie! Danke
Gast
Ich weiß, dass dieser Artikel schon aus dem Jahr '09 stammt, aber können Sie eine aktualisierte Version erstellen, da viele dieser Plugins nicht mehr "offiziell" mit dem neuesten WordPress (3.4.x-3.5) kompatibel sind?
Redaktion
Ja, es ist in Arbeit, zusammen mit einigen anderen Dingen. Wir tun unser Bestes. Danke für die Benachrichtigung.
Admin
whoiscarrus
Ich beschäftige mich gerade intensiv mit der WP-Entwicklung und kann mich nicht genug bedanken! Diese sind großartig für Anfänger wie mich!
abhizz
tolle Tipps zu WordPress, vielen Dank
Bigdrobek
Tolles Tutorial, aber bitte aktualisieren Sie es?
Wenige Plugins existieren nicht, sind alt oder werden von WordPress.org ausgeblendet.
– Stealth-Anmeldung
– Login Lockdown
– Admin SSL
Ich interessiere mich für Schritt 1) Benutzerdefinierte Login-Links erstellen – haben Sie einen Tipp für ein neues Plugin, das eine ähnliche Funktion erfüllt?
Faizan Elahi (BestBloggingTools)
This is a great resource. Thanks
mattjwalk
Sie könnten auch zur Liste hinzufügen: „Zwei-Faktor-Authentifizierung verwenden“ anstelle von Standardpasswörtern. Es gibt eine neue Website-Authentifizierungsmethode https://www.shieldpass.com, bei der Sie günstige Zugangskarten kaufen und dann das WordPress-Plugin installieren. Sie legen dann Ihre Karte auf den Bildschirm, um die dynamischen Login-Nummern anstelle eines statischen Passworts anzuzeigen. Es ist einzigartig darin, dass es auch Transaktionsziffern für die gegenseitige Authentifizierung kodieren kann, was Man-in-the-Middle-Taktiken von Angreifern stoppt, selbst wenn diese Zugriff auf Ihren Laptop oder Ihr Mobilgerät haben.
Jermaine
Das Problem, das ich mit Nr. 6 habe, ist die dynamische IP-Adresse. Sie werden jedes Mal ausgesperrt, wenn sich Ihre IP-Adresse ändert. Was ist die Problemumgehung?
Redaktion
Sie können eine benutzerdefinierte Anmeldung hinzufügen, wenn die IP nicht übereinstimmt.
Admin
vivek
toller Beitrag und gute Anleitung für neue Blogger wie mich
fareed
Toller Beitrag und sehr nützlich für mich, danke
Daniel
Ein Hacker wird denken, er sei erfolgreich, wenn er sich mit dem Admin-Benutzernamen anmeldet und feststellt, dass die Rolle auf 'Abonnent' gesetzt wurde. Ist das nicht eine weitere Form der zusätzlichen Sicherheit? Ich möchte meinen Admin nicht löschen, weil ich Nachrichten usw. in Foren und im Blog poste und möchte, dass meine Benutzer wissen, dass es von der Administration kommt. Außerdem benutze ich meinen normalen Benutzernamen!
Jonathan K. Cohen
Dieser Artikel muss überarbeitet werden. Einige der vorgeschlagenen Plugins werden nicht mehr gewartet und sind möglicherweise nicht mit der neuesten Version von WP kompatibel.
Dazu gehören #1, #3 und #5.
John
Für #1 prüfen Sie dieses Plugin namens WPS Hide Login
Greg
Ich stimme Ihnen vollkommen zu. Ich benutze seit einiger Zeit das Limit Login Attempts Plugin für mein WordPress. Heute ist dieses Plugin veraltet. Ich bin auf WP Cerber umgestiegen: