Möchten Sie den Zugriff auf Ihre wp-login.php-Datei in WordPress per IP-Adresse einschränken?
Die WordPress-Anmeldeseite wird oft von DDoS-Angriffen und Hackern angegriffen, um Zugriff auf Ihre Website zu erhalten. Die Beschränkung des Zugriffs auf bestimmte IP-Adressen kann solche Versuche wirksam blockieren.
In diesem Artikel zeigen wir Ihnen, wie Sie den Zugriff auf Ihre wp-login.php-Datei in WordPress einfach nach IP einschränken können.
Warum den Zugriff auf wp-login.php nach IP-Adresse beschränken?
Die Anmeldeseite einer WordPress-Website (typischerweise wp-login.php) ist der Ort, an dem Benutzer sich auf Ihrer Website anmelden.
Als Website-Besitzer erhalten Sie Zugriff auf den WordPress Admin-Bereich, wo Sie Website-Wartungsarbeiten durchführen, Inhalte schreiben und Ihre Website verwalten können.
Häufige Brute-Force-Angriffe im Internet zielen bekanntermaßen auf die wp-login.php-Seite ab, um Zugang zu Websites zu erhalten. Selbst wenn sie keinen Erfolg haben, können sie Ihre Website verlangsamen oder sogar zum Absturz bringen.
Eine Möglichkeit, mit dieser Situation umzugehen, besteht darin, die IP-Adressen zu blockieren, von denen die Angriffe ausgehen (darüber werden wir später im Artikel sprechen).
Eine IP-Adresse ist wie eine Telefonnummer, die einen bestimmten Computer im Internet identifiziert. Hacker können Software verwenden, um ihre IP-Adressen zu ändern.
Anspruchsvollere Angriffe verwenden jedoch einen größeren Pool von IP-Adressen, und es ist möglicherweise nicht möglich, alle zu blockieren.
In diesem Fall können Sie den Zugriff auf bestimmte IP-Adressen beschränken, die von Ihnen und anderen Benutzern auf Ihrer Website verwendet werden.
Lassen Sie uns nun sehen, wie Sie den Zugriff auf die Datei wp-login.php mit 3 verschiedenen Methoden, einschließlich einer Cloud-Sicherheits-Firewall, einfach auf bestimmte IP-Adressen beschränken können.
1. Zugriff auf die WordPress-Login-Seite nach IP-Adresse beschränken
Für diese Methode müssen Sie Code zur .htaccess-Datei hinzufügen.
Die .htaccess-Datei ist eine spezielle Serverkonfigurationsdatei, die sich im Stammverzeichnis Ihrer Website befindet und per FTP oder über die Dateimanager-App in Ihrem WordPress-Hosting-Kontrollpanel zugänglich ist.
Verbinden Sie sich einfach mit Ihrer WordPress-Website über einen FTP-Client und bearbeiten Sie Ihre .htaccess-Datei, indem Sie den folgenden Code am Anfang hinzufügen.
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Your own IP address
allow from xx.xxx.xx.xx
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
</Files>
Vergessen Sie nicht, die XXs durch Ihre eigenen IP-Adressen zu ersetzen. Sie können Ihre IP-Adresse leicht herausfinden, indem Sie die SupportAlly-Seite besuchen.
Wenn Sie andere Benutzer haben, die sich ebenfalls auf Ihrer Website anmelden müssen, können Sie diese bitten, ihre IP-Adressen anzugeben. Sie können diese dann ebenfalls zur .htaccess-Datei hinzufügen.
Hier ist ein weiteres Beispiel für den oben genannten Code.
<Files wp-login.php>
order deny,allow
Deny from all
# Whitelist John as website administrator
allow from 35.199.128.0
#Whitelist Tina as Editor
allow from 108.59.80.0
# Whitelist Ali as moderator
allow from 216.239.32.0
</Files>
Nun können Benutzer mit diesen IP-Adressen die Datei wp-login.php anzeigen und sich auf Ihrer Website anmelden. Andere Benutzer sehen die folgende Fehlermeldung:
2. Sperren bestimmter IP-Adressen für den Zugriff auf Ihre Website
Diese Methode ist das genaue Gegenteil der ersten Methode.
Anstatt den Zugriff auf die WordPress-Login-Seite auf bestimmte IP-Adressen zu beschränken, können Sie IP-Adressen blockieren, die zum Angreifen Ihrer Website verwendet werden.
Diese Methode ist besonders nützlich für WordPress-Mitgliederseiten, E-Commerce-Shops oder andere Websites, auf denen mehrere Benutzer sich anmelden müssen, um auf ihre Konten zuzugreifen.
Der Nachteil dieser Methode ist, dass Hacker ihre IP-Adressen ändern und Ihre Website weiterhin angreifen können.
Glücklicherweise verwenden viele der gängigen WordPress-Hacking-Versuche eine feste Reihe von IP-Adressen, was diese Methode in den meisten Fällen wirksam macht.
Schritt 1: Ermitteln der unerwünschten IP-Adressen, die Sie blockieren möchten
Zuerst müssen Sie die IP-Adressen finden, die zum Angreifen Ihrer Website verwendet werden.
Der einfachste Weg, die störenden IP-Adressen zu finden, ist ein Blick in Ihre Serverprotokolle. Gehen Sie einfach zu Ihrem Hosting-Konto-Kontrollfeld und klicken Sie auf das Symbol für die „Rohzugriffs“-Protokolle.
Auf der nächsten Seite klicken Sie auf Ihren Domainnamen, um die Zugriffsprotokolle herunterzuladen. Dies lädt eine Datei mit der Erweiterung .gz herunter.
Sie müssen die Datei extrahieren und mit einem Texteditor wie Notepad oder TextEdit öffnen.
Von hier aus finden Sie die IP-Adressen, die wiederholt die wp-login.php-Seite aufrufen.
Kopieren Sie die IP-Adressen und fügen Sie sie in eine separate Textdatei auf Ihrem Computer ein.
Schritt 2. Blockieren verdächtiger IP-Adressen
Als Nächstes müssen Sie sich in Ihr WordPress-Hosting-Kontrollfeld einloggen und auf das Symbol „IP-Blocker“ klicken.
Kopieren und fügen Sie auf dem nächsten Bildschirm einfach die IP-Adressen ein, die Sie blockieren möchten, und klicken Sie auf die Schaltfläche „Hinzufügen“.
Wiederholen Sie den Vorgang, um alle anderen verdächtigen IP-Adressen zu blockieren, die Sie möchten.
Das ist alles! Sie haben verdächtige IP-Adressen erfolgreich daran gehindert, Ihre Website vollständig zu erreichen.
Später, wenn Sie eine dieser IP-Adressen entsperren müssen, können Sie dies einfach über die IP-Blocker-App tun.
3. Schutz der WordPress-Anmeldung mit einer Website-Firewall
Als Website-Administrator möchten Sie vielleicht nicht zu viel Zeit mit der Verwaltung von IP-Adressen verbringen, die auf Ihre WordPress-Login-Seite zugreifen können.
Der einfachste Weg, Ihre WordPress-Login-Seiten zu schützen, ist die Verwendung von Sucuri. Es ist die beste WordPress-Firewall, die ein umfassendes WordPress-Sicherheits-Plugin enthält.
Sucuris Website-Firewall filtert automatisch verdächtige IP-Adressen heraus, die auf wichtige WordPress-Core-Dateien zugreifen, ohne dass diese jemals Ihre Website erreichen.
Diese Methode verbessert auch Ihre WordPress-Leistung und -Geschwindigkeit, da sie verdächtige Aktivitäten blockiert, die Ihren Server verlangsamen.
Darüber hinaus verfügt Sucuri über ein integriertes CDN-Netzwerk. Es würde statische Dateien wie Bilder, Stylesheets und JavaScript automatisch von einem Server ausliefern, der näher an Ihren Benutzern ist.
Sie können die IP-Adressen von Benutzern problemlos auf die Whitelist setzen, wenn diese keinen Zugriff auf die WordPress-Login-Seiten haben.
Alternativen: MalCare oder Cloudflare Free CDN
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie den Zugriff auf Ihre wp-login.php-Datei nach IP-Adresse einschränken können. Möglicherweise möchten Sie auch unseren vollständigen WordPress-Sicherheitsleitfaden lesen oder zusätzliche Tipps zum Schutz des WordPress-Adminbereichs sehen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Olaf
Alles in WordPress steht und fällt mit der Sicherheit der Website. Eine Unterschätzung kann im Laufe der Zeit zu ernsthaften Problemen führen. Diese Direktiven funktionieren perfekt, und die Implementierung dieser Art von Sicherheit dauert nur einen Moment. Ich schätze, dass Sie gründlich sind und nicht nur die richtigen Direktiven zu .htaccess hinzufügen, sondern den Benutzern auch von Anfang an beibringen, manuell hinzugefügte Einträge richtig zu kommentieren. Dies hilft jedem, der die Website übernimmt, diese Direktiven zu verstehen. Nur wenige Tutorials sind so sorgfältig und nehmen sich die Zeit, um eine ordnungsgemäße Kommentierung in .htaccess sicherzustellen.
Jiří Vaněk
Ich habe die Direktiven auf die Website kopiert, die IP-Adressen angepasst und sie in die .htaccess-Datei eingefügt. Es funktioniert perfekt für beide IP-Adressen, die jetzt in der .htaccess festgelegt sind.
Av
in Bezug auf eine WooCommerce-Website, ist diese Funktion nützlich?
Der Login kann von der Mein-Konto-Seite aus erfolgen.
WPBeginner Support
Wenn mehrere Benutzer sich für etwas wie WooCommerce auf Ihrer Website anmelden, dann wäre dies nichts für Sie. Dies wäre normalerweise für eine Website mit einer begrenzten Anzahl von Benutzern.
Admin
Michael Pepper
Danke für den Artikel, hilfreich!
WPBeginner Support
Glad our article was helpful
Admin
Mick
Aus irgendeinem Grund wird bei Verwendung dieser Methode auch die Whitelist-IP blockiert.
Irgendeine Idee warum?
WPBeginner Support
Möglicherweise möchten Sie sicherstellen, dass Sie die richtige IP-Adresse festlegen, und wenn Sie ein VPN oder etwas Ähnliches verwenden, könnte dies die Ursache des Problems sein.
Admin
Bahar Ali
Ich habe den obigen Code verwendet und er wird irgendwie auf jeder Seite der Website angewendet, zum Beispiel zeigt meine Startseite sogar „verboten“ an.
WPBeginner Support
Möglicherweise möchten Sie sich zuerst bei Ihrem Hosting-Anbieter erkundigen, um sicherzustellen, dass auf deren Seite keine widersprüchliche Konfiguration vorliegt.
Admin
Unni Krishnan
Gute Arbeit, Leute,
Wie Sie im letzten Abschnitt angegeben haben, habe ich dynamische IPs für meine mobile Verbindung. Obwohl ich meine Breitband-IP auf die Whitelist gesetzt habe, bleibe ich unterwegs stecken.
Wissen Sie, ob Plugins helfen, dieses Problem zu lösen?
Unni Krishnan
Außerdem werden solche Anfragen an wp-login.php auf die Homepage umgeleitet. Ist das normal?
FrancescoElzy
Hmm, es scheint, als hätte Ihr Blog meinen ersten Kommentar verschluckt (er war super lang), also fasse ich zusammen, was ich geschrieben habe, und sage: Ich genieße Ihren Blog sehr. Ich bin auch ein aufstrebender Blog-Blogger, aber ich bin noch neu in der ganzen Sache. Haben Sie hilfreiche Tipps für neue Blog-Autoren? Ich würde mich wirklich freuen.
Stéfano Willig
Wir haben unseren FTP nur für bestimmte IPs zugänglich gemacht.
Jetzt kann ich WordPress nicht mehr direkt über WordPress installieren oder aktualisieren...
Was kann ich tun?
Jobbatam
Tolle Tipps und es funktioniert für mich.
Aber kann ich wp-login auf Fehler 404 umleiten?
Wenn ja, welchen Code füge ich in den obigen Code ein?
danke
MargaretMacnamar
Es ist sehr einfach, sich im Netz über jede Angelegenheit zu informieren, verglichen mit Lehrbüchern, da ich diesen Beitrag auf dieser Website gefunden habe.
EQHRaymond
Vielen Dank für die Funktion. Der Beitrag hat mir sehr geholfen
Rex Wickham
Wenn Sie mehr als eine IP-Adresse hinzufügen möchten, können Sie dies tun:
1. Sie können eine partielle IP-Adresse verwenden:
Erlaube von 145.50.39
Dies erlaubt IPs von 145.50.39.0 bis 145.50.39.255
2. Sie können eine Netzmaske oder eine CIDR verwenden:
Erlaube von 145.50.39.0/255.255.255.224
oder
Erlauben von 145.50.39.0/27
Dies erlaubt IPs von 145.50.39.0 bis 145.50.39.31.
Julius Musembi
Dies ist eine großartige Problemumgehung.
David Swanson
Ich habe den Code zu meiner .htaccess hinzugefügt, aber wenn sich meine Benutzer abmelden, erhalten sie den Fehler 403.
Wenn sie auf Abmelden klicken, ist der Link /wp-login.php?action=logout
Gibt es eine Möglichkeit, das zu beheben?
Brijesh
Toller Tipp! Aber ich habe ein Problem. Es sperrt die Admin-Anmeldung für andere IPs, aber wenn sich ein registrierter Benutzer von der Website abmeldet, blockiert der Code dies ebenfalls. Ich meine, wenn der Benutzer auf Abmelden klickt, erscheint die Meldung "Verboten". Wie löse ich das?
Rafaqat
Vielen Dank für Ihre schnelle Anleitung zum Schutz vor übermäßigen und illegalen Anmeldeversuchen. Tatsächlich gibt es ein kostenloses Plugin „better wp security“, das fast alle Sicherheitsprobleme in Bezug auf Anmeldeversuche, die wp.config-Datei, die .htaccess-Datei und vieles mehr verwalten kann. Ich denke, man sollte es ausprobieren.
Kris
Um das Problem mit dynamischen IP-Adressen zu umgehen, können Sie auf eine htpasswd verweisen.
Baptiste Legrand
Danke für diesen tollen Tipp! Aber ich bin etwas verwirrt: Soll ich diesen Schnipsel in meine Haupt-htacess-Datei oder in meine wordpress/.htaccess-Datei einfügen?
Prost (und übrigens, ich LIEBE wpbegginer.com, macht weiter so!)
Redaktion
Fügen Sie es in Ihre wordpress/.htaccess ein
Admin
Redaktion
Mit dynamischen IPs kann das mühsam sein. Sie können Apache Protect darauf einrichten, aber das ist etwas komplexer. Die #whitelist-Zeile dient nur dazu, mir mitzuteilen, welche IP welche ist.
Admin
Steve Pringle
Sie sollten erwähnen, dass Plugins (wie JetPack) Probleme haben können, wenn Sie den Zugriff einschränken.