Einen WordPress-Blog absichern – Login-Seite verstecken
Viele automatisierte Hackinganfragen zielen auf die Standard-Login-Seite des WordPress-CMS-Systems ab. Konkret heißt das: ein Script ruft Ihre Domain auf (bspw. www.belta.de) und hängt daran die URL-Vervollständigung wp-login.php, d.h. in diesem Fall würde das Script die Seite www.belta.de/wp-login.php aufrufen und per Brut Force-Technik aus einem Lexikon bestimmte Benutzernamen und Passwörter zufällig einsetzen. Wenn Sie das selbst in einem Logfile nachvollziehen möchten, so ist der Aufruf leicht zu sehen, der HTML-Antwortcode des Servers ist in der Regel 200 (Aufruf ok und korrekt ausgeführt), der Login funktioniert selbstverständlich nur, wenn der Angreifer korrekten Benutzernamen und Kennwort eingibt.
Brut Force bedeutet in diesem Fall, dass ein Angreifer verschiedene Kombinationen von Benutzernamen und Kennwörtern eingibt. Das passiert – wenn es nicht eingeschränkt wird – dauernd und belastet neben der eigentlichen Gefahr auch die Perfomance des Servers.
Um diese Standardangriffe zu vermeiden, kann man einfach die URL der Login-Seite ändern. Das kann folgendermaßen ganz einfach passieren:
- Rufen Sie das Dashboard Ihrer WordPress-CMS-Seite auf.
- Unter dem Menüpunkt Plugins rufen Sie den Punkt „Installieren“ auf.
- Suchen Sie das Plugin WPS Hide Login von WPServeur, NicolasKulka, wpformation
- Installieren Sie das Plugin
- Konfigurieren Sie unter Einstellungen – „WPS Hide Login“ die neue Login-URL, bspw. setzen Sie dort „anmelden“ als neue URL. Somit wäre hier die Beispiel-URL: www.belta.de/anmelden