WordPress Login absichern

Wie in meinem Artikel beschrieben ist es erstaunlich wie viele Angriffe es täglich auf den Loginbereich des WordPress gibt. Daher möchte ich euch einige Lösungen vorstellen, wie man das Login etwas sicherer gestalten kann.

IPs die mit diesen Lösungen geblockt werden.

Die vorgestellten Möglichkeiten entbinden einen aber nicht davon ein sehr langes, gutes und sicheres Passwort zu werden!

 

Verschiedene Möglichkeiten

  1. Per htaccess ein zusätzliche Authentifizierung einbauen
  2. Mit dem Plugin Captcha (ist auch sehr gut bei Kommentaren etc.) ein kleines Eingabefeld beim Login hinzufügen
  3. per VPN auf den Server zu WordPress verbinden und das Login im Backend nur für die interne VPN IPs erlauben.

Sicherlich gibt es noch viele andere Möglichkeiten. Aber ich möchte mich vorerst erst einmal auf diese beschränken. Einige Lösungen beziehen sich auf eine htaccess Datei im Wurzelverzeichnis des Blogs. Dies muss in eurem Webserver (z.B. Apache2) erlaubt werden. Sowohl für http als auch für das https Protokoll. Mehr dazu ist hier zu finden.

 

Möglichkeit 1

Als sehr wirksamem Möglichkeit hat sich heraus gestellt, eine zusätzliche Loginhürde über den Webserver ein zu bauen:

Dann die Passwortdatei anlegen:

Benötigt in der Apache2 Konfiguration:

Soewie das Apache2 Modul auth_digest.

 

Möglichkeit 2

Man kann das Plugin Captcha installieren, dass einem unter anderem die Möglichkeit bietet beim Login noch eine zusätzliche Eingabe tätigen zu müssen. Darauf sind die Skripte die in dein Adminbereich wollen wahrscheinlich nicht ausgelegt.

 

Möglichkeit 3

Wenn ihr eueren Blog auf einem eigenen Server betreibt, kann man z.B. ein VPN Server einrichten oder einen eigenen Proxyserver. Dann kann man allein die IPs aus dem VPN Netz bzw die IP des Servers erlauben und alles andere sperren. Allerdings funktioniert die Lösung per VPN nicht, wenn eine Weiterleitung zu https eingerichtet ist, da WordPress immer wieder auf die Domain weiterleitet und nicht auf die VPN IP.

Dies kann in der htaccess Datei so aussehen:

Benötigt in der Apache2 Konfiguration:

 

7 Kommentare zu WordPress Login absichern

  1. Leo sagt:

    Ich nutze das plugin Limit Login Attempts, sperrt nach x Eingabeversuchen die ip-Adresse für einen Zeitraum y. Sollte von der IP danach weiter gehackt werden, kann nochmals um einen weiteren definierbaren Zeitraum gesperrt werden. Außerdem gibts eine Benachrichtigungsfunktion.

    Also bei mir 3 Versuche - 3 Tage gesperrt, nochmaligs 3 Versuche - 2 Wochen gesperrt.

    Wenn dann die Nachricht der wiederholten Sperre kommt, landet die IP oder der ganze IP-Bereich (z.B. Mobilfunkprovider aus Russland und der Ukraine) in der Sperrliste meienr .htaccess.

    Um die IP-Bereiche und den Provider herauszufinden, helfen mir https://apps.db.ripe.net/search/query.html und http://network-tools.com.

  2. Eugen sagt:

    ich erlebe gerade massen Login Versuche auf mein WP. Gibt es evtl. irgendwelche abwehrlösungen hat jemand einen Tipp?

    • Kalle sagt:

      Moin Eugen,
      am einfachsten wäre es wie im Artikel beschrieben, wenn du für dein Login nur bestimmte IPs zulässt.
      Falls das nicht möglich ist, dann schalte mittels htaccess einfach eine weitere Loginstufe vor den eigentlichen Login.
      Für den anderen Login sollten aber nicht die gleichen Benutzerdaten verwendet werden, sonst wird dieser ja sinnlos.
      Ansonsten gehen mir dann anderen Ideen aus.

      LG
      Kalle

  3. Beretro sagt:

    Welche Captcha Plugins sind denn empfehlenswert?

    • Kalle sagt:

      Moin,
      ich habe nicht ausführlich verschiedene Plugins getestet,
      sondern auf einem anderen Blog ein paar Informationen zu dem Plugin "Captcha" gelesen.
      Damit habe ich bisher keine schlechten Erfahrungen gemacht.

      LG
      Kalle

  4. Julian sagt:

    Sehr schöner Artikel inklusive einer sinnvollen Auflistung. Heutzutage sollte man seine Projekte so gut es geht absichern und die hier beschriebenen Möglichkeiten sind ja auch in der Regel schnell umgesetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.