Wie sinnvoll ist es, den WP-Adminbereich zu verstecken und lohnt sich der Aufwand überhaupt?
Laut verschiedenen Statistiken laufen aktuell ca. 38 Prozent aller Internetseiten komplett auf Basis des WordPress-Systems. WordPress ist also das meistgenutzte CMS und deswegen auch für Hacker ein beliebtes Angriffsziel. Da der Loginbereich dieses Systems standardmäßig unter der gleichen URL zu finden ist (https://deine-seite/wp-login.php), zielen darauf auch sehr viele Angriffe ab.
Wie sinnvoll ist es, den WP-Adminbereich zu verstecken?
Die häufigste Art von Angriffen auf WordPress-Installationen sind sogenannte Brute-Force-Attacken. Dabei kennt der Angreifer deine Zugangsdaten nicht und versucht einfach alle möglichen Kombinationen, bis die richtige gefunden ist. Weil es hier im Allgemeinen zahlreiche Variationen gibt und der Angriff bloß durch eine immense Anzahl an Versuchen gelingt, spricht man von einer Brute-Force-Attacke.
Die logische Schlussfolgerung scheint also das Verstecken des WP-Adminbereichs zu sein. Den WP-Admin-Bereich zu verstecken, hilft aber nur bei einem Teil der möglichen Angriffe. Es kann jedoch eine sinnvolle Ergänzung zur Gesamtsicherheit deines WordPress sein und primitiven Attacken durchaus den Wind aus den Segeln nehmen.
Wie sicher ist diese Maßnahme?
Die Idee, diesen Bereich zu verstecken, verfolgt den Sicherheitsansatz der Obskurität „security through obscurity„. Hierbei schafft man eine Unklarheit und macht es dem Angreifer auf den ersten Blick schleierhaft, wo denn nun der Eingang zu finden ist.
Dieser Sicherheitsansatz ist jedoch umstritten, da man mit den richtigen Tools und etwas Hintergrundwissen deinen Loginbereich weiterhin finden und penetrieren kann.
In den meisten Fällen ist deine /wp-login.php weiter aufrufbar und nur der Weg über /wp-admin verschleiert.
Wenn es jemand zielgerichtet auf dich abgesehen hat, hilft auch ein versteckter Adminbereich nicht, sondern verlängert höchsten dessen Zeitaufwand. Man sollte mit einem mehrschichtigen Sicherheitskonzept arbeiten und das Verstecken des Adminbereichs sollte nicht die einzige Sicherheitsmaßnahme sein, um dein WordPress abzusichern.
Gibt es WordPress-Plugins für diesen Zweck?
Über die Pluginsuche in WordPress wirst du schnell auf die entsprechenden Plugins aufmerksam. Dort gibt es schlanke Plugins, welche nur für das Verstecken des Logins entwickelt wurden, aber auch komplette Security-Suiten, welche diese Option mitliefern aber noch wesentlich mehr können.
Du musst dir nun die Frage stellen, was du möchtest und welcher Zweck erfüllt werden soll. Eine komplette Security-Suite ist um einiges ressourcenhungriger als ein schlankes und zweckgerichtetes Plugin.
Diese Plugins sollten interessant für dich sein – unsere Tipps
WPS Hide Login ist ein sehr leichtes Plugin, mit dem du die URL des Adminbereichs einfach und sicher ändern kannst. Dateien werden weder umbenannt noch geändert, noch werden Umschreiberegeln hinzugefügt. Es fängt einfach Seitenanfragen ab und funktioniert auf jeder WordPress-Website. Auf das Verzeichnis /wp-admin und die Seite /wp-login.php kann nicht mehr zugegriffen werden. Durch Deaktivierung dieses Plugins wird die Seite in den vorherigen Zustand zurückversetzt.
Cerber Security, Anti-spam & Malware Scan
Cerber ist schon etwas umfangreicher und verteidigt dein WordPress gegen Hackerangriffe, Spam, Malware und reduziert Brute-Force-Angriffe, indem die Anzahl der Anmeldeversuche über das Anmeldeformular, XML-RPC / REST-API-Anforderungen oder die Verwendung von Authentifizierungscookies begrenzt wird. Es härtet WordPress mit einer Reihe flexibler Sicherheitsregeln und beschränkt den Zugriff mit schwarzen und weißen IP Zugriffslisten. Der WP-Admin-Bereich kann ebenfalls verschoben werden. Das Plugin kann jedoch einiges mehr und es lohnt sich durchaus, sich einmal intensiver damit befassen.
Gibt es eine bessere Lösung?
Es ist auch möglich, gar kein Plugin zu nutzen und stattdessen einige Eintragungen in der .htaccess zu hinterlegen. Über die .htaccess-Datei kannst du sehr effektiv einen weiteren Security-Layer hinzufügen, denn sie ist eine der wichtigsten Steuerdateien auf einem Apache-System.
Damit kannst du zum Beispiel ein Passwort direkt auf die /wp-login.php legen oder den Zugriff nur von einer bestimmten IP-Adresse erlauben. Hier reichen bereits kleine Änderungen und einfache Codeanweisungen, um einen effektiven Schutz herzustellen.
Wie bei allen Änderungen an deinem System, solltest du aber zuvor eine Sicherung der Datei anlegen.
So gibts du nur bestimmte IPs für den Admin-Bereich frei:
Dies ist jedoch nur dann sinnvoll, wenn man über eine feste IP verfügt.
# Kommentar - Nur diese IP-Adresse sollen den Admin-Bereich betreten
<files wp-login.php>
Order deny,allow
Deny from all
Allow from 212.88.144.1
Allow from 212.88.144.2
Allow from 212.88.144.3
</files>So hinterlegst du eine zusätzliche Passwortabfrage für den Admin-Bereich:
In der .htaccess werden folgende Zeilen integriert und im Pfad „AuthUserFile“ wird der Pfad zum zur Passwortdatei .htpasswd hinterlegt.
<Files wp-login.php>
AuthType Basic
AuthName “Login-Area”
AuthUserFile /var/www/vhosts/MEINEDOMAIN.DE/httpdocs/.htpasswd
Require valid-user
</Files>Die Datei .htpasswd musst du dir selbst anlegen und ein Passwort generieren. Im Beispiel nennen wir den User „test“ und das Passwort „passwort“.
So sieht der Eintrag in einer .htpasswd-Datei aus:
test:HYy0BleCgoQAoWie du siehst, wird das Passwort dort in verschlüsselter Form abgelegt. Einen .htpasswd-Generator findest du mühelos online. Dort kannst du Logindaten inkl. Passwort erstellen und fügst diese dann der Syntax entsprechend in deine .htpasswd Datei ein.
Wie kann mir HostPress dabei helfen?
HostPress hat bereits viele Sicherheitsmechanismen installiert um die Systeme der Kunden abzusichern und eventuelle Angriffe abzuwehren.
Zusätzlich hast du die Möglichkeit, unseren WordPress-Wartungsdienst SecurePlan zu buchen. Im Rahmen unseres SecurePlan werden zusätzliche Sicherheitsplugins installiert und regelmäßig Updates deiner Plugins, Themes und deiner WordPress-Installation gemacht.