Wenn du deine WordPress-Website vor unerlaubten Zugriffen schützen möchtest, solltest du deinen Login-Bereich besonders gut absichern. Zwei häufig unterschätzte Sicherheitslücken sind dabei der Benutzername und das Passwort. In diesem Beitrag zeige ich dir, wie du mit ein paar einfachen Maßnahmen deinen WordPress Login absichern und damit automatisierte Angriffe wie Brute-Force-Attacken deutlich erschweren kannst.
Warum WordPress nicht automatisch unsicher ist
WordPress ist mit über 60 % Marktanteil unter den Content-Management-Systemen das weltweit beliebteste CMS. Allein diese Tatsache zeigt: WordPress kann so unsicher nicht sein – sonst würden es nicht unzählige Einzelunternehmer und Unternehmen als Basis ihrer Website nutzen.
Trotzdem hat WordPress – wie jedes andere System – gewisse Sicherheitsschwachstellen, die oft durch falsche Einstellungen oder unsichere Zugangsdaten entstehen. Die gute Nachricht: Viele dieser Risiken in der WordPress Sicherheit kannst du mit wenigen Handgriffen selbst beheben.
Warum Benutzername und Passwort so wichtig sind
Schon bei der Einrichtung von WordPress lauern erste Sicherheitsfallen – und zwar bei der Wahl des Benutzernamens und Passworts. Viele Nutzer:innen verwenden hier voreilige oder naive Kombinationen, die Hackern das Leben unnötig leicht machen.
Einen sicheren Benutzernamen wählen
Der Benutzername wird von den meisten WP Nutzern nicht unbedingt als sicherheitsrelevant gesehen. Viele wählen daher das naheliegende und einprägsame „Admin“ für den Zugang zum WP Dashboard. Klingt logisch, ist aber extrem unsicher – denn genau diesen Namen testen Hacker als Erstes. Wird dann auch noch ein schwaches Passwort verwendet, ist der Zugang zur Website praktisch offen.
Wähle also einen sicheren Benutzernamen, denn du dir leicht merken kannst, der aber nichts mit deinem eigentlichen Namen bzw. dem Namen deiner Website zu tun hat. Warum das? Aus Erfahrung weiß ich, dass die Hacker-Bots den Betreibernamen und Domainbestandteile durchprobieren. In meinem Fall wurden z. B. alle möglichen Variationen meines Namens als Benutzername ausprobiert – einfach, weil er Teil meiner Domain ist.
Optimalerweise nutzt du in deinem Benutzernamen nicht nur Buchstaben, sondern auch Zahlen und Sonderzeichen (die WordPress zulässt).
Beispiel: Sonntag-0324 oder Sonn-0324-Tag
Wenn deine Seite schon länger läuft, dann kannst du deinen Benutzernamen nicht einfach so ändern wie das Passwort. Es gibt da aber einen Trick. Erstelle einen neuen Benutzer mit sicheren Benutzernamen und Passwort. Weise diesem Benutzer die Administrator-Rechte zu. Lösche dann den ursprünglichen Benutzer.
Während des Löschvorgangs wirst du gefragt, ob du den Inhalt, der von diesem Benutzer erstellt wurde, löschen oder einem anderen Nutzer zuordnen möchtest. Wähle an dieser Stelle die zweite Option und ordne den Inhalt dem neu erstellten User zu. Jetzt hat dein Account auch sichere Zugangsdaten.
Ein starkes Passwort erstellen
Ein sicheres Passwort ist neben dem Benutzernamen wichtig, um deine Website sicherer zu machen. Seit Jahren wird gefühlt an jeder Ecke alle fünf Minuten gesagt, man soll keine Passwörter wie „Passwort123“ oder „meinpasswort“ verwenden. Dennoch finde ich immer wieder solche zum Hack einladende Schätzchen in den Installationen meiner Kunden.
Im Klartext: Bei solchen Passwörtern kannst du direkt eine „Herzlich willkommen, liebe Hacker“- Nachricht auf deiner Login-Seite platzieren. Denn solche einfachen Passwörter werden von entsprechenden Programmen im Nu geknackt.
Ein gutes Passwort sollte …
- mindestens 12 Zeichen lang sein,
- Groß- und Kleinbuchstaben enthalten,
- Zahlen und Sonderzeichen verwenden,
- keine realen Wörter enthalten.
Bilde einen Satz und verwende die Anfangsbuchstaben jedes Wortes plus ein paar Sonderzeichen:
i1d2m3e4s5p6a7
Variiere zwischen Klein- und Großbuchstaben. Und verwende Sonderzeichen. In unserem Beispiel könnte dein Passwort also so aussehen:
i1D2m)3e4S5§p6a7
Passwort automatisch erstellen und speichern
Eine weitere Möglichkeit zur Erstellung eines sicheren Passworts sind spezielle Online-Password-Generatoren, wie z.B. der Passwort Generator oder der Passwort Generator von experte.de.
Hier kannst du dir automatisch ein Passwort in der gewünschten Länge erstellen lassen. Durch weitere Vorgaben (z.B. Auswahl von Sonderzeichen) in den erweiterten Einstellungen kannst du deine Passwörter an die Anforderungen des jeweiligen Systems, in dem du diese Passwörter verwenden möchtest, anpassen.
Da automatisch generierte Passwörter in der Regel nur schwer zu merken sind, brauchst du eine sichere Möglichkeit deine Passwörter zu speichern. Nutze dafür am besten einen Passwort-Manager wie LastPass oder 1Password.
Damit hast du deine Zugangsdaten sicher gespeichert – und brauchst dir nur noch ein Master-Passwort zu merken.
Login-Seite verstecken – sinnvoll oder überflüssig?
In vielen Blogbeiträgen anderer WordPress Experten wird das „Verstecken“ der Login-Seite als Sicherheitsmaßnahme empfohlen. Dabei weist du deinem WP Login eine andere URL zu. Zum Beispiel https://deineseite.de/administrationsbereich statt https://deineseite.de/wp-login. So ist der Anmeldebereich nicht unter der Standardurl zu finden. Das soll verhindern, dass Angreifer überhaupt wissen, wo sich dein Login befindet.
Ich halte von dieser Maßnahme nicht so viel. Sie kann als zusätzlicher Schutz dienen – ist aber längst kein Geheimtipp mehr. Viele Tools und Bots erkennen auch versteckte Login-Seiten. Ohne sichere Zugangsdaten bringt diese Methode wenig. Deshalb lege den Fokus lieber auf einen starken Benutzernamen und ein sicheres Passwort.
Wenn du deinen Login-Bereich doch gerne verstecken möchtest, nutze dafür das Plugin WPS Hide Login. Es ist ein sehr einfaches Plugin, mit dem die URL der Anmeldeseite einfach und sicher geändert wird.
Eine etwas sinnvollere Maßnahme aus meiner Sicht ist das Begrenzen von Login Versuchen. Das kannst du ebenfalls mit einem Plugin und nur wenigen Einstellung realisieren.
Fazit: So sicherst du deinen WordPress Login wirklich ab
Wenn du deinen WordPress Login absichern willst, geht das schon mit ganz einfachen Mitteln:
- Verwende keinen generischen Benutzernamen wie „admin“ oder Teile deines Namens.
- Erstelle ein sicheres Passwort, das nicht erraten oder automatisch geknackt werden kann.
- Nutze bei Bedarf Passwort-Manager und -Generatoren, um komplexe Daten sicher zu erstellen und zu speichern.
Diese Maßnahmen klingen simpel – sind aber oft schon die halbe Miete, wenn es darum geht, deine Website gegen Brute-Force-Angriffe abzusichern.
2 Kommentare
Interessanter Artikel – Danke dafür!
ich suche aktuell nach einer Möglichkeit bei neuen Benutzern die Verwendung eines sicheren Passwortes (Mindestlänge) zu forcieren. Gibt es da Möglichketen? Empfehlenswerte Plugins?
Danke
Marion
Hallo Marion,
danke dir. Dafür könnte das Plugin WP Password Policy Manager etwas sein. Oder in den PHP-Dateien direkt die Mindestlänge festlegen.
Gruß
Tatjana