Schutz von wp-admin gegen Anmelde-Versuche


Frage: Dauernd versucht jemand, sich mit einer Kombination aus dem Benutzernamen „admin“ und einem Passwort in meinem Blog anzumelden. Ist das gefährlich und wie stelle ich das ab?

Für eine Weile haben viele Anwender aus Bequemlichkeit den in älteren Versionen von WordPress vorgegebenen Benutzernamen „admin“ einfach übernommen. Deshalb gibt es immer wieder Versuche, durch eine geschickte Kombination aus dem Benutzernamen „admin“ und einem zufällig gewählten Passwort in eine der zahlreichen WordPress-Installationen einzubrechen, um dann dort irgendwelchen Mist anzustellen.

Kurz: Angriffe auf wp-admin sind nichts außergewöhnliches. Sie sind aber, wenn du nicht selber gerade eine Kombination aus „admin“ und „password“ verwendest, auch nicht wirklich gefährlich.

Es gibt verschiedene Wege, wie man sich gegen diese Angriffe schützt.

  • Du kannst ein Plugin (z.B. Login Lockdown) installieren, dass die IP-Adresse nach einer vorgegebenen Anzahl von fehlgeschlagenen Anmeldungen blockiert, um ein „Durchprobieren“ von Passwortkombinationen zu unterbinden.
  • Du kannst ein Plugin für Zwei-Wege-Authorisierung (z.B. Two Factor) installieren, um die Anmeldung mit einer weiteren Identifikationshürde zu versehen.
  • Du kannst per .htaccess den Zugriff auf wp-admin mit einem weiteren Passwort zu schützen. (Anleitung findest du z.B. hier)
  • Du kannst das Anmeldeformular „verschieben“ und die Anmeldung per wp-admin komplett unterbinden. Dazu gibt es z.B. das Plugin Rename wp-login.php
  • Eine Kombination der o.g. Möglichkeiten ist natürlich auch möglich, nur nerven einen dann die zusätzlichen Hürden irgendwann selbst.