Hilfe - WordPress

Video-Anleitungen

Bruteforce-Schutz für das WordPress-Login

Angreifer versuchen sehr häufig über Bruteforce-Attacken an die Zugangsdaten für WordPress zu gelangen. Diese Attacken laufen automatisiert ab und können bei entsprechender Intensität eine sehr hohe Last auf dem Webserver auslösen.

Angriffsziele sind die Dateien wp-login.php (hier erläutert) und xmlrpc.php.

Wir stellen hier verschiedene Möglichkeiten vor, um ein WordPress besser zu schützen. 

 

.htaccess - Passwortschutz

Der .htaccess-Passwortschutz ist der beste Schutz und über unser Control-Center leicht einzurichten:

Zunächst wird ein Benutzer + Passwort eingerichtet:


Jetzt den Passwortschutz-Funktion erneut aufrufen:

und einen geschützten Bereich anlegen:

1) Datei "wp-login.php" auswählen

2) Name vergeben

3) User auswählen

4) Schutz aktivieren

 

.htaccess - Schutz: Zugriff nur von bestimmten IPs oder Netzwerken erlauben

Leider liegt bei WordPress die Backend-Loginfunktion nicht in einem eigenen Verzeichnis, so das man nicht einfach alle Backend-Funktionen per .htaccess-Passwortschutz effektiv schützen kann. Dies ist leider ein großes Sicherheitsmanko.

Um das Login zu schützen, muss man den Zugriff auf die Datei "wp-login.php" einschränken. In der hier vorgestellten zweiten Variante erfolgt eine Einschränkung des Zugriffs auf IPs oder Einwahl-Netzbereiche typischer Einwahlprovider. Weil die meisten User keine eigene Einwahl-IP nutzen, muss man in diesem Fall Bereiche freigeben. Die meisten Attacken erfolgen üblicherweise über ausländische IPs und die werden damit gesperrt.

Über diesen Link kann die eigene IP ermittelt werden bzw. der Hostname, den der Einwahlprovider vergibt. Meistens steckt im Hostnamen eine eindeutige Domain, mit denen alle Hostnamen der Einwahl-IPs des Providers gebildet werden. Mit Hilfe der so ermittelten Domain kann eine .htaccess Datei im obersten WordPress-Verzeichnis (dort wo auch die Datei "wp-login.php" liegt) erzeugt oder ergänzt werden.

Beispiel:

Alle Einwahl-IPs von hansenet.de und kabel-deutschland.de erlauben und ebenso die IP 127.0.0.1 und 123.123.123.123

<Files "wp-login.php">
  order deny,allow
  deny from all
  allow from hansenet.de
  allow from dynamic.kabel-deutschland.de
  allow from net-htp.de
  allow from 127.0.0.1
  allow from 123.123.123.123
</Files>

© 2024 fc-hosting.de | +49-(0)5032-933-068-0 | info@fc-hosting.de

Quick-Links

Aufträge/Formulare

Tools

Tipps und Hilfen