Webdesign 4 Min. Lesezeit 5. Februar 2025

WordPress Login-URL ändern zur Erhöhung der Sicherheit

Michael Rademacher

5. Februar 2025

"Logo der Kreativagentur realmaker mit Slogan: Websites, Livestreams & Imagefilme. Spezialisiert auf WordPress-CMS."

Warum die Standard-Login-URL ein Sicherheitsrisiko ist

WordPress wird weltweit von Millionen von Websites genutzt. Standardmäßig ist das Login unter /wp-admin oder /wp-login.php erreichbar. Das macht es für Hacker einfach, gezielt Brute-Force-Angriffe durchzuführen, um Passwörter zu erraten.

Einige Sicherheitsprobleme, die durch die Standard-Login-URL entstehen:

  • Brute-Force-Angriffe: Bots probieren massenhaft Benutzernamen und Passwörter aus.
  • Spam-Registrierungen: Falls du eine offene Registrierung hast, können Bots Spam-Konten erstellen.
  • DoS-Angriffe auf die Login-Seite: Die Login-Seite kann durch viele Anfragen überlastet werden.

Eine einfache und effektive Maßnahme ist die Änderung der Login-URL. Damit verhinderst du, dass Angreifer die Login-Seite leicht finden.

Methode 1: Login-URL mit Code ändern (ohne Plugin)

Die sicherste Methode ist, die Login-URL direkt per Code anzupassen.

1. Erstelle eine neue Datei für das Login-Formular

  1. Gehe in dein Theme-Verzeichnis unter wp-content/themes/dein-theme/.
  2. Erstelle eine neue Datei, z. B. login-meineseite.php.
  3. Füge folgenden Code hinzu:
<?php
/**
 * Eigenes WordPress-Login-Formular
 */
require_once(dirname(__FILE__) . '/wp-login.php');

Nun kannst du dich unter deine-seite.de/login-meineseite.php einloggen.

2. Standard-Login deaktivieren

Jetzt müssen wir verhindern, dass /wp-login.php weiterhin zugänglich bleibt. Dazu fügen wir diesen Code in die functions.php ein:

function redirect_default_login() {
    if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false) {
        wp_redirect(home_url('/login-meineseite.php'));
        exit;
    }
}
add_action('init', 'redirect_default_login');

Dieser Code leitet alle Anfragen von /wp-login.php auf die neue Login-URL um.

3. Admin-Bereich zusätzlich schützen

Falls Angreifer /wp-admin/ direkt aufrufen, können sie die Weiterleitung umgehen. Deshalb blockieren wir auch /wp-admin/ für nicht eingeloggte Nutzer:

function protect_admin_area() {
    if (!is_user_logged_in() && !strpos($_SERVER['REQUEST_URI'], 'login-meineseite.php')) {
        wp_redirect(home_url());
        exit;
    }
}
add_action('init', 'protect_admin_area');

Dadurch wird jeder Versuch, /wp-admin/ aufzurufen, auf die Startseite umgeleitet, sofern der Nutzer nicht eingeloggt ist.

Methode 2: Login-URL mit Plugin ändern

Falls du keine Code-Anpassungen machen möchtest, kannst du ein Plugin nutzen. Empfehlenswerte Plugins sind:

  • WPS Hide Login – Ändert die Login-URL ohne Code
  • Solid Security – Erweiterter Schutz für Login und Admin-Bereich

So funktioniert WPS Hide Login:

  1. Installiere das Plugin über Plugins > Installieren.
  2. Gehe zu Einstellungen > WPS Hide Login.
  3. Ändere die Login-URL, z. B. auf /geheimer-login.
  4. Speichere die Einstellungen.

Ab sofort ist die Standard-Login-Seite deaktiviert und du kannst dich nur noch über die neue URL anmelden.

Zusätzliche Sicherheitsmaßnahmen für die Login-Seite

Das Ändern der Login-URL ist eine gute erste Maßnahme. Aber es gibt noch weitere Möglichkeiten, die Sicherheit zu erhöhen.

1. Login-Versuche begrenzen

Um Brute-Force-Angriffe zu verhindern, kannst du Login-Versuche mit diesem Code auf 3 begrenzen:

function limit_login_attempts($user, $password) {
    $attempts = get_transient('login_attempts');
    
    if ($attempts === false) {
        $attempts = 1;
    } else {
        $attempts++;
    }

    if ($attempts > 3) {
        wp_die('Zu viele Fehlversuche! Versuche es später erneut.');
    }

    set_transient('login_attempts', $attempts, 60 * 10);
}
add_action('wp_authenticate', 'limit_login_attempts', 30, 2);

Nach drei falschen Versuchen wird der Login für 10 Minuten gesperrt.

2. Zwei-Faktor-Authentifizierung aktivieren

Eine weitere Möglichkeit, die Sicherheit zu erhöhen, ist die Zwei-Faktor-Authentifizierung (2FA). Plugins wie Google Authenticator oder WP 2FA fügen eine zusätzliche Sicherheitsebene hinzu.

3. Login mit CAPTCHA schützen

Um Spam-Bots zu blockieren, kannst du Google reCAPTCHA oder eine DSGVO freundlichere Variante wie F12 Spam Protection nutzen, um Spambots von deiner Seite fern zu halten.

Fazit

Das Ändern der WordPress-Login-URL ist eine einfache, aber effektive Methode, um Brute-Force-Angriffe und unbefugte Zugriffe zu verhindern. Die sicherste Variante ist, den Login-Pfad per Code zu ändern und gleichzeitig /wp-login.php und /wp-admin/ zu schützen.

Zusätzliche Maßnahmen wie Login-Versuche begrenzen, Zwei-Faktor-Authentifizierung oder reCAPTCHA erhöhen die Sicherheit weiter.

Wenn du diese Tipps umsetzt, wird deine WordPress-Seite deutlich sicherer und für Angreifer schwerer angreifbar!

Wir haben diesen Blogbeitrag mit KI-Unterstützung erstellt.

#WordPress
Michael Rademacher

Michael Rademacher

Gründer & Geschäftsführer

CEO, Creative Director & Web Developer Michael Rademacher hat Multimedia und Kommunikation studiert und mit Bachelor of Arts abgeschlossen. Seit 2003 ist er selbstständiger Webentwickler und Filmemacher. Seine Kreativagentur realmaker realisiert Webprojekte, Imagefilme, Webcasts und Luftaufnahmen.

← Vorheriger Artikel

Eigene Funktionen in die functions.php einfügen – WordPress richtig erweitern

Nächster Artikel →

Benutzerrollen und Berechtigungen in WordPress individuell anpassen

Das könnte Sie auch interessieren