WordPress Login-URL ändern zur Erhöhung der Sicherheit

Warum die Standard-Login-URL ein Sicherheitsrisiko ist

WordPress wird weltweit von Millionen von Websites genutzt. Standardmäßig ist das Login unter /wp-admin oder /wp-login.php erreichbar. Das macht es für Hacker einfach, gezielt Brute-Force-Angriffe durchzuführen, um Passwörter zu erraten.

Einige Sicherheitsprobleme, die durch die Standard-Login-URL entstehen:

  • Brute-Force-Angriffe: Bots probieren massenhaft Benutzernamen und Passwörter aus.
  • Spam-Registrierungen: Falls du eine offene Registrierung hast, können Bots Spam-Konten erstellen.
  • DoS-Angriffe auf die Login-Seite: Die Login-Seite kann durch viele Anfragen überlastet werden.

Eine einfache und effektive Maßnahme ist die Änderung der Login-URL. Damit verhinderst du, dass Angreifer die Login-Seite leicht finden.

Methode 1: Login-URL mit Code ändern (ohne Plugin)

Die sicherste Methode ist, die Login-URL direkt per Code anzupassen.

1. Erstelle eine neue Datei für das Login-Formular

  1. Gehe in dein Theme-Verzeichnis unter wp-content/themes/dein-theme/.
  2. Erstelle eine neue Datei, z. B. login-meineseite.php.
  3. Füge folgenden Code hinzu:
<?php
/**
 * Eigenes WordPress-Login-Formular
 */
require_once(dirname(__FILE__) . '/wp-login.php');

Nun kannst du dich unter deine-seite.de/login-meineseite.php einloggen.

2. Standard-Login deaktivieren

Jetzt müssen wir verhindern, dass /wp-login.php weiterhin zugänglich bleibt. Dazu fügen wir diesen Code in die functions.php ein:

function redirect_default_login() {
    if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false) {
        wp_redirect(home_url('/login-meineseite.php'));
        exit;
    }
}
add_action('init', 'redirect_default_login');

Dieser Code leitet alle Anfragen von /wp-login.php auf die neue Login-URL um.

3. Admin-Bereich zusätzlich schützen

Falls Angreifer /wp-admin/ direkt aufrufen, können sie die Weiterleitung umgehen. Deshalb blockieren wir auch /wp-admin/ für nicht eingeloggte Nutzer:

function protect_admin_area() {
    if (!is_user_logged_in() && !strpos($_SERVER['REQUEST_URI'], 'login-meineseite.php')) {
        wp_redirect(home_url());
        exit;
    }
}
add_action('init', 'protect_admin_area');

Dadurch wird jeder Versuch, /wp-admin/ aufzurufen, auf die Startseite umgeleitet, sofern der Nutzer nicht eingeloggt ist.

Methode 2: Login-URL mit Plugin ändern

Falls du keine Code-Anpassungen machen möchtest, kannst du ein Plugin nutzen. Empfehlenswerte Plugins sind:

  • WPS Hide Login – Ändert die Login-URL ohne Code
  • Solid Security – Erweiterter Schutz für Login und Admin-Bereich

So funktioniert WPS Hide Login:

  1. Installiere das Plugin über Plugins > Installieren.
  2. Gehe zu Einstellungen > WPS Hide Login.
  3. Ändere die Login-URL, z. B. auf /geheimer-login.
  4. Speichere die Einstellungen.

Ab sofort ist die Standard-Login-Seite deaktiviert und du kannst dich nur noch über die neue URL anmelden.

Zusätzliche Sicherheitsmaßnahmen für die Login-Seite

Das Ändern der Login-URL ist eine gute erste Maßnahme. Aber es gibt noch weitere Möglichkeiten, die Sicherheit zu erhöhen.

1. Login-Versuche begrenzen

Um Brute-Force-Angriffe zu verhindern, kannst du Login-Versuche mit diesem Code auf 3 begrenzen:

function limit_login_attempts($user, $password) {
    $attempts = get_transient('login_attempts');
    
    if ($attempts === false) {
        $attempts = 1;
    } else {
        $attempts++;
    }

    if ($attempts > 3) {
        wp_die('Zu viele Fehlversuche! Versuche es später erneut.');
    }

    set_transient('login_attempts', $attempts, 60 * 10);
}
add_action('wp_authenticate', 'limit_login_attempts', 30, 2);

Nach drei falschen Versuchen wird der Login für 10 Minuten gesperrt.

2. Zwei-Faktor-Authentifizierung aktivieren

Eine weitere Möglichkeit, die Sicherheit zu erhöhen, ist die Zwei-Faktor-Authentifizierung (2FA). Plugins wie Google Authenticator oder WP 2FA fügen eine zusätzliche Sicherheitsebene hinzu.

3. Login mit CAPTCHA schützen

Um Spam-Bots zu blockieren, kannst du Google reCAPTCHA oder eine DSGVO freundlichere Variante wie F12 Spam Protection nutzen, um Spambots von deiner Seite fern zu halten.

Fazit

Das Ändern der WordPress-Login-URL ist eine einfache, aber effektive Methode, um Brute-Force-Angriffe und unbefugte Zugriffe zu verhindern. Die sicherste Variante ist, den Login-Pfad per Code zu ändern und gleichzeitig /wp-login.php und /wp-admin/ zu schützen.

Zusätzliche Maßnahmen wie Login-Versuche begrenzen, Zwei-Faktor-Authentifizierung oder reCAPTCHA erhöhen die Sicherheit weiter.

Wenn du diese Tipps umsetzt, wird deine WordPress-Seite deutlich sicherer und für Angreifer schwerer angreifbar!

Wir haben diesen Blogbeitrag mit KI-Unterstützung erstellt.

Similar Posts