WordPress Login-URL ändern zur Erhöhung der Sicherheit
Warum die Standard-Login-URL ein Sicherheitsrisiko ist
WordPress wird weltweit von Millionen von Websites genutzt. Standardmäßig ist das Login unter /wp-admin
oder /wp-login.php
erreichbar. Das macht es für Hacker einfach, gezielt Brute-Force-Angriffe durchzuführen, um Passwörter zu erraten.
Einige Sicherheitsprobleme, die durch die Standard-Login-URL entstehen:
- Brute-Force-Angriffe: Bots probieren massenhaft Benutzernamen und Passwörter aus.
- Spam-Registrierungen: Falls du eine offene Registrierung hast, können Bots Spam-Konten erstellen.
- DoS-Angriffe auf die Login-Seite: Die Login-Seite kann durch viele Anfragen überlastet werden.
Eine einfache und effektive Maßnahme ist die Änderung der Login-URL. Damit verhinderst du, dass Angreifer die Login-Seite leicht finden.
Methode 1: Login-URL mit Code ändern (ohne Plugin)
Die sicherste Methode ist, die Login-URL direkt per Code anzupassen.
1. Erstelle eine neue Datei für das Login-Formular
- Gehe in dein Theme-Verzeichnis unter
wp-content/themes/dein-theme/
. - Erstelle eine neue Datei, z. B.
login-meineseite.php
. - Füge folgenden Code hinzu:
<?php
/**
* Eigenes WordPress-Login-Formular
*/
require_once(dirname(__FILE__) . '/wp-login.php');
Nun kannst du dich unter deine-seite.de/login-meineseite.php
einloggen.
2. Standard-Login deaktivieren
Jetzt müssen wir verhindern, dass /wp-login.php
weiterhin zugänglich bleibt. Dazu fügen wir diesen Code in die functions.php
ein:
function redirect_default_login() {
if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false) {
wp_redirect(home_url('/login-meineseite.php'));
exit;
}
}
add_action('init', 'redirect_default_login');
Dieser Code leitet alle Anfragen von /wp-login.php
auf die neue Login-URL um.
3. Admin-Bereich zusätzlich schützen
Falls Angreifer /wp-admin/
direkt aufrufen, können sie die Weiterleitung umgehen. Deshalb blockieren wir auch /wp-admin/
für nicht eingeloggte Nutzer:
function protect_admin_area() {
if (!is_user_logged_in() && !strpos($_SERVER['REQUEST_URI'], 'login-meineseite.php')) {
wp_redirect(home_url());
exit;
}
}
add_action('init', 'protect_admin_area');
Dadurch wird jeder Versuch, /wp-admin/
aufzurufen, auf die Startseite umgeleitet, sofern der Nutzer nicht eingeloggt ist.
Methode 2: Login-URL mit Plugin ändern
Falls du keine Code-Anpassungen machen möchtest, kannst du ein Plugin nutzen. Empfehlenswerte Plugins sind:
- WPS Hide Login – Ändert die Login-URL ohne Code
- Solid Security – Erweiterter Schutz für Login und Admin-Bereich
So funktioniert WPS Hide Login:
- Installiere das Plugin über Plugins > Installieren.
- Gehe zu Einstellungen > WPS Hide Login.
- Ändere die Login-URL, z. B. auf
/geheimer-login
. - Speichere die Einstellungen.
Ab sofort ist die Standard-Login-Seite deaktiviert und du kannst dich nur noch über die neue URL anmelden.
Zusätzliche Sicherheitsmaßnahmen für die Login-Seite
Das Ändern der Login-URL ist eine gute erste Maßnahme. Aber es gibt noch weitere Möglichkeiten, die Sicherheit zu erhöhen.
1. Login-Versuche begrenzen
Um Brute-Force-Angriffe zu verhindern, kannst du Login-Versuche mit diesem Code auf 3 begrenzen:
function limit_login_attempts($user, $password) {
$attempts = get_transient('login_attempts');
if ($attempts === false) {
$attempts = 1;
} else {
$attempts++;
}
if ($attempts > 3) {
wp_die('Zu viele Fehlversuche! Versuche es später erneut.');
}
set_transient('login_attempts', $attempts, 60 * 10);
}
add_action('wp_authenticate', 'limit_login_attempts', 30, 2);
Nach drei falschen Versuchen wird der Login für 10 Minuten gesperrt.
2. Zwei-Faktor-Authentifizierung aktivieren
Eine weitere Möglichkeit, die Sicherheit zu erhöhen, ist die Zwei-Faktor-Authentifizierung (2FA). Plugins wie Google Authenticator oder WP 2FA fügen eine zusätzliche Sicherheitsebene hinzu.
3. Login mit CAPTCHA schützen
Um Spam-Bots zu blockieren, kannst du Google reCAPTCHA oder eine DSGVO freundlichere Variante wie F12 Spam Protection nutzen, um Spambots von deiner Seite fern zu halten.
Fazit
Das Ändern der WordPress-Login-URL ist eine einfache, aber effektive Methode, um Brute-Force-Angriffe und unbefugte Zugriffe zu verhindern. Die sicherste Variante ist, den Login-Pfad per Code zu ändern und gleichzeitig /wp-login.php
und /wp-admin/
zu schützen.
Zusätzliche Maßnahmen wie Login-Versuche begrenzen, Zwei-Faktor-Authentifizierung oder reCAPTCHA erhöhen die Sicherheit weiter.
Wenn du diese Tipps umsetzt, wird deine WordPress-Seite deutlich sicherer und für Angreifer schwerer angreifbar!
Wir haben diesen Blogbeitrag mit KI-Unterstützung erstellt.