Security Blog

Benutzerdefinierte Anmeldeseite für WordPress

So benennen Sie wp-login.php um, erstellen eine benutzerdefinierte Anmelde-URL und schützen WordPress vor automatisierten Brute-Force- und Bot-Angriffen.


English version: Custom login page for WordPress


Die Funktion „Benutzerdefinierte Anmeldeseite“ ist ein hervorragendes Tool, um die Angriffsfläche zu reduzieren und Spam-Registrierungen zu vermeiden. Sie sollten sie als Erstes in einer neu installierten WordPress-Anwendung aktivieren. Eine weitere dringend empfohlene Sicherheitsmaßnahme ist das Umbenennen des WordPress-Plugin-Ordners .

Warum es wichtig ist und warum es funktioniert

Laut unseren Studien bei Cerber Lab basieren die meisten Hacker-Tools und -Angriffe auf der Annahme, dass eine betroffene WordPress-Website die Standard-Anmeldeseite hat und sich Plugins im Standardordner befinden. Obwohl empfohlen wird, auf keiner Website Standardwerte zu verwenden, ignorieren viele Websitebetreiber diese einfachen Prinzipien und ermöglichen Hackern so erfolgreiche Angriffe. Deshalb lieben Hacker WordPress so sehr, und wir sehen ständig Hunderttausende gehackte Websites.

Konfigurieren Sie Ihre benutzerdefinierte Anmeldeseite

Mit WP Cerber können Sie die standardmäßige WordPress-Anmelde-URL wp-login.php einfach und sicher in eine beliebige URL ändern. Mit anderen Worten: Sie können Ihre eindeutige, Ihnen bekannte benutzerdefinierte Anmeldeseite konfigurieren (eine benutzerdefinierte Anmelde-URL bedeutet in diesem Zusammenhang dasselbe) und wp-login.php vor böswilligen Akteuren, Scannern und Bots verbergen. Sie müssen weder die .htaccess-Datei bearbeiten noch die Datei wp-login.php umbenennen. Mit WP Cerber können Sie sie mit wenigen Klicks konfigurieren.

  1. Gehen Sie zur Admin-Seite „Haupteinstellungen“ des Plugins.
  2. Geben Sie Ihre neue gewünschte Anmelde-URL in das Feld „Benutzerdefinierte Anmelde-URL“ ein und speichern Sie die Einstellungen. Das war‘s.
  3. Wenn Sie ein Caching-Plugin verwenden, fügen Sie Ihre neue Anmelde-URL der Liste der Seiten hinzu, die nicht zwischengespeichert werden sollen.
  4. Stellen Sie sicher, dass Ihre neue Login-URL korrekt funktioniert und Sie sich damit anmelden können. Führen Sie dies in einem Inkognito-Browserfenster durch. Melden Sie sich erst von Ihrer Website ab, wenn dies sichergestellt ist .
WordPress login security and custom login page settings

Custom WordPress login page settings

So verbergen Sie wp-login.php vor Bots und Scannern

Sobald Sie die Kundenanmeldeseite aktiviert haben, ist es sinnvoll, die Standard-WordPress-Anmeldeseite auszublenden, um Brute-Force-Angriffe zu verhindern. Setzen Sie dazu die Einstellung „Verarbeitung von wp-login.php-Authentifizierungsanfragen“ auf „Zugriff auf wp-login.php blockieren“. Beim Versuch, auf die Seite zuzugreifen, zeigt WP Cerber die Standardseite „404 Nicht gefunden“ an. Es gibt nur einen Nachteil, den Sie bedenken sollten: Wenn ein Angreifer schlau genug ist, scannt er möglicherweise weiterhin die Website und sucht nach Ihrer echten Anmeldeseite.

So deaktivieren Sie wp-login.php

Eine weitere, erweiterte Option, die Sie in Betracht ziehen sollten, ist die Deaktivierung von wp-login.php, ohne den Zugriff darauf zu blockieren. Wie funktioniert das? Diese einzigartige Funktion von WP Cerber verhindert jeden Authentifizierungsversuch über wp-login.php. Beim Anmeldeversuch ahmt WP Cerber den standardmäßigen Fehler „falsches Passwort“ nach und bricht die Benutzerauthentifizierung ab. Das eingegebene Passwort spielt keine Rolle; niemand darf sich anmelden, auch nicht mit dem richtigen Passwort. Um diese Funktion zu aktivieren, setzen Sie die Einstellung „Verarbeitung von wp-login.php-Authentifizierungsanfragen“ auf „Authentifizierung über wp-login.php verweigern“.

Eine Warnung zum Erinnern

Wenn Sie oder Ihr Benutzer vergessen, dass wp-login.php deaktiviert ist und nicht zum Anmelden verwendet werden kann, können Sie oder Ihr Benutzer sich nie bei der Website anmelden und werden nach mehreren Versuchen, wp-login.php zu verwenden, gesperrt.

Wenn Sie „Verarbeitung von wp-login.php-Authentifizierungsanfragen“ auf einen anderen Wert als den Standardwert eingestellt haben, können Sie nur Ihre benutzerdefinierte Anmelde-URL verwenden. Weder /wp-login.php noch /wp-admin/ können mehr zum Anmelden verwendet werden.

Wichtige Dinge, die Sie wissen müssen

  • Wenn Sie ein Caching-Plugin wie W3 Total Cache oder WP Super Cache verwenden, müssen Sie den Slug der neuen benutzerdefinierten Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen.
  • Bei einer WordPress-Multisite-Installation wird die neue Login-URL global für alle Sites festgelegt.
  • Löschen oder benennen Sie die Datei wp-login.php nicht manuell. Nach der Aktualisierung Ihres WordPress auf eine neuere Version wird wp-login.php wiederhergestellt und ist für Eindringlinge wieder zugänglich.

Mehr Sicherheit mit der Zwei-Faktor-Authentifizierung

Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), um Administratorkonten zu schützen. Sie bietet zusätzliche Sicherheit und erfordert neben Benutzername und Passwort einen zweiten Identifikationsfaktor.

Mehr erfahren: So aktivieren Sie die Zwei-Faktor-Authentifizierung für WordPress

Fehlerbehebung bei der Funktion „Benutzerdefinierte Anmelde-URL“

Das Aktivieren der benutzerdefinierten Anmeldeseite kann dazu führen, dass einige Plugins nicht mehr funktionieren. Wenn Sie ein Plugin zur Anpassung der Anmeldeseite oder ein Social-Login-Plugin verwenden, funktioniert dieses möglicherweise nicht mehr. Um dieses Problem zu beheben, aktivieren Sie „Darstellung der benutzerdefinierten Anmeldeseite verschieben“. Lesen Sie mehr über diese Einstellung .

Wenn Sie Ihre benutzerdefinierte Anmelde-URL eingerichtet und nach einiger Zeit vergessen haben, überprüfen Sie zunächst das E-Mail-Postfach des Site-Administrators auf eine Benachrichtigungs-E-Mail über Ihre neue Anmelde-URL oder einen wöchentlichen E-Mail-Bericht. In diesen E-Mails finden Sie Ihre benutzerdefinierte Anmelde-URL. Wenn Sie eine solche E-Mail nicht finden können, müssen Sie WP Cerber manuell neu installieren. Führen Sie dazu die folgenden Schritte aus.

  1. Löschen Sie den Plugin-Ordner /wp-cerber/ manuell mithilfe von FTP oder einem beliebigen Dateimanager in Ihrem Hosting-Kontrollfeld.
  2. Melden Sie sich wie gewohnt bei Ihrem WordPress-Dashboard an, indem Sie die Standard-URL /wp-login.php verwenden oder eine andere Methode, die Sie vor der Aktivierung der benutzerdefinierten Anmelde-URL verwendet haben.
  3. Installieren und aktivieren Sie das WP Cerber Security-Plugin wie gewohnt.
  4. Gehen Sie zur Haupteinstellungsseite des Plugins.
  5. Überprüfen Sie das Feld Benutzerdefinierte Anmelde-URL . Es zeigt Ihre benutzerdefinierte Anmelde-URL an, die Sie verwenden müssen. Merken Sie sich diese.

Nächste Schritte zur Stärkung Ihrer WordPress-Sicherheit


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments