Security Blog

Benutzerdefinierte Anmeldeseite für WordPress

So benennen Sie wp-login.php um, erstellen eine benutzerdefinierte Anmelde-URL und schützen WordPress vor automatisierten Brute-Force- und Bot-Angriffen.


English version: Custom login page for WordPress


Die benutzerdefinierte Anmeldeseitenfunktion ist ein großartiges Tool, um die Angriffsfläche zu reduzieren und Spam-Registrierungen zu eliminieren. Es ist das erste, was Sie auf einem neu installierten WordPress aktivieren sollten. Eine weitere sehr empfehlenswerte Sicherheitsmaßnahme ist das Umbenennen des Plug-in-Ordners von WordPress .

Warum es wichtig ist und warum es funktioniert

Gemäß unseren Studien bei Cerber Lab basieren die meisten Hacker-Tools und -Angriffe auf der Annahme, dass eine WordPress-betriebene Website des Opfers die Standard-Anmeldeseite hat und Plugins sich im Standardordner befinden. Obwohl empfohlen wird, auf keiner Website Standardwerte zu verwenden, ignorieren viele Websitebesitzer diese einfachen Prinzipien, sodass Hacker sie erfolgreich angreifen können. Und deshalb lieben Hacker WordPress so sehr, und wir sehen zu jeder Zeit Hunderttausende von gehackten Websites.

Konfigurieren Sie Ihre benutzerdefinierte Anmeldeseite

Mit WP Cerber können Sie die standardmäßige WordPress-Anmelde-URL wp-login.php einfach und sicher in eine beliebige URL ändern, die Sie benötigen. Mit anderen Worten, Sie können Ihre einzigartige, Ihnen bekannte benutzerdefinierte Anmeldeseite konfigurieren (eine benutzerdefinierte Anmelde-URL bedeutet in diesem Zusammenhang dasselbe) und wp-login.php vor schlechten Akteuren, Scannern und Bots verbergen. Du musst die .htaccess-Datei nicht bearbeiten oder die wp-login.php-Datei umbenennen. Mit WP Cerber können Sie es mit mehreren Klicks konfigurieren.

  1. Gehen Sie zur Admin-Seite der Haupteinstellungen des Plugins.
  2. Geben Sie Ihre neue gewünschte Anmelde-URL in das Feld Benutzerdefinierte Anmelde-URL ein und speichern Sie die Einstellungen. Das ist es.
  3. Wenn Sie ein Caching-Plug-in verwenden, fügen Sie Ihre neue Anmelde-URL zur Liste der Seiten hinzu, die nicht zwischengespeichert werden sollen.
  4. Stellen Sie sicher, dass Ihre neue Anmelde-URL korrekt funktioniert und Sie sich damit anmelden können. Tun Sie dies in einem Inkognito-Browserfenster. Melden Sie sich nicht von Ihrer Website ab, bis Sie sich vergewissert haben, dass Ihre neue Anmelde-URL gut funktioniert .
WordPress login security and custom login page settings

Custom WordPress login page settings

Wie man wp-login.php vor Bots und Scannern verbirgt

Sobald Sie die Kunden-Anmeldeseite aktiviert haben, ist es sinnvoll, die Standard-WordPress-Anmeldeseite auszublenden, um Brute-Force-Angriffe darauf zu verhindern. Um dies zu erreichen, setzen Sie die Einstellung Verarbeitung von wp-login.php-Authentifizierungsanfragen auf „Zugriff auf wp-login.php blockieren“. Beim Versuch, auf die Seite zuzugreifen, rendert WP Cerber die Standardseite „404 Not Found“. Es gibt nur einen Nachteil, an den Sie denken sollten. Wenn ein Angreifer schlau genug ist, kann er die Website weiter scannen und nach Ihrer echten Anmeldeseite suchen.

So deaktivieren Sie wp-login.php

Eine weitere erweiterte Option, die Sie in Betracht ziehen sollten, ist das Deaktivieren von wp-login.php, ohne den Zugriff darauf zu blockieren. Wie funktioniert es? Diese einzigartige Funktion von WP Cerber stoppt jeden Versuch, sich über wp-login.php zu authentifizieren. Beim Versuch, sich anzumelden, ahmt WP Cerber den standardmäßigen falschen Passwortfehler nach und bricht den Benutzerauthentifizierungsprozess ab. Es spielt keine Rolle, welches Passwort eingegeben wird; niemand darf sich einloggen, auch nicht mit dem richtigen Passwort. Um diese Funktion zu aktivieren, setzen Sie die Einstellung Verarbeitung von wp-login.php-Authentifizierungsanfragen auf „Authentifizierung über wp-login.php verweigern“.

Eine Warnung, an die Sie sich erinnern sollten

Wenn Sie oder Ihr Benutzer vergessen, dass wp-login.php deaktiviert ist und nicht zum Anmelden verwendet werden kann, können Sie oder Ihr Benutzer sich nie bei der Website anmelden und werden nach mehreren Versuchen, wp-login.php zu verwenden, gesperrt.

Wenn Sie „Verarbeitung von wp-login.php-Authentifizierungsanfragen“ auf einen anderen Wert als den Standardwert eingestellt haben, können Sie nur Ihre benutzerdefinierte Anmelde-URL verwenden. Weder /wp-login.php noch /wp-admin/ können mehr zum Einloggen verwendet werden.

Wichtige Dinge, die Sie wissen müssen

  • Wenn Sie ein Caching-Plugin wie W3 Total Cache oder WP Super Cache verwenden, müssen Sie den Slug der neuen benutzerdefinierten Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen.
  • Bei einer WordPress Multisite-Installation wird die neue Anmelde-URL für alle Sites global festgelegt.
  • Löschen oder benennen Sie die Datei wp-login.php nicht manuell um. Nachdem Sie Ihr WordPress auf eine neuere Version aktualisiert haben, wird wp-login.php wiederhergestellt und ist für Eindringlinge wieder zugänglich.

Machen Sie es sicherer mit der Zwei-Faktor-Authentifizierung

Erwägen Sie, 2FA zu aktivieren, um die Konten von Administratoren zu schützen. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, die einen zweiten Identifikationsfaktor erfordert, der über einen Benutzernamen und ein Passwort hinausgeht.

Mehr wissen: So aktivieren Sie die Zwei-Faktor-Authentifizierung für WordPress

Fehlerbehebung bei der Funktion „Benutzerdefinierte Anmelde-URL“.

Das Aktivieren der benutzerdefinierten Anmeldeseite kann dazu führen, dass einige Plugins nicht mehr funktionieren. Wenn Sie ein Plug-in zur Anpassung der Anmeldeseite oder ein Social-Login-Plug-in verwenden, funktioniert ein solches Plug-in möglicherweise nicht mehr. Um dieses Problem zu beheben, aktivieren Sie „Rendering der benutzerdefinierten Anmeldeseite verschieben“. Lesen Sie mehr über diese Einstellung .

Wenn Sie Ihre benutzerdefinierte Anmelde-URL eingerichtet und nach einer Weile vergessen haben, überprüfen Sie zunächst das E-Mail-Feld des Website-Administrators auf eine Benachrichtigungs-E-Mail über Ihre neue Anmelde-URL oder einen wöchentlichen E-Mail-Bericht. In diesen E-Mails können Sie Ihre benutzerdefinierte Anmelde-URL sehen. Wenn Sie eine solche E-Mail nicht finden können, müssen Sie WP Cerber manuell neu installieren, indem Sie die folgenden Schritte ausführen.

  1. Löschen Sie den Plugin-Ordner /wp-cerber/ manuell mit FTP oder einem beliebigen Dateimanager in Ihrem Hosting-Kontrollfeld.
  2. Melden Sie sich wie gewohnt bei Ihrem WordPress-Dashboard an, indem Sie die Standard-URL /wp-login.php oder eine andere Methode verwenden, die Sie vor der Aktivierung der benutzerdefinierten Anmelde-URL verwendet haben.
  3. Installieren und aktivieren Sie das Plugin WP Cerber Security wie gewohnt.
  4. Gehen Sie zur Seite Haupteinstellungen des Plugins.
  5. Überprüfen Sie das Feld Benutzerdefinierte Anmelde-URL . Es zeigt Ihre benutzerdefinierte Anmelde-URL an, die Sie verwenden müssen. Erinnere dich dran.

Nächste Schritte, die Ihre WordPress-Sicherheit stärken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to tank
Cancel Reply