Benutzerdefinierte Anmeldeseite für WordPress
Wie man wp-login.php umbenennt, eine benutzerdefinierte Anmelde-URL erstellt und WordPress vor automatisierten Brute-Force- und Bot-Angriffen schützt.
English version: Custom login page for WordPress
Die Funktion für benutzerdefinierte Anmeldeseiten ist ein hervorragendes Werkzeug, um die Angriffsfläche zu verringern und Spam-Registrierungen zu verhindern. Sie sollten diese Funktion als Erstes bei einer Neuinstallation von WordPress aktivieren. Eine weitere dringend empfohlene Sicherheitsmaßnahme ist die Umbenennung des WordPress-Plugin-Ordners .
Warum es wichtig ist und warum es funktioniert
Unseren Untersuchungen bei Cerber Lab zufolge basieren die meisten Hackerangriffe und -tools auf der Annahme, dass WordPress-Websites die Standard-Anmeldeseite verwenden und Plugins im Standardordner liegen. Obwohl empfohlen wird, auf keiner Website Standardwerte zu verwenden, ignorieren viele Website-Betreiber diese einfachen Prinzipien und ermöglichen Hackern so erfolgreiche Angriffe. Deshalb ist WordPress bei Hackern so beliebt, und wir sehen ständig Hunderttausende gehackte Websites.
Konfigurieren Sie Ihre benutzerdefinierte Anmeldeseite
Mit WP Cerber können Sie die Standard-Anmelde-URL von WordPress (wp-login.php) einfach und sicher in eine beliebige URL ändern. So können Sie Ihre eigene, individuelle Anmeldeseite (eine benutzerdefinierte Anmelde-URL ist in diesem Zusammenhang gleichbedeutend) konfigurieren und wp-login.php vor Angreifern, Scannern und Bots schützen. Sie müssen weder die .htaccess-Datei bearbeiten noch die Datei wp-login.php umbenennen. Mit WP Cerber ist die Konfiguration mit wenigen Klicks erledigt.
- Gehen Sie zur Admin-Seite „Haupteinstellungen“ des Plugins.
- Geben Sie Ihre gewünschte neue Anmelde-URL in das Feld „Benutzerdefinierte Anmelde-URL“ ein und speichern Sie die Einstellungen. Fertig.
- Wenn Sie ein Caching-Plugin verwenden, fügen Sie Ihre neue Login-URL der Liste der Seiten hinzu, die nicht zwischengespeichert werden sollen.
- Stellen Sie sicher, dass Ihre neue Anmelde-URL korrekt funktioniert und Sie sich damit anmelden können. Testen Sie dies in einem Inkognito-Fenster Ihres Browsers. Melden Sie sich erst von Ihrer Website ab, wenn Sie sich vergewissert haben, dass Ihre neue Anmelde-URL einwandfrei funktioniert .
Custom WordPress login page settings
Wie man wp-login.php vor Bots und Scannern verbirgt
Sobald Sie die Kunden-Login-Seite aktiviert haben, empfiehlt es sich, die Standard-WordPress-Login-Seite auszublenden, um Brute-Force-Angriffe zu verhindern. Setzen Sie dazu die Einstellung „ Verarbeitung von wp-login.php-Authentifizierungsanfragen “ auf „Zugriff auf wp-login.php blockieren“. Beim Versuch, die Seite aufzurufen, zeigt WP Cerber dann die Standard-Fehlerseite „404 Nicht gefunden“ an. Es gibt jedoch einen Nachteil: Ein versierter Angreifer könnte die Website weiter durchsuchen und Ihre eigentliche Login-Seite finden.
Wie deaktiviere ich wp-login.php?
Eine weitere, fortgeschrittenere Option ist die Deaktivierung von wp-login.php, ohne den Zugriff darauf zu blockieren. Wie funktioniert das? Diese spezielle Funktion von WP Cerber verhindert jegliche Authentifizierungsversuche über wp-login.php. Beim Anmeldeversuch simuliert WP Cerber die Standardfehlermeldung „Falsches Passwort“ und bricht den Authentifizierungsprozess ab. Das eingegebene Passwort spielt keine Rolle; selbst mit dem richtigen Passwort ist keine Anmeldung möglich. Um diese Funktion zu aktivieren, setzen Sie die Einstellung „Verarbeitung von wp-login.php-Authentifizierungsanfragen “ auf „Authentifizierung über wp-login.php verweigern“.
Eine wichtige Warnung:
Wenn Sie oder Ihr Benutzer vergessen, dass wp-login.php deaktiviert ist und nicht zum Anmelden verwendet werden kann, werden Sie oder Ihr Benutzer sich nie wieder auf der Website anmelden können und nach mehreren Versuchen, wp-login.php zu verwenden, gesperrt.
Wenn Sie die Option „Verarbeitung von wp-login.php-Authentifizierungsanfragen“ auf einen anderen Wert als den Standardwert gesetzt haben, können Sie nur noch Ihre benutzerdefinierte Anmelde-URL verwenden. Weder /wp-login.php noch /wp-admin/ können mehr zum Anmelden genutzt werden.
Wichtige Dinge, die Sie wissen müssen
- Wenn Sie ein Caching-Plugin wie W3 Total Cache oder WP Super Cache verwenden, müssen Sie den Slug der neuen benutzerdefinierten Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen.
- Bei einer WordPress-Multisite-Installation wird die neue Login-URL global für alle Sites festgelegt.
- Löschen oder benennen Sie die Datei wp-login.php nicht manuell um. Nach der Aktualisierung Ihrer WordPress-Version wird wp-login.php wiederhergestellt und ist somit wieder für Unbefugte zugänglich.
Erhöhen Sie die Sicherheit mit Zwei-Faktor-Authentifizierung.
Erwägen Sie die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) zum Schutz der Administratorkonten. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, die neben Benutzername und Passwort einen zweiten Identifikationsfaktor erfordert.
Mehr erfahren: So aktivieren Sie die Zwei-Faktor-Authentifizierung für WordPress
Fehlerbehebung bei der Funktion „Benutzerdefinierte Anmelde-URL“
Die Aktivierung der benutzerdefinierten Anmeldeseite kann dazu führen, dass einige Plugins nicht mehr funktionieren. Wenn Sie ein Plugin zur Anpassung der Anmeldeseite oder ein Social-Login-Plugin verwenden, kann es sein, dass dieses Plugin nicht mehr funktioniert. Um dieses Problem zu beheben, aktivieren Sie die Option „Benutzerdefinierte Anmeldeseite später rendern“. Weitere Informationen zu dieser Einstellung finden Sie hier .
Wenn Sie Ihre benutzerdefinierte Anmelde-URL eingerichtet und diese später vergessen haben, prüfen Sie zunächst das E-Mail-Postfach Ihres Website-Administrators auf eine Benachrichtigungs-E-Mail mit Ihrer neuen Anmelde-URL oder einen wöchentlichen Bericht. In diesen E-Mails finden Sie Ihre benutzerdefinierte Anmelde-URL. Sollten Sie keine solche E-Mail finden, müssen Sie WP Cerber manuell neu installieren. Folgen Sie dazu den unten stehenden Schritten.
- Löschen Sie den Plugin-Ordner /wp-cerber/ manuell mit FTP oder einem beliebigen Dateimanager in Ihrem Hosting-Kontrollpanel.
- Melden Sie sich wie gewohnt in Ihrem WordPress-Dashboard an, indem Sie die Standard-URL /wp-login.php oder eine andere Methode verwenden, die Sie vor der Aktivierung der benutzerdefinierten Anmelde-URL verwendet haben.
- Installieren und aktivieren Sie das WP Cerber Security-Plugin wie gewohnt.
- Gehen Sie zur Seite mit den Haupteinstellungen des Plugins.
- Überprüfen Sie das Feld „Benutzerdefinierte Anmelde-URL“ . Dort wird Ihre benutzerdefinierte Anmelde-URL angezeigt, die Sie verwenden müssen. Merken Sie sich diese.
Nächste Schritte zur Stärkung Ihrer WordPress-Sicherheit
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.