Benutzerdefinierte Anmeldeseite für WordPress
So benennen Sie wp-login.php um, erstellen eine benutzerdefinierte Anmelde-URL und schützen WordPress vor automatisierten Brute-Force- und Bot-Angriffen.
English version: Custom login page for WordPress
Die Funktion „Benutzerdefinierte Anmeldeseite“ ist ein großartiges Tool, um die Angriffsfläche zu verringern und Spam-Registrierungen zu vermeiden. Sie ist das Erste, was Sie bei einer neu installierten WordPress-Anwendung aktivieren sollten. Eine weitere sehr empfehlenswerte Sicherheitsmaßnahme ist das Umbenennen des Plugin-Ordners von WordPress .
Warum es wichtig ist und warum es funktioniert
Laut unseren Untersuchungen bei Cerber Lab basieren die meisten Hackertools und -angriffe auf der Annahme, dass eine betroffene WordPress-Website die Standardanmeldeseite hat und sich Plugins im Standardordner befinden. Obwohl empfohlen wird, auf keiner Website Standardwerte zu verwenden, ignorieren viele Websitebesitzer diese einfachen Prinzipien, sodass Hacker sie erfolgreich angreifen können. Und deshalb lieben Hacker WordPress so sehr, und wir sehen zu jeder Zeit Hunderttausende gehackte Websites.
Konfigurieren Sie Ihre benutzerdefinierte Anmeldeseite
Mit WP Cerber können Sie die standardmäßige WordPress-Anmelde-URL wp-login.php einfach und sicher in jede beliebige URL ändern. Mit anderen Worten: Sie können Ihre einzigartige, Ihnen bekannte benutzerdefinierte Anmeldeseite konfigurieren (eine benutzerdefinierte Anmelde-URL bedeutet in diesem Zusammenhang dasselbe) und wp-login.php vor böswilligen Akteuren, Scannern und Bots verbergen. Sie müssen die .htaccess-Datei nicht bearbeiten oder die Datei wp-login.php umbenennen. Mit WP Cerber können Sie sie mit wenigen Klicks konfigurieren.
- Gehen Sie zur Administratorseite der Haupteinstellungen des Plugins.
- Geben Sie Ihre neue gewünschte Anmelde-URL in das Feld „Benutzerdefinierte Anmelde-URL“ ein und speichern Sie die Einstellungen. Das war‘s.
- Wenn Sie ein Caching-Plugin verwenden, fügen Sie Ihre neue Anmelde-URL der Liste der Seiten hinzu, die nicht zwischengespeichert werden sollen.
- Stellen Sie sicher, dass Ihre neue Anmelde-URL ordnungsgemäß funktioniert und Sie sich damit anmelden können. Tun Sie dies in einem Inkognito-Browserfenster. Melden Sie sich erst von Ihrer Website ab, wenn Sie sichergestellt haben, dass Ihre neue Anmelde-URL ordnungsgemäß funktioniert .
Custom WordPress login page settings
So verbergen Sie wp-login.php vor Bots und Scannern
Nachdem Sie die Kundenanmeldeseite aktiviert haben, ist es sinnvoll, die standardmäßige WordPress-Anmeldeseite auszublenden, um Brute-Force-Angriffe darauf zu verhindern. Um dies zu erreichen, setzen Sie die Einstellung „Verarbeitung von wp-login.php-Authentifizierungsanforderungen “ auf „Zugriff auf wp-login.php blockieren“. Beim Versuch, auf die Seite zuzugreifen, zeigt WP Cerber die Standardseite „404 Nicht gefunden“ an. Es gibt nur einen Nachteil, den Sie bedenken sollten. Wenn ein Angreifer schlau genug ist, kann er die Website weiter durchsuchen und nach Ihrer echten Anmeldeseite suchen.
So deaktivieren Sie wp-login.php
Eine weitere erweiterte Option, die Sie in Betracht ziehen sollten, ist das Deaktivieren von wp-login.php, ohne den Zugriff darauf zu blockieren. Wie funktioniert das? Diese einzigartige Funktion von WP Cerber stoppt jeden Versuch, sich über wp-login.php zu authentifizieren. Beim Anmeldeversuch ahmt WP Cerber den standardmäßigen Fehler „falsches Passwort“ nach und bricht den Benutzerauthentifizierungsprozess ab. Es spielt keine Rolle, welches Passwort eingegeben wird; niemand darf sich anmelden, auch nicht mit dem richtigen Passwort. Um diese Funktion zu aktivieren, setzen Sie die Einstellung „Verarbeitung von wp-login.php-Authentifizierungsanforderungen “ auf „Authentifizierung über wp-login.php verweigern“.
Eine Warnung, die man nicht vergessen sollte
Wenn Sie oder Ihr Benutzer vergessen, dass wp-login.php deaktiviert ist und nicht zum Anmelden verwendet werden kann, können Sie oder Ihr Benutzer sich nie bei der Website anmelden und werden nach mehreren Versuchen, wp-login.php zu verwenden, gesperrt.
Wenn Sie „Verarbeitung von wp-login.php-Authentifizierungsanforderungen“ auf einen anderen Wert als den Standardwert eingestellt haben, können Sie nur Ihre benutzerdefinierte Anmelde-URL verwenden. Weder /wp-login.php noch /wp-admin/ können mehr zum Anmelden verwendet werden.
Wichtige Dinge, die Sie wissen müssen
- Wenn Sie ein Caching-Plugin wie W3 Total Cache oder WP Super Cache verwenden, müssen Sie den Slug der neuen benutzerdefinierten Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen.
- Bei einer WordPress-Multisite-Installation wird die neue Anmelde-URL global für alle Sites festgelegt.
- Löschen oder benennen Sie die Datei wp-login.php nicht manuell. Nach der Aktualisierung Ihres WordPress auf eine neuere Version wird wp-login.php wiederhergestellt und ist für Eindringlinge wieder zugänglich.
Mehr Sicherheit durch Zwei-Faktor-Authentifizierung
Erwägen Sie die Aktivierung von 2FA, um Administratorkonten zu schützen. Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, die einen zweiten Identifikationsfaktor erfordert, der über Benutzername und Passwort hinausgeht.
Mehr erfahren: So aktivieren Sie die Zwei-Faktor-Authentifizierung für WordPress
Fehlerbehebung bei der Funktion „Benutzerdefinierte Anmelde-URL“
Das Aktivieren der benutzerdefinierten Anmeldeseite kann dazu führen, dass einige Plugins nicht mehr funktionieren. Wenn Sie ein Plugin zur Anpassung der Anmeldeseite oder ein Social-Login-Plugin verwenden, ist es möglich, dass ein solches Plugin nicht mehr funktioniert. Um dieses Problem zu beheben, aktivieren Sie „Darstellung der benutzerdefinierten Anmeldeseite verschieben“. Lesen Sie mehr über diese Einstellung .
Wenn Sie Ihre benutzerdefinierte Anmelde-URL eingerichtet und nach einiger Zeit vergessen haben, überprüfen Sie zunächst das E-Mail-Postfach des Site-Administrators auf eine Benachrichtigungs-E-Mail über Ihre neue Anmelde-URL oder einen wöchentlichen E-Mail-Bericht. In diesen E-Mails können Sie Ihre benutzerdefinierte Anmelde-URL sehen. Wenn Sie eine solche E-Mail nicht finden können, müssen Sie WP Cerber manuell neu installieren, indem Sie die folgenden Schritte ausführen.
- Löschen Sie den Plugin-Ordner /wp-cerber/ manuell mithilfe von FTP oder einem beliebigen Dateimanager in Ihrem Hosting-Kontrollfeld.
- Melden Sie sich wie gewohnt bei Ihrem WordPress-Dashboard an, indem Sie die Standard-URL /wp-login.php verwenden oder eine andere Methode, die Sie vor der Aktivierung der benutzerdefinierten Anmelde-URL verwendet haben.
- Installieren und aktivieren Sie das WP Cerber Security-Plugin wie gewohnt.
- Gehen Sie zur Haupteinstellungsseite des Plugins.
- Überprüfen Sie das Feld „Benutzerdefinierte Anmelde-URL“ . Darin wird Ihre benutzerdefinierte Anmelde-URL angezeigt, die Sie verwenden müssen. Merken Sie sie sich.
Nächste Schritte zur Stärkung Ihrer WordPress-Sicherheit
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.