Die Login-Seite bei einer WordPress basierenden Website ist sehr oft, vor allem wenn diese unter der Standardadresse erreichbar ist, unter ständigem Beschuss von Dritten. Mittels Druchprobieren von Login-Kombinationen (Nutzername und Passwort) versuchen Angreifer, Zugriff zu Ihrer Website zu erlangen. Daher möchten wir in diesem Artikel erläutern, wie Sie Ihre Website mit WordPress sicherer machen und dafür nutzerfreundliche Lösungen einsetzen können, denn viele WordPress basierende Webseiten sind im Login-Bereich nur unzureichend abgesichert und bieten somit eine ideale Angriffsfläche.

Das Problem:

Nutzt man kein entsprechendes Plugin wie bspw. Wordfence, so bekommt man von den ständigen Angriffen auf den Login wohl nichts mit. Ein Fehler, denn so können Dritte uneingeschränkt sogenannte Dictionary- bzw. Bruteforce-Attacken auf den Login Ihrer Website ausführen, bis Sie Zugriff zu Ihrer Website erlangt haben. Das Einschleusen von Schadecode durch den Angreifer ist meist die Folge davon und ist keine Seltenheit mehr.

Das Fundament schaffen:

Besser ist, Sie begrenzen die Login-Versuche mit einem Plugin wie Limit Login Attemps, Wordfence etc, denn jeder Login-Versuch kostet unnötig wertvolle Ressourcen auf dem Server, auf dem Ihre Website läuft. Ständige Loginversuche führen zu einer höheren Last, was sich negativ auf die Ladezeit Ihrer Webseite auswirkt. Bspw. haben Sie mit Wordfence die Möglichkeit, sich per Mail informieren zu lassen, sobald sich jemand einloggt, und können so leicht feststellen, ob der Login von Ihnen kam oder von einem Dritten. Notfalls können Sie möglicherweise rechtzeitig eingreifen, bevor Ihre Website infiziert wurde.

Googles reCAPTCHA:

JG-Bits WordPress-Theme Webdesign Berlin reCAPTCHA Login

Oft wird eine zusätzliche Absicherung des Logins mittels einer htaccess-Variante empfohlen, was eine sehr effektive und sichere Lösung gegen penetrante Angriffsversuche auf den Login darstellt. Allerdings ist dies keine wirklich nutzerfreundliche Variante, denn man muss sich nun zwei verschiedene Login-Daten merken, welche man leicht verwechseln kann.  Eine durchaus benutzerfreundlichere Lösung ist die Einbindung von Googles reCAPTCHA-System in den Login-Bereich. Dieses ist für sogenannte Bots schwer zu lösen, für uns Menschen aber leicht handhabbar und nutzerfreundlicher als zwei Logins mittels der htacces-Variante. Nachrüsten kann man dies mit dem Plugin Advanced noCaptcha reCaptcha. Noch einfacher gehts indem Ihr unser WordPress-Theme nutzt, denn ab sofort ist dies ein fester Bestandteil unserer Theme-Features, mit denen auch viele weitere praktische, oft benötigte und durchdachte Features zur Verfügung stehen.

Über den Autor des Artikels

Hendrik Jürst

Seit über 5 Jahren Entwickler und Berater für Webplattformen, Schnittstellen, Server und Apps mit dem Schwerpunkt auf Optimierung für Performance (Website, Server, Apps), Webapplication- und Serversecurity und mobile Optimierungen (Responsive Design, Usability). WordPress-Experte für die Entwicklung, Anpassung und Optimierung von Themes und Plugins und Coach im Bereich Aufbau von skalierbaren Webplattformen, Optimierung von IT-Prozessen und IT-Sicherheit. Zusätzlich zu meinem Abschluss als Bachelor of Engineering im Bereich Informatik Embedded Systems halte ich mein Wissen ständig up to date, sodass ich Erfahrung mit aktuellem Fachwissen vereine.