0800 - 899 899 9
(K o s t e n l o s)
Mo - Fr  09:00 - 18:00 Uhr


Suche


Alphabetischer Index


Hilfe :: Web-Anwendungen :: WordPress


WordPress wp-login.php und XML-RPC absichern

In diesem Hilfeartikel erklären wir wie Sie Ihr WordPress gegen Loginversuche von Dritten absichern und so die Sicherheit Ihrer WordPress-Webseite deutlich verbessern können.

Bei WordPress sind der Administrationsbereich sowie Schnittstellen zur Kommunikation mit anderen Blogs standardmäßig unter festen Namen aufrufbar. Dies macht es Angreifern einfach beliebige WordPress Installationen anzugreifen. Diese versuchen so z.B. mit Brute Force Angriffen das Passwort Ihrer WordPress Benutzer zu erraten und so Zugriff auf Ihr WordPress zu erlangen. Solche Angriffe erfolgen bei öffentlich zugänglichen WordPress Installationen häufig täglich und führen, selbst wenn die Angreifer keinen Zugriff auf die Seite erlangen, zu spürbar schlechterer Performance oder sogar zur Nichterreichbarkeit Ihrer Webseite durch Überlastung. Daher ist es sinnvoll in jedem WordPress die Standard-Pfade für den Admin-/Loginbereich abzuändern sowie nicht benötigte Schnittstellen zu deaktivieren.

Diese Absicherungen können über Plugins erfolgen oder bei erfahrenen WordPress-Administratoren alternativ durch eigene htaccess-Regeln. Es gibt zahlreiche Plugins, mit denen dies komfortabel innerhalb weniger Minuten eingestellt werden kann.

Folgende als Beispiele genannte Plugins bieten diese Funktionalität:

In diesem Artikel beschreiben wir die Anpassung mit dem Plugin WP Hide & Security Enhancer.

1. Absicherung mit dem Plugin WP Hide & Security Enhancer

1.1 Das Plugin WP Hide & Security Enhancer installieren und aktivieren

Bitte zuerst im WordPress Backend einloggen und das Menü Plugins / Installieren öffnen. In der Suchmaske den Pluginnamen WP Hide & Security Enhancer suchen und dann das Plugin mit dem Button Jetzt installieren installieren.

WordPress Plugin WP Hide & Security Enhancer installieren

Nachdem das Plugin installiert wurde muss es noch mit dem Button Aktivieren aktiviert werden.

WordPress Plugin WP Hide & Security Enhancer aktivieren

Das Plugin kann nun über den WordPress Menüpunkt WP Hide aufgerufen und eingestellt werden.

1.2 Permalinks konfigurieren

Damit das Plugin funktioniert müssen im WordPress die Permalinkeinstellungen konfiguriert sein. Sollte im Plugin Menü Permalink is required to be turned ON at Settings -> Permalinks, for WP Hide & Security Enhancer to work angezeigt werden bitte zuerst im WordPress-Menü Einstellungen / Permalinks die gewünschte Permalinkstruktur einstellen. Wenn diese Meldung nicht angezeigt wird bitte direkt mit Schritt 1.3 fortfahren.

WordPress Plugin WP Hide & Security Enhancer

Im Beispiel haben wir eine individuelle Struktur ausgewählt, es kann aber auch eine andere Struktur ausgewählt werden.

WordPress Permalinkstruktur einstellen

1.3 Das Plugin WP Hide & Security Enhancer konfigurieren

1.3.1 WordPress Login und Admin URL anpassen

Öffnen Sie die Plugin Einstellungen WP Hide und dort das Menü Admin.

Tragen Sie im Abschnitt New wp-login.php in das Eingabefeld den Namen ein, über den zukünftig der WordPress Login aufrufbar sein soll. Hier bitte einen nicht direkt zu erratenen Namen auswählen. Ein Beispielname wäre zkjpadsgaetgsgdhkjjahgfk.

Speichern Sie die Anpassungen durch Klicken auf Save

Rufen Sie die neue WordPress Login URL zum Testen auf. Bitte nur wenn der neue Login erfolgreich aufgerufen werden kann mit den nächsten Schritten fortfahren, da Sie sich sonst aus dem WordPress Backend aussperren.

Hide & Security Enhancer Login URL anpassen

1.3.2 Standard-Login wp-login.php blockieren

Klicken Sie im Abschnitt Block default wp-login.php auf SHOW.

Hide & Security Enhancer Login blockieren Menu

Wählen Sie die Option Yes aus um die Standard WP-Login zu blockieren.

Speichern Sie die Anpassungen durch Klicken auf Save.

Hide & Security Enhancer Default wp-login.php blockieren

1.3.3 Ordner wp-admin umbenennen

Beim Aufruf des wp-admin Ordners leitet WordPress automatisch auf die Login-URL weiter. Damit Angreifer nicht durch diesen Aufruf den neuen Namen einfach auslesen können muss auch dieser Ordnername angepasst werden.

Öffnen Sie den Reiter Admin URL.

Geben Sie im Abschnitt New Admin Url einen neuen Namen ein.

Wählen Sie Absatz Block default Admin Url die Radio-Box mit YES aus.

Hide & Security Enhancer Admin URL anpassen

1.3.4 Veraltete XML-RPC Schnittstelle deaktivieren

Ursprünglich wurde die XML-RPC Schnittstelle entwickelt, damit WordPress mit anderen Systemen standardisiert kommunizieren kann. Inzwischen ist diese durch die WordPress Rest-API abgelöst worden.

In den meisten Fällen wird die XML-RPC nicht mehr benötigt und sollte daher deaktiviert werden um die regelmäßig darüber stattfindenden Angriffe auf Ihr WordPress zu verhindern.

Um diese Schnittstelle zu deaktivieren öffnen Sie bitte die Plugin Einstellungen WP Hide / Rewrite und dort den Reiter XML-RPC.

Klicken im Abschnitt Block default xmlrpc.php auf SHOW.

WP Hide & Security Enhancer XML-RPC

Wählen Sie die Option Yes aus um die XML-RPC zu blockieren.

WP Hide & Security Enhancer XML-RPC deaktivieren

2. Neuen Login-Link in das Plesk WordPress Toolkit hinzufügen

Um sich nach der Anpassung des WordPress Logins weiterhin aus dem Plesk WordPress Toolkit ins WordPress einloggen zu können muss der neue Login-Pfad in den Toolkit-Einstellungen angepasst werden.

Melden Sie sich in Ihrem Plesk Account an und öffnen Sie das Menü WordPress.

Wählen Sie Ihr WordPress aus und klicken neben dem Anmelde-Button auf Einrichtung.

Plesk WordPress Toolkit

Passen Sie das Feld Suffix der Anmelde-URL auf den von Ihnen festgelegten Namen für die wp-login.php an.

Klicken Sie auf Ändern damit die Einstellung übernommen wird und Plesk zukünftig die neue Login-Seite nutzt.

Plesk WordPress Toolkit