Suchen Sie nach Möglichkeiten, Ihren WordPress-Adminbereich zu schützen?
Durch den Schutz des Admin-Bereichs vor unberechtigtem Zugriff können Sie viele gängige Sicherheitsbedrohungen abwehren. Dies kann hilfreich sein, wenn Sie viele Angriffe auf Ihre WordPress-Website erleben.
In diesem Tutorial zeigen wir Ihnen einige der wichtigsten Tipps und Hacks zum Schutz Ihres WordPress-Adminbereichs.
Wir werden viele Tipps behandeln, und Sie können die nachstehenden Links verwenden, um zwischen ihnen zu wechseln:
- Use a Website Application Firewall
- Password Protect WordPress Admin Directory
- Always Use Strong Passwords
- Use Two Step Verification on WordPress Login Screen
- Limit Login Attempts
- Limit Login Access to IP Addresses
- Disable Login Hints
- Require Users to Use Strong Passwords
- Reset Password for All Users
- Keep WordPress Updated
- Create Custom Login and Registration Pages
- Learn About WordPress User Roles and Permissions
- Limit Dashboard Access
- Log out Idle Users
1. Verwenden Sie eine Firewall
Eine Firewall überwacht den Website-Verkehr und verhindert, dass verdächtige Anfragen Ihre Website erreichen.
Es gibt zwar mehrere WordPress-Firewall-Plugins, wie z. B. Wordfence, aber wir empfehlen die Verwendung von Sucuri. Dabei handelt es sich um einen Website-Sicherheits- und Überwachungsdienst, der eine cloudbasierte Firewall zum Schutz Ihrer Website bietet.
Der gesamte Datenverkehr Ihrer Website durchläuft zunächst den Sucuri Cloud Proxy, der jede Anfrage analysiert und verdächtige Anfragen davon abhält, Ihre Website zu erreichen. Dadurch wird Ihre Website vor möglichen Hacking-Versuchen, Phishing, Malware und anderen bösartigen Aktivitäten geschützt.
Eine weitere großartige Option ist Cloudflare, die wir jetzt auf WPBeginner verwenden. Weitere Einzelheiten finden Sie in unserem Artikel darüber , warum wir von Sucuri zu Cloudflare gewechselt haben.
2. Passwort-Schutz für das WordPress-Administrationsverzeichnis
Ihr WordPress-Verwaltungsbereich ist bereits durch Ihr WordPress-Passwort geschützt. Durch das Hinzufügen eines Passwortschutzes für Ihr WordPress-Administrationsverzeichnis erhalten Sie jedoch eine weitere Sicherheitsebene für Ihre Anmeldeseite.
Zunächst müssen Sie sich in Ihr WordPress-Webhosting cPanel-Dashboard einloggen und dann auf das Symbol „Passwortgeschützte Verzeichnisse“ oder „Verzeichnisschutz“ klicken.
Als nächstes müssen Sie Ihren wp-admin-Ordner auswählen, der sich normalerweise im Verzeichnis /public_html/ befindet.
Auf dem nächsten Bildschirm müssen Sie das Kästchen neben der Option „Passwortschutz für dieses Verzeichnis“ aktivieren und einen Namen für das geschützte Verzeichnis angeben.
Klicken Sie anschließend auf die Schaltfläche „Speichern“, um die Berechtigungen festzulegen.
Als nächstes müssen Sie auf die Schaltfläche „Zurück“ klicken und dann einen Benutzer anlegen. Sie werden aufgefordert, einen Benutzernamen und ein Kennwort einzugeben und dann auf die Schaltfläche „Speichern“ zu klicken.
Wenn nun jemand versucht, das WordPress-Admin- oder wp-admin-Verzeichnis auf Ihrer Website zu besuchen, wird er aufgefordert, den Benutzernamen und das Passwort einzugeben.
Ausführlichere Anweisungen finden Sie in unserer Anleitung zum Passwortschutz des WordPress-Admin-Verzeichnisses (wp-admin).
3. Verwenden Sie immer sichere Passwörter
Verwenden Sie stets sichere Passwörter für alle Ihre Online-Konten, auch für Ihre WordPress-Website. Wir empfehlen, eine Kombination aus Buchstaben, Zahlen und Sonderzeichen in Ihren Passwörtern zu verwenden. Dadurch wird es für Hacker schwieriger, Ihr Passwort zu erraten.
Wir werden oft von Anfängern gefragt, wie man sich all diese Passwörter merken kann. Die einfachste Antwort ist, dass Sie das nicht müssen. Es gibt einige wirklich großartige Passwortmanager-Apps, die Sie auf Ihrem Computer und Telefon installieren können.
Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden über die beste Passwortverwaltung für WordPress-Anfänger.
4. Zwei-Schritt-Verifizierung auf dem WordPress-Anmeldebildschirm verwenden
Die zweistufige Verifizierung, auch bekannt als Zwei-Faktor-Verifizierung, Zwei-Faktor-Authentifizierung oder 2FA, fügt Ihren Passwörtern eine weitere Sicherheitsebene hinzu. Anstatt nur das Passwort zu verwenden, werden Sie aufgefordert, einen Verifizierungscode einzugeben, der von der Google Authenticator-App auf Ihrem Telefon generiert wird.
Selbst wenn jemand in der Lage ist, Ihr WordPress-Passwort zu erraten, benötigt er den Google Authenticator-Code, um Zugang zu erhalten.
Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zur Einrichtung der 2-Schritt-Verifizierung in WordPress mit Google Authenticator.
5. Anmeldeversuche begrenzen
Standardmäßig erlaubt WordPress seinen Nutzern, Passwörter so oft einzugeben, wie sie wollen. Das bedeutet, dass jemand immer wieder versuchen kann, Ihr WordPress-Passwort durch Eingabe verschiedener Kombinationen zu erraten. Außerdem können Hacker automatisierte Skripte verwenden, um Passwörter zu knacken.
Um dies zu beheben, müssen Sie das Plugin Limit Login Attempts Reloaded installieren und aktivieren. Gehen Sie nach der Aktivierung auf die Seite Einstellungen “ Anmeldesperre, um die Einstellungen des Plugins zu konfigurieren.
Detaillierte Anweisungen finden Sie in unserem Leitfaden, warum Sie die Anmeldeversuche in WordPress begrenzen sollten. Um mehr über das Plugin zu erfahren, können Sie auch unseren ausführlichen Testbericht Limit Login Attempts lesen.
6. Login-Zugang auf IP-Adressen beschränken
Eine weitere gute Möglichkeit, den WordPress-Login zu sichern, besteht darin, den Zugriff auf bestimmte IP-Adressen zu beschränken. Dieser Tipp ist besonders nützlich, wenn Sie oder nur einige wenige vertrauenswürdige Benutzer Zugang zum Admin-Bereich benötigen.
Fügen Sie einfach diesen Code in Ihre .htaccess-Datei ein:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Vergessen Sie nicht, xx-Werte durch Ihre eigene IP-Adresse zu ersetzen. Wenn Sie mehr als eine IP-Adresse für den Internetzugang verwenden, müssen Sie diese ebenfalls hinzufügen.
Detaillierte Anweisungen finden Sie in unserer Anleitung zur Beschränkung des Zugriffs auf den WordPress-Admin mit .htaccess.
7. Login-Hinweise deaktivieren
Bei einem fehlgeschlagenen Anmeldeversuch zeigt WordPress Fehlermeldungen an, die den Benutzern mitteilen, ob ihr Benutzername oder das Passwort falsch war. Diese Anmeldehinweise können von jemandem für böswillige Versuche wie Brute-Force-Angriffe verwendet werden.
Sie können diese Login-Hinweise ganz einfach ausblenden, indem Sie den folgenden Code in die Datei functions.php Ihres Themes einfügen oder ein Code-Snippets-Plugin wie WPCode verwenden (empfohlen):
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Weitere Einzelheiten finden Sie in unserem Leitfaden zum Hinzufügen von benutzerdefiniertem Code in WordPress, ohne Ihre Website zu zerstören.
8. Benutzer zur Verwendung sicherer Passwörter verpflichten
Wenn Sie eine WordPress-Website mit mehreren Autoren betreiben, können diese Benutzer ihre Benutzerkonten bearbeiten und ein schwaches Passwort verwenden. Diese Passwörter können geknackt werden und jemandem Zugriff auf den WordPress-Administrationsbereich geben.
Um dies zu beheben, können Sie das SolidWP-Plugin installieren und aktivieren. Dann können Sie die Schritte in unserer vollständigen Anleitung zum Erzwingen sicherer Passwörter für Benutzer in WordPress befolgen.
9. Passwort für alle Benutzer zurücksetzen
Machen Sie sich Sorgen um die Passwortsicherheit auf Ihrer WordPress-Website mit mehreren Benutzern? Sie können ganz einfach alle Benutzer auffordern, ihre Passwörter zurückzusetzen.
Zunächst müssen Sie das Plugin “ Emergency Password Reset“ installieren und aktivieren. Gehen Sie nach der Aktivierung auf die Seite Benutzer “ Notfallkennwort zurücksetzen und klicken Sie auf die Schaltfläche „Alle Kennwörter zurücksetzen“.
Detaillierte Anweisungen finden Sie in unserer Anleitung zum Zurücksetzen von Passwörtern für alle Benutzer in WordPress
10. WordPress auf dem neuesten Stand halten
WordPress veröffentlicht häufig neue Softwareversionen. Jede neue Version des WordPress-Kerns enthält wichtige Fehlerbehebungen, neue Funktionen und Sicherheitskorrekturen.
Wenn Sie eine ältere Version von WordPress auf Ihrer Website verwenden, sind Sie anfällig für bekannte Sicherheitslücken und potenzielle Schwachstellen. Um dies zu beheben, müssen Sie sicherstellen, dass Sie die neueste Version von WordPress verwenden.
Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden darüber, warum Sie immer die neueste Version von WordPress verwenden sollten.
Auch die WordPress-Plugins werden häufig aktualisiert, um neue Funktionen einzuführen oder Sicherheits- und andere Probleme zu beheben. Stellen Sie sicher, dass auch Ihre WordPress-Plugins auf dem neuesten Stand sind.
Hinweis: Möchten Sie Ihre WordPress-Wartung lieber den Profis überlassen? Unser WPBeginner-Wartungsservice kann sich um alles kümmern, von Updates bis hin zur Entfernung von Malware, damit Sie sich ganz auf den Betrieb Ihrer Website konzentrieren können.
11. Benutzerdefinierte Anmelde- und Registrierungsseiten erstellen
Für viele WordPress-Websites müssen sich die Benutzer registrieren. Bei Websites für Mitglieder, Lernmanagement und Online-Shops müssen die Benutzer beispielsweise ein Konto erstellen.
Diese Benutzer können sich jedoch mit ihren Konten in den WordPress-Administrationsbereich einloggen. Dies ist kein großes Problem, da sie nur die Dinge tun können, die ihre Benutzerrolle und ihre Fähigkeiten zulassen.
Dadurch können Sie jedoch den Zugriff auf die Anmelde- und Registrierungsseiten nicht richtig einschränken, da Sie diese Seiten benötigen, damit sich die Benutzer anmelden, ihre Profile verwalten und sich einloggen können.
Dies lässt sich leicht beheben, indem Sie benutzerdefinierte Anmelde- und Registrierungsseiten erstellen, so dass sich die Benutzer direkt von Ihrer Website aus anmelden und registrieren können.
Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie in unserem Leitfaden zum Erstellen von benutzerdefinierten Anmelde- und Registrierungsseiten in WordPress.
12. Erfahren Sie mehr über WordPress-Benutzerrollen und Berechtigungen
WordPress verfügt über ein leistungsstarkes Benutzerverwaltungssystem mit verschiedenen Benutzerrollen und -funktionen. Wenn Sie einen neuen Benutzer zu Ihrer WordPress-Website hinzufügen, können Sie eine Benutzerrolle für ihn auswählen. Diese Benutzerrolle legt fest, was der Benutzer auf Ihrer WordPress-Website tun kann.
Die Zuweisung falscher Benutzerrollen kann dazu führen, dass Personen mehr Fähigkeiten erhalten, als sie benötigen. Um dies zu vermeiden, müssen Sie verstehen, welche Fähigkeiten mit verschiedenen Benutzerrollen in WordPress verbunden sind.
Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden für Einsteiger zu WordPress-Benutzerrollen und -Rechten.
13. Beschränkung des Zugriffs auf das WordPress-Dashboard
Einige WordPress-Websites haben bestimmte Benutzer, die Zugang zum Dashboard benötigen, und einige Benutzer, die dies nicht tun. Standardmäßig können sie jedoch alle auf den Admin-Bereich zugreifen.
Um dies zu beheben, müssen Sie das Plugin Remove Dashboard Access installieren und aktivieren. Gehen Sie nach der Aktivierung auf die Seite Einstellungen “ Dashboard-Zugang und wählen Sie aus, welche Benutzerrollen Zugriff auf den Admin-Bereich Ihrer Website haben sollen.
Ausführlichere Anweisungen finden Sie in unserer Anleitung zur Einschränkung des Dashboard-Zugriffs in WordPress.
14. Untätige Benutzer abmelden
WordPress meldet Benutzer nicht automatisch ab, bis sie sich ausdrücklich abmelden oder ihr Browserfenster schließen. Dies kann für WordPress-Websites mit sensiblen Daten ein Problem darstellen. Aus diesem Grund melden Websites und Anwendungen von Finanzinstituten Benutzer automatisch ab, wenn sie nicht mehr aktiv waren.
Um dies zu beheben, können Sie das Plugin Inactive Logout installieren und aktivieren. Gehen Sie nach der Aktivierung auf die Seite Einstellungen “ Inaktive Abmeldung und geben Sie die Zeit ein, nach der die Benutzer automatisch abgemeldet werden sollen.
Weitere Einzelheiten finden Sie in unserem Artikel über das automatische Abmelden untätiger Benutzer in WordPress.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, einige neue Tipps und Hacks zum Schutz Ihres WordPress-Administrationsbereichs zu lernen. Vielleicht interessieren Sie sich auch für unseren ultimativen Schritt-für-Schritt-Leitfaden für WordPress-Sicherheit für Anfänger und unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Moinuddin Waheed
Must have tips and tricks for protection of WordPress admin dashboard.
I have used two factor authentication for admin login and also the login limits for admin access.
dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
I didn’t know that we can have these much steps to protect our dashboard.
Thanks for the exhaustive lists of tips for dashboard protection.
WPBeginner Support
Glad to hear you found our list helpful!
Admin
Theo
„This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.“
I know that this is a 3 and a half years old article!
It would be nice if someone could suggest an alternative! Thank you for your time!
WPBeginner Support
We will certainly take a look at alternatives.
Admin
Raksa Sav
If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?
WPBeginner Support
Hi Raksa,
Yes, they can remove other administrators and take control of your website.
Admin
Muchsin
I want to ask
I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
I use the newspaper theme from tagdiv.
sherizon
what is the best advice in starting up an eceommerce website can i use wordpress?
WPBeginner Support
Hi Sherizon,
Yes you can. Please see our guide on how to start an online store.
Admin
Brenda Donovan
Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?
WPBeginner Support
Hey Brenda,
Yes, you should add it to the bottom.
Admin
Joe
Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.
Dragos
You should also change where you install the default folder of wp-admin.
Abhinav S Thakur
Can anyone fix this?
How shall I force SSL only for admin and rest of the site should be http.
Like wp beginner has non SSL site!
Running wordpress, cPanel
Pinkey
Hi,
I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.
Thanks & best Regards,
Pinkey
Lucy Barret
The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.
John
Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?
Help please!
Craig
Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.
Tahir
smart collection….!!
Talha
Thanks a lot. I have a website . I will set up there.
Pat Fortino
This plugin no longer exists: Stealth Login
Can you recommend an alternative?
Thanks
Lori
I’ve also been told to „remove links to the admin page from the site so that the hacking robots can’t just follow a link.“ I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?
(I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)
Emily Johns
Great information!
For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
Tested and happy with it!
Barry Richardson
I was under the impression that the original username (e.g. „admin“) of a WP site cannot be deleted, so even if we did add a new username, the original „admin“ would still be available for a potential hacker to exploit.
WPBeginner Support
If you create a new user account with the administrator role, then you can safely delete admin user.
Admin
Sandeep Jinagal
Hyy WPBeginner first of All u are Doing Best OF Best???
And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.
WPBeginner Support
Please see our guide on how to password protect WordPress admin directory.
Admin
Kheti
Thanks for this educative material. Very helpful. Thanks for the good work and support.
ifaheem
great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
After performing above steps (update them by some research), feeling secure a little.
Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!
Prince Jain
Thank you for such a great post.
But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of Wordpress.
Also can you please suggest a plugin to create custom URL for login window.
Mitchell Miller
Stealth Login was removed from WP Plugin repository.
But changing wp-login.php link is the first step to protecting a WordPress site.
laya rappaport
What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?
James Campbell
I’m not sure if there’s a way for you to retrieve your sites information necessarily, but if you’re able to, always create a new user and give other people access through that particular user. This allows you to restrict access to certain areas and you can also delete their access when it’s no longer needed. Giving up your access to your site let’s them block you out.
Lisa Wells
If someone’s changed your WordPress user information, hopefully you can still login to your database through, say phpMyAdmin. From there you should be able to create a new admin user directly in the tables:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
One other helpful item not mentioned is database permissions. The Wordpress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
So if you’re doing it directly in mysql, it would be:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO “@’localhost‘;
If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.
Tanmoy Das
Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.
Derick
@Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.
Thorir
Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.
Perhaps this is a helpful factor, security wise?
Mary
Hello, I hope you are well!
This was a great article but a little complicated for me.
because I need the easy way right now, the wordpress firewall plugin looked good but
my fear is losing my login page.
I have spent a long time trying to work with FTP and have not been able to understand it.
Will this be a good plugin for a scaredy cat?? Thanks Mary
Ed van Dun
And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.
Prodip
All of the above tips helped me to make my blog with more secured.
Dr. Sean Mullen
This is great info but Please update! Thanks
Guest
I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer „officially“ compatible with the latest WordPress (3.4.x-3.5)?
Editorial Staff
Yes, it is in the works along with few other things. We are doing the best we can. Thanks for letting us know.
Admin
whoiscarrus
Just really getting into WP development and can’t say thank you enough! These are great for beggin’n folk like myself!
abhizz
amazing tips about wordpress thank you
Bigdrobek
Great turitorial, but please can you update it?
Few plug-ins is not exist, are old or are hidden by WordPress.org.
– Stealth Login
– Login Lockdown
– Admin SSL
I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?
Faizan Elahi ( BestBloggingTools)
This is a great resource. Thanks
mattjwalk
You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.
Jermaine
The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?
Editorial Staff
You can add custom login if the IP doesn’t match.
Admin
vivek
great post and nice guide for new bloggers like me
fareed
Great post and very useful to me thank you
Daniel
Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ’subscriber‘. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!
Jonathan K. Cohen
This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.
These include #1, #3, and #5.
John
For #1 ckeck this plugin called WPS Hide Login
Greg
I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber: