Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können

Möchten Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen?

Ein Brute-Force-Angriff kann Ihre Website verlangsamen, sie unzugänglich machen und sogar Ihre Passwörter knacken, um Malware auf Ihrer Website zu installieren.

In diesem Artikel zeigen wir Ihnen, wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können.

How to Protect Your WordPress Site From Brute Force Attacks

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Hacking-Methode, bei der durch Versuch und Irrtum in eine Website, ein Netzwerk oder ein Computersystem eingebrochen wird.

Die häufigste Art von Brute-Force-Angriffen ist das Erraten von Passwörtern. Hacker verwenden automatisierte Software, um Ihre Anmeldeinformationen zu erraten, damit sie Zugang zu Ihrer Website erhalten können.

Diese automatisierten Hacking-Tools können sich auch tarnen, indem sie verschiedene IP-Adressen und Standorte verwenden, was es schwieriger macht, verdächtige Aktivitäten zu erkennen und zu blockieren.

Ein erfolgreicher Brute-Force-Angriff kann Hackern Zugriff auf den Verwaltungsbereich Ihrer Website verschaffen. Sie können Malware installieren, Benutzerdaten stehlen und alles auf Ihrer Website löschen.

Selbst erfolglose Brute-Force-Angriffe können verheerenden Schaden anrichten, indem sie zu viele Anfragen an Ihre WordPress-Hosting-Server senden und Ihre Website verlangsamen oder sogar ganz zum Absturz bringen.

Werfen wir also einen Blick darauf, wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können. Hier sind die Schritte, die wir befolgen werden:

1. Installieren Sie ein WordPress Firewall Plugin

Brute-Force-Angriffe belasten Ihre Server in hohem Maße. Selbst die erfolglosen Angriffe können Ihre Website verlangsamen oder den Server komplett zum Absturz bringen. Deshalb ist es wichtig, sie zu blockieren, bevor sie auf Ihren Server gelangen.

Dazu benötigen Sie eine Website-Firewall-Lösung. Eine Firewall filtert schlechten Datenverkehr heraus und blockiert den Zugriff auf Ihre Website.

How Sucuri firewall works

Es gibt zwei Arten von Website-Firewalls, die Sie verwenden können:

  • Firewalls auf Anwendungsebene prüfen den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist nicht so effizient, da ein Brute-Force-Angriff immer noch Ihre Serverlast beeinträchtigen kann.
  • Website-Firewalls auf DNS-Ebene leiten Ihren Website-Datenverkehr über ihre Cloud-Proxy-Server. So können sie nur echten Datenverkehr an Ihren Haupt-Webhosting-Server senden und gleichzeitig die Geschwindigkeit und Leistung von WordPress steigern.

Wir empfehlen die Verwendung von Sucuri. Sucuri ist der Branchenführer im Bereich Website-Sicherheit und die beste WordPress-Firewall auf dem Markt. Da sie eine Website-Firewall auf DNS-Ebene haben, bedeutet dies, dass Ihr gesamter Website-Verkehr über ihren Proxy läuft, wo schlechter Verkehr herausgefiltert wird.

Wir verwenden Sucuri auf unserer Website, und Sie können unseren vollständigen Sucuri-Test lesen, um mehr zu erfahren.

2. WordPress-Updates installieren

Einige gängige Brute-Force-Angriffe zielen aktiv auf bekannte Sicherheitslücken in älteren Versionen von WordPress, beliebten WordPress-Plugins oder Themes ab.

Der WordPress-Kern und die meisten beliebten WordPress-Plugins sind Open Source, und Schwachstellen werden oft sehr schnell mit einem Update behoben. Wenn Sie es jedoch versäumen, Updates zu installieren, bleibt Ihre Website anfällig für diese alten Bedrohungen.

Gehen Sie einfach auf die Seite Dashboard “ Updates im WordPress-Verwaltungsbereich, um nach verfügbaren Updates zu suchen. Auf dieser Seite werden alle Updates für Ihren WordPress-Kern, Ihre Plugins und Themes angezeigt.

Updating WordPress Core From the Dashboard

Weitere Einzelheiten finden Sie in unseren Anleitungen zur sicheren Aktualisierung von WordPress und zur korrekten Aktualisierung von WordPress-Plugins.

3. Schützen Sie das WordPress-Administrationsverzeichnis

Die meisten Brute-Force-Angriffe auf eine WordPress-Website zielen darauf ab, Zugang zum WordPress-Administrationsbereich zu erhalten. Sie können Ihr WordPress-Administrationsverzeichnis auf Serverebene mit einem Passwortschutz versehen. Dadurch wird der unbefugte Zugriff auf Ihren WordPress-Administrationsbereich blockiert.

Loggen Sie sich einfach in Ihr WordPress-Hosting-Kontrollpanel (cPanel) ein und klicken Sie auf das Symbol „Verzeichnisschutz“ unter dem Abschnitt „Dateien“.

Hinweis: In unserem Screenshot verwenden wir Bluehost, aber ähnliche Einstellungen sind auch bei anderen Top-Hosting-Unternehmen wie HostGator verfügbar.

Click on the Directory Privacy option in the Files section

Als nächstes müssen Sie den Ordner wp-admin finden.

Sobald Sie sie gefunden haben, sollten Sie auf die Schaltfläche „Bearbeiten“ klicken.

Using Directory Privacy to Password-Protect wp-admin

Auf der nächsten Seite können Sie die Sicherheitseinstellungen für den Ordner festlegen.

Zunächst müssen Sie das Kästchen „Dieses Verzeichnis mit einem Passwort schützen“ ankreuzen. Anschließend können Sie einen Namen für das geschützte Verzeichnis eingeben.

Password Protecting a Directory

Anschließend werden Sie aufgefordert, einen Benutzernamen und ein Passwort einzugeben.

Sie werden nach diesen Informationen gefragt, wenn Sie versuchen, auf dieses Verzeichnis zuzugreifen.

Providing a Username and Password for a Protected Directory

Nachdem Sie diese Informationen eingegeben haben, klicken Sie auf die Schaltfläche „Speichern“, um Ihre Einstellungen zu speichern.

Ihr WordPress-Administrationsverzeichnis ist jetzt passwortgeschützt.

Sie werden eine neue Anmeldeaufforderung sehen, wenn Sie Ihren WordPress-Administrationsbereich besuchen.

Password protect WordPress admin example

Wenn Sie eine 404-Fehlermeldung oder eine Fehlermeldung mit zu vielen Weiterleitungen erhalten, müssen Sie die folgende Zeile in Ihre WordPress- .htaccess-Datei einfügen:

ErrorDocument 401 default

Weitere Einzelheiten finden Sie in unserem Artikel über den Passwortschutz des WordPress-Administrationsverzeichnisses.

4. Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress

Die Zwei-Faktor-Authentifizierung fügt Ihrem WordPress-Anmeldebildschirm eine zusätzliche Sicherheitsebene hinzu. Benutzer müssen mit ihrem Telefon einen einmaligen Passcode zusammen mit ihren Anmeldedaten generieren, um auf den WordPress-Administrationsbereich zuzugreifen.

Users Must Enter an Authentication Code Before Logging In

Mit der Zwei-Faktor-Authentifizierung wird es für Hacker schwieriger, sich Zugang zu verschaffen, selbst wenn es ihnen gelingt, Ihr WordPress-Passwort zu knacken.

Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress.

5. Einzigartige und sichere Passwörter verwenden

Passwörter sind der Schlüssel für den Zugang zu Ihrer WordPress-Website oder Ihrem eCommerce-Shop. Sie müssen eindeutige, sichere Passwörter für alle Ihre Konten verwenden. Ein sicheres Passwort besteht aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen.

Es ist wichtig, dass Sie sichere Passwörter nicht nur für Ihre WordPress-Benutzerkonten, sondern auch für Ihren FTP-Client, Ihr Webhosting-Kontrollfeld und Ihre WordPress-Datenbank verwenden.

Viele Anfänger fragen uns, wie sie sich all diese einzigartigen Passwörter merken sollen. Nun, das müssen Sie nicht. Es gibt hervorragende Passwortmanager-Apps, die Ihre Passwörter sicher speichern und automatisch für Sie ausfüllen.

Weitere Informationen finden Sie in unserem Leitfaden für Einsteiger über die besten Möglichkeiten zur Verwaltung von Passwörtern für WordPress.

6. Verzeichnisdurchsuchung deaktivieren

Wenn Ihr Webserver eine Indexdatei (z. B. index.php oder index.html) nicht finden kann, zeigt er automatisch eine Indexseite mit dem Inhalt des Verzeichnisses an.

Directory Browsing

Bei einem Brute-Force-Angriff können Hacker auf diese Weise das Verzeichnis durchsuchen, um nach verwundbaren Dateien zu suchen. Um dies zu beheben, müssen Sie die folgende Zeile am Ende Ihrer WordPress-.htaccess-Datei mithilfe eines FTP-Dienstes hinzufügen:

Options -Indexes

Weitere Einzelheiten finden Sie in unserem Artikel über die Deaktivierung des Verzeichnis-Browsing in WordPress.

7. Deaktivieren der Ausführung von PHP-Dateien in bestimmten WordPress-Ordnern

Hacker könnten versuchen, ein PHP-Skript in Ihren WordPress-Ordnern zu installieren und auszuführen. WordPress ist hauptsächlich in PHP geschrieben, was bedeutet, dass Sie es nicht in allen WordPress-Ordnern deaktivieren können.

Es gibt jedoch einige Ordner, die keine PHP-Skripte benötigen, wie z. B. Ihr WordPress-Ordner /wp-content/uploads.

Sie können die Ausführung von PHP im Uploads-Ordner, der von Hackern häufig als Versteck für Backdoor-Dateien genutzt wird, sicher deaktivieren.

Zunächst müssen Sie einen Texteditor wie Notepad auf Ihrem Computer öffnen und den folgenden Code einfügen:

<Files *.php>
deny from all
</Files>

Speichern Sie diese Datei nun als .htaccess und laden Sie sie mit einem FTP-Client in den Ordner /wp-content/uploads/ auf Ihrer Website hoch.

8. Installieren und Einrichten eines WordPress-Backup-Plugins

Backups sind das wichtigste Werkzeug in Ihrem WordPress-Sicherheitsarsenal. Wenn alles andere fehlschlägt, können Sie mit Backups Ihre Website leicht wiederherstellen.

Die meisten WordPress-Hosting-Unternehmen bieten begrenzte Backup-Optionen an. Diese Backups sind jedoch nicht garantiert, und Sie sind allein für die Erstellung Ihrer eigenen Backups verantwortlich.

Es gibt mehrere großartige WordPress-Backup-Plugins, mit denen Sie automatische Backups planen können.

Wir empfehlen die Verwendung von Duplicator. Es ist einsteigerfreundlich und ermöglicht es Ihnen, schnell automatische Backups einzurichten und sie an entfernten Orten wie Google Drive, Dropbox, Amazon S3, One Drive und anderen zu speichern.

Duplicator

Es gibt auch eine kostenlose Version von Duplicator, die Sie für die ersten Schritte verwenden können.

Eine Schritt-für-Schritt-Anleitung finden Sie in dieser Anleitung zum Sichern Ihrer WordPress-Website mit Duplicator.

Alle oben genannten Tipps werden Ihnen helfen, Ihre WordPress-Website vor Brute-Force-Angriffen zu schützen. Für eine umfassendere Sicherheitseinrichtung sollten Sie die Anweisungen in unserem ultimativen WordPress-Sicherheitsleitfaden für Anfänger befolgen.

Wir hoffen, dieser Artikel hat Ihnen geholfen, Ihre WordPress-Website vor Brute-Force-Angriffen zu schützen. Vielleicht interessieren Sie sich auch für unsere Anleitung, wie Sie eine gehackte WordPress-Website reparieren können, und für unsere Expertenauswahl der besten WordPress-Drag-and-Drop-Seitenerstellungsprogramme.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

8 KommentareEine Antwort hinterlassen

  1. Moinuddin Waheed

    This is very common problem for wordpress users. most of the times we give little to no concern to protect our website or blog and then complain when something of this kind happens.
    I have been a victim of this brute force attack back in 2017 and since then I have ensured to use backup of my full website and two factor authentication to log in.
    Is there a way we can identify if any malicious software has been installed or our dashboard has been compromised?

  2. Renuga

    HI,
    For step-3 admin protection, we need to show the login in WP-admin only but its showing in site also. So, please help us how to show only in WP-admin.

    • WPBeginner Support

      If you mean it is in your widget area you may want to check for a meta widget under Appearance>Widgets

      Admin

  3. Dreamandu

    I am under the brute force attack right now from different IPs. What can I do to protect my site right now?

    • WPBeginner Support

      You can use any of the methods in this article to start combating the brute force attack

      Admin

  4. Chidubem Ezenwa

    Yet another helpful guide. Thanks guys.

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.