URL der Login-Seite anpassen
Bei jeder WordPress-Installation ist die Login-Seite Standardmäßig unter http://www.Beispiel.de/wp-login.php erreichbar. Doch das muss nicht sein. Mit dem Plugin „Move Login“ legt ihr die URL eurer Login-Seite individuell fest. Warum? Das lest ihr hier.
Nach der Installation des Plugins Move Login könnt ihr in der Konfiguration die URL der Login-Seite nach eurem Belieben ändern (zum Beispiel in http://www.Beispiel.de/Anmeldung/). Sei es, damit ihr sie schneller erreichen oder euch die Adresse besser merken könnt.
Move Login: Hier ändert ihr die Standard-Werte eurer Seite.
Move Login: Wie soll zukünftig mit den Anfragen an die wp-login.php umgegangen werden? Das legt ihr hier fest.
Das Plugin benötigt die Erweiterung Noop
Für die korrekte Funktionsweise setzt das Plugin die Erweiterung „Noop“ voraus. Falls ihr diese noch nicht installiert habt, sieht die Konfigurationsseite wie folgt aus und zeigt den Download-Link an:
Move Login: Ohne Noop funktioniert die Konfiguration nicht so komfortabel. Man kann die Änderungen auch manuell in der .htaccess vornehmen.
Falls ihr euch nach den Änderungen nicht mehr anmelden könnt oder eure Login-URL vergessen habt, speichert diesen Code:
define(‚SFML_ALLOW_LOGIN_ACCESS‘, true);
in der wp-config.php ab (dazu benötigt ihr FTP-Zugang). Damit könnt ihr das Plugin umgehen und über die Standard-URL die Login-Seite erreichen.
In jedem Fall solltet ihr vor der Installation dieses Plugins ein Backup eurer Daten und der Datenbank machen, sodass ihr im Zweifelsfall wieder auf den Ausgangszustand zurückkehren könnt.
Nur wenig Sicherheitsgewinn
Diese Methode des „Versteckens“ ist nur bedingt dazu geeignet den Login-Bereich zu verbergen um euch vor Brute-Force Angriffen zu schützen, da die xmlrpc.php weiterhin über die Standard-URL erreichbar ist. Falls eure Motivation höhere Sicherheit ist, solltet ihr zur Absicherung auch die Anmeldeversuche mit Limit Login Attempts begrenzen.
Fazit: Das Plugin ist für alle, die eine individuelle Anmelde-URL haben möchten, gut geeignet.
Das Plugin Limit Login Attempts ist auch keine Lösung, eben weil die xmlrpc.php weiter erreichbar bleibt. Ich suche auch noch immer eine Lösung.
Hallo Klaus,
das hängt sicherlich von der jeweiligen Brute-Force-Attacke ab. Soweit meine Erfahrung damit: bei einem Angriff auf die xmlrpc.php funktioniert das Plugin sehr gut und sperrt fleißig alle entsprechenden IPs. Zusätzlich kann man die Datei für die Dauer des Angriffs einfach löschen oder umbennen. Hierduch wird der Angriff ebenfalls gestoppt und WordPress legt nach einiger Zeit von selbst eine neue xmlrpc.php an.
Viele Grüße,
Hans
Mir persönlich gefällt ja die etwas unbequemere Lösung mit Passwortschutz für die wp-login.php per htaccess/htpasswd immer noch am besten. Funktioniert komplett unabhängig von WP, ist mit allen Plugins kompatibel und hochperformant, weil es ohne php und Datenbankzugriffe auskommt. Da nehme ich die doppelte Anmeldung gerne in Kauf.
Ja, die Lösung mit den Dateien .htaccess und .htpasswd ist als weitere Sicherheitsmaßnahme ein guter Tipp. Wir werden demnächst eine Anleitung dazu schreiben.
Danke für den Tipp mit dem Plugin. Das kannte ich noch nicht und es wird aktuell gehalten, wie ich sehe – sehr gut. Weil mein altes Plugin mit dem Ich die Login URL verändert habe, wird seit Langem nicht mehr aktualisiert und dann lösche ich es auch aus Sicherheitsgründen. Die xmlrpc.php habe ich deaktiviert aus Sicherheitsgründen, von da aus gehen keine Risiken mehr aus. Eine .htaccess Abfrage geht bei mir nicht, da die Scans meines Sicherheitsplugins dann nicht mehr funktionieren, da es nicht mit einem Passwortschutz bei WP-Admin umgehen kann. Geht auch ohne, wenn ich jetzt eine alternative habe bei der Login URL verändern, die xmlrpc.php deaktiviert habe und einen zwei Schritte Login (via SMS) habe bei allen gültigen Benutzernamen durch mein Sicherheitsplugin.