WordPress individuell

URL der Login-Seite anpassen

Bei jeder WordPress-Installation ist die Login-Seite Standardmäßig unter http://www.Beispiel.de/wp-login.php erreichbar. Doch das muss nicht sein. Mit dem Plugin „Move Login“ legt ihr die URL eurer Login-Seite individuell fest. Warum? Das lest ihr hier.

Move Login

Nach der Installation des Plugins Move Login könnt ihr in der Konfiguration die URL der Login-Seite nach eurem Belieben ändern (zum Beispiel in http://www.Beispiel.de/Anmeldung/). Sei es, damit ihr sie schneller erreichen oder euch die Adresse besser merken könnt.

Move Login Settings 1

Move Login: Hier ändert ihr die Standard-Werte eurer Seite.

Move Login Settings 2

Move Login: Wie soll zukünftig mit den Anfragen an die wp-login.php umgegangen werden? Das legt ihr hier fest.

Das Plugin benötigt die Erweiterung Noop

Für die korrekte Funktionsweise setzt das Plugin die Erweiterung „Noop“ voraus. Falls ihr diese noch nicht installiert habt, sieht die Konfigurationsseite wie folgt aus und zeigt den Download-Link an:

Move Login Settings 3

Move Login: Ohne Noop funktioniert die Konfiguration nicht so komfortabel. Man kann die Änderungen auch manuell in der .htaccess vornehmen.

Falls ihr euch nach den Änderungen nicht mehr anmelden könnt oder eure Login-URL vergessen habt, speichert diesen Code:

define(‚SFML_ALLOW_LOGIN_ACCESS‘, true);

in der wp-config.php ab (dazu benötigt ihr FTP-Zugang). Damit könnt ihr das Plugin umgehen und über die Standard-URL die Login-Seite erreichen.

In jedem Fall solltet ihr vor der Installation dieses Plugins ein Backup eurer Daten und der Datenbank machen, sodass ihr im Zweifelsfall wieder auf den Ausgangszustand zurückkehren könnt.

Nur wenig Sicherheitsgewinn

Diese Methode des „Versteckens“ ist nur bedingt dazu geeignet den Login-Bereich zu verbergen um euch vor Brute-Force Angriffen zu schützen, da die xmlrpc.php weiterhin über die Standard-URL erreichbar ist. Falls eure Motivation höhere Sicherheit ist, solltet ihr zur Absicherung auch die Anmeldeversuche mit Limit Login Attempts begrenzen.

Fazit: Das Plugin ist für alle, die eine individuelle Anmelde-URL haben möchten, gut geeignet.


Hans Jung

Hans Jung

Hans ist Datenschutzbeauftragter und bekennender WordPress-Fan – und versucht beides unter einen Hut zu bekommen.
Hans Jung
Kommentare zu "URL der Login-Seite anpassen"
  1. Klaus K. schrieb am 17. September 2014, um 11:57 Uhr:

    Das Plugin Limit Login Attempts ist auch keine Lösung, eben weil die xmlrpc.php weiter erreichbar bleibt. Ich suche auch noch immer eine Lösung.

    1. Hans Jung schrieb am 17. September 2014, um 12:06 Uhr:

      Hallo Klaus,

      das hängt sicherlich von der jeweiligen Brute-Force-Attacke ab. Soweit meine Erfahrung damit: bei einem Angriff auf die xmlrpc.php funktioniert das Plugin sehr gut und sperrt fleißig alle entsprechenden IPs. Zusätzlich kann man die Datei für die Dauer des Angriffs einfach löschen oder umbennen. Hierduch wird der Angriff ebenfalls gestoppt und WordPress legt nach einiger Zeit von selbst eine neue xmlrpc.php an.

      Viele Grüße,
      Hans

  2. Wolf schrieb am 18. September 2014, um 21:43 Uhr:

    Mir persönlich gefällt ja die etwas unbequemere Lösung mit Passwortschutz für die wp-login.php per htaccess/htpasswd immer noch am besten. Funktioniert komplett unabhängig von WP, ist mit allen Plugins kompatibel und hochperformant, weil es ohne php und Datenbankzugriffe auskommt. Da nehme ich die doppelte Anmeldung gerne in Kauf.

    1. Hans Jung schrieb am 19. September 2014, um 10:01 Uhr:

      Ja, die Lösung mit den Dateien .htaccess und .htpasswd ist als weitere Sicherheitsmaßnahme ein guter Tipp. Wir werden demnächst eine Anleitung dazu schreiben.

  3. John schrieb am 11. Oktober 2015, um 10:18 Uhr:

    Danke für den Tipp mit dem Plugin. Das kannte ich noch nicht und es wird aktuell gehalten, wie ich sehe – sehr gut. Weil mein altes Plugin mit dem Ich die Login URL verändert habe, wird seit Langem nicht mehr aktualisiert und dann lösche ich es auch aus Sicherheitsgründen. Die xmlrpc.php habe ich deaktiviert aus Sicherheitsgründen, von da aus gehen keine Risiken mehr aus. Eine .htaccess Abfrage geht bei mir nicht, da die Scans meines Sicherheitsplugins dann nicht mehr funktionieren, da es nicht mit einem Passwortschutz bei WP-Admin umgehen kann. Geht auch ohne, wenn ich jetzt eine alternative habe bei der Login URL verändern, die xmlrpc.php deaktiviert habe und einen zwei Schritte Login (via SMS) habe bei allen gültigen Benutzernamen durch mein Sicherheitsplugin.

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..