So finden Sie Ihre WordPress-Anmelde-URL und aktualisieren sie aus Sicherheitsgründen
Starke, eindeutige Passwörter können dazu beitragen, unbefugten Zugriff auf die WordPress-Website Ihres Kleinunternehmens zu verhindern.
Allerdings haben Angreifer mehrere clevere Möglichkeiten, sie zu umgehen.
Genau wie unerbittliche Jugendliche, die jede Kindersicherungstaktik, die man ihnen in den Weg stellt, zu überlisten scheinen, wissen böswillige Akteure, wie sie Brute-Force-Angriffe durchführen und Hintertüren durch weniger sichere Plugins finden.
Brute-Force-Angriff
Ein Brute-Force-Angriff ist ein Cyberangriff, bei dem ein Angreifer durch Versuch und Irrtum in ein Konto eindringt. Bösartige Bots versuchen wiederholt, Passwörter, Anmeldeinformationen oder digitale Schlüssel zu erraten.
Mehr lesen
Und voilà, sie sind auf Ihrer Website und stehlen Daten schneller, als ein Kleinkind jede Schublade in Ihrer Küche herausziehen und ausleeren kann (AKA, bemerkenswert schnell).
Mit anderen Worten: Passwörter reichen oft nicht aus, um Ihre Website ordnungsgemäß vor Angriffen zu schützen.
Glücklicherweise gibt es eine relativ einfache Sache, die Sie tun können, um das Risiko zu verringern, dass Hacker auf Ihre Website gelangen – indem Sie Ihre WordPress-Anmeldeseite auf eine neue URL verschieben. Dadurch sind Sie besser in der Lage, sich gegen Hacks und Angriffe zu verteidigen.
Wenn Sie mit WordPress nicht allzu vertraut sind, wird dies wahrscheinlich keinen großen Sinn ergeben. Aus diesem Grund wird in diesem Artikel näher darauf eingegangen, warum Sie eine Änderung Ihrer WordPress-Anmelde-URL in Betracht ziehen sollten, wie Sie Ihre Anmelde-URL finden, wenn Sie den Überblick verloren haben, und, was am wichtigsten ist, einige Möglichkeiten, sie zu ändern, um die Sicherheit zu erhöhen.
Und wenn Sie bis zum Schluss dranbleiben, finden Sie hier noch eine Liste mit weiteren Tipps zur weiteren Stärkung Ihrer WordPress-Sicherheit.
Lasst uns absichern!
Warum Sie eine Standard-WordPress-Anmelde-URL aktualisieren sollten
Da WordPress Ihre Anmeldeseite nicht verbirgt, kann sie jeder Benutzer finden, sofern er weiß, wie WordPress seine URLs strukturiert. Wenn man bedenkt, dass fast die Hälfte aller Websites im Internet auf WordPress basiert, kann man mit Sicherheit davon ausgehen, dass viele Leute – insbesondere diejenigen, die wissen, wie man Websites ausnutzt – mit dem gängigen WordPress-Layout sehr vertraut sind.
Die Standardstruktur einer Anmeldeseite sieht normalerweise etwa so aus:
https://example.com/wp-login.php
Das heißt, wenn ein Benutzer die URL Ihrer Website dort einfügt, wo „https://example.com/“ steht, sollte er in seinem Browser eine Seite sehen, die ihn auffordert, sich am Backend Ihrer Website anzumelden:
Natürlich verfügen die meisten Hacker wahrscheinlich nicht über die erforderlichen Anmeldeinformationen. Diese Struktur ist jedoch immer noch riskant, wenn Ihr Passwort allgemein, schwach oder leicht zu erraten ist. So etwas wie 123456.
Einfach ausgedrückt handelt es sich um eine einfache Lösung für eine unnötige Sicherheitslücke.
Der Einfachheit halber bleiben viele lieber bei dieser Standardeinstellung wp-login Struktur für die Anmeldung bei WordPress, aber wenn Sie sie so lassen, können Hacker leicht auf Ihren Anmeldebereich zugreifen, was ihnen die Hälfte ihrer Arbeit erspart für ihnen.
WPScan hat herausgefunden, dass WordPress im Jahr 2024 derzeit mehr als 50.000 Schwachstellen aufweist. Die überwiegende Mehrheit findet sich in WordPress-Plugins, und jedes Jahr werden Hunderte, wenn nicht Tausende weitere entdeckt.
Kurz gesagt: Es ist an der Zeit, die Sicherheit Ihrer Website zu erhöhen.
Eine mögliche Möglichkeit hierfür besteht darin, Ihre WordPress-Anmelde-URL zu ändern, um unbefugten Zugriff auf Ihre Website zu verhindern und das Risiko von Brute-Force-Angriffen zu verringern.
So finden Sie die Standard-WordPress-Anmeldeseite
Schauen Sie, wir wissen, dass bei Ihnen viel los ist. Wenn Sie als Kleinunternehmer eine Million Dinge zu erledigen haben, ist es keine Seltenheit, den Überblick über Ihre WordPress-Anmelde-URL zu verlieren.
Wie wir im vorherigen Abschnitt erwähnt haben, verwendet WordPress eine Standard-Anmeldelinkstruktur, die etwa so aussieht:
https://example.com/wp-login.php
Sie müssen also nur noch das Suffix hinzufügen (dieser Teil: wp-login.php) zu Ihrer Domain hinzufügen und Sie sollten auf Ihrer Anmeldeseite landen.
Sie können Ihre Anmeldeseite auch finden, indem Sie versuchen, auf Ihr WordPress-Dashboard zuzugreifen, während Sie abgemeldet sind. Geben Sie einfach „yourwebsite.com/admin“ oder „yourwebsite.com/login“ in die Suchleiste ein und Sie sollten auf derselben Anmeldeseite landen.
Funktioniert nicht? Keine Panik.
Einige Webhoster ändern Ihre WordPress-Anmeldeseite aus Sicherheitsgründen automatisch. Vielleicht schon haben eine benutzerdefinierte Anmelde-URL. Wenn ja, zeigen wir Ihnen jetzt, wie Sie es finden.
Benutzerdefinierte Anmelde-URL? Hier erfahren Sie, wie Sie es finden
Wenn Ihr Webhost Ihren Anmeldelink geändert hat, können Sie ihn normalerweise in Ihrem Control Panel finden, nachdem Sie sich bei Ihrem Hosting-Konto angemeldet haben.
Wenn Sie Ihre benutzerdefinierte Anmelde-URL dort jedoch nicht identifizieren können, können Sie sie trotzdem manuell finden, indem Sie über einen SFTP-Client wie FileZilla eine Verbindung zu Ihrer Site herstellen.
SFTP
SFTP (Secure File Transfer Protocol) ist eine sicherere Möglichkeit, Dateien online zu übertragen. Im Gegensatz zu FTP verwendet SFTP eine Verschlüsselung, um Ihre Daten beim Senden zu schützen und sie vor unbefugtem Zugriff zu schützen.
Mehr lesen
Die entsprechenden Anmeldeinformationen finden Sie möglicherweise in Ihrem Hosting-Konto oder fragen Sie Ihren Website-Host nach den Details.
Nachdem Sie den Client installiert und mit diesen Anmeldeinformationen eine Verbindung hergestellt haben, sollten Sie auf einer Seite landen, die etwa so aussieht:
Suchen Sie den Stammordner mit der Bezeichnung public_html (Sie können es oben auf der rechten Seite des Bildschirms sehen) und klicken Sie hinein, um das zu finden wp-config.php Datei. Wenn Sie es nicht finden können public_htmlkann es stattdessen als Ihr Domainname aufgeführt werden.
Öffnen Sie diese Datei auf Ihrem Computer mit einem Texteditor wie Visual Studio Code. Am besten verwenden Sie eine Option, die ein Such- und Ersetzungstool bietet. Verwenden Sie dieses Tool, um eine Codezeichenfolge zu finden, die Folgendes enthält: site_url – Dadurch werden Sie zu Ihrer benutzerdefinierten Anmelde-URL weitergeleitet.
Boom, du hast es gefunden! Nachdem das erledigt ist, aktualisieren wir diese URL für mehr Sicherheit.
Zwei Strategien zum Ändern Ihrer WordPress-Anmelde-URL
Nachdem Sie nun wissen, wo Sie die WordPress-Anmelde-URL finden, werfen wir einen Blick auf zwei einfache Möglichkeiten, wie Sie sie ändern können.
Methode 1: Aktualisieren Sie Ihre WordPress-Anmelde-URL mit einem Plugin
Der einfachste Weg, Ihre Anmelde-URL zu ändern, ist die Verwendung eines WordPress-Plugins. Glücklicherweise gibt es viele davon, die dies erleichtern.
WPS Hide Login ist eine großartige Option, da es leichtgewichtig ist und es Ihnen ermöglicht, Ihre WordPress-Administrator-Anmeldeseite sicher nach Ihren Wünschen zu ändern. Besser noch: WPS Hide Login verhindert auch den Zugriff aller abgemeldeten Benutzer auf das wp-admin Verzeichnis und wp-login.php.
Um zu beginnen, müssen Sie das Plugin installieren und aktivieren, indem Sie zu Ihrem WordPress-Administrationsbereich gehen. Klicken Sie auf Plugins > Neues Plugin hinzufügen.
Suchen Sie nach „WPS Hide Login“ und klicken Sie auf Jetzt installieren Taste. Bleiben Sie auf dieser Seite, bis die Installation abgeschlossen ist, und verwenden Sie dann die Aktivieren Taste.
Gehen Sie nach der Aktivierung in der Seitenleiste Ihres WordPress-Administrators zu Einstellungen > WPS-Anmeldung ausblenden.
Sie werden sehen, dass Sie eine neue Anmelde-URL erstellen können. Geben Sie ein, was Ihnen gefällt, und drücken Sie Änderungen speichern.
So einfach ist das.
Bedenken Sie, dass, sobald dieses Plugin aktiv ist und Sie Ihre Änderungen vornehmen, die Verwendung der neuen URL die einzige Möglichkeit ist, auf den Anmeldebildschirm Ihrer Website zuzugreifen.
Verlieren Sie diese URL also nicht. Und teilen Sie es nicht öffentlich oder mit jemandem, der es nicht unbedingt braucht!
Denken Sie auch daran, dass Ihre Website wieder verwendet wird wp-admin Und wp-login.php wenn Sie dieses Plugin deaktivieren.
Methode 2: Aktualisieren Sie Ihre WordPress-Anmelde-URL, indem Sie Ihre wp-login.php-Datei bearbeiten
Diese zweite Methode ist etwas kniffliger und wahrscheinlich am besten für erfahrene Benutzer geeignet. Bevor Sie mit den folgenden Schritten beginnen, erstellen Sie daher am besten ein neues WordPress-Backup Ihrer Website für den Fall, dass etwas schief geht.
Es ist auch wichtig zu wissen, dass Ihre Änderungen möglicherweise auf die vorherigen Einstellungen zurückgesetzt werden, wenn Sie Ihr Theme aktualisieren. Wenn Sie dieses Problem vermeiden möchten, erfahren Sie, wie Sie ein untergeordnetes WordPress-Theme verwenden.
Jetzt lasst uns eintauchen.
Sie müssen auf die Dateien Ihrer Website zugreifen, genau wie wir es zuvor beim Auffinden Ihrer benutzerdefinierten Anmelde-URL getan haben. Sie können dies über das Admin-Panel Ihres Website-Hosts oder SFTP tun.
Wenn letzteres der Fall ist, verwenden Sie Ihre Anmeldeinformationen, um über den SFTP-Client Ihrer Wahl eine Verbindung zu Ihrer Site herzustellen, und suchen Sie erneut nach public_html Datei (auch hier könnte sie stattdessen als Ihr Domänenname aufgeführt sein.) Suchen Sie darin die Datei wp-login.php Ordner. Der Code hinter der Anmeldeseite Ihrer Website befindet sich hier.
Öffnen Sie die Datei erneut mit Ihrem Texteditor.
Verwenden Sie die Suchfunktion, um jede Instanz von zu finden wp_login_urldas etwa so aussehen wird:
Die Zeichenfolgen, die dem folgen wp_login_url enthält Ihre aktuelle Anmelde-URL. Ändern Sie jeweils die neue Anmelde-URL, die Sie verwenden möchten.
Denken Sie daran, dass Sie es unkompliziert beibehalten können, solange es original ist (und sich von der Standardeinstellung unterscheidet). Beispielsweise könnten Sie etwas wie „access.php“ oder „wp-new-login“ bevorzugen.
Wenn Sie mit Ihren Änderungen zufrieden sind, speichern Sie sie und schließen Sie den Editor. Benennen Sie die Datei dann nach der von Ihnen gewählten neuen URL um (z. B. „access.php“).
Notiz: Technisch gesehen können Sie der Datei einen beliebigen Namen geben, es ist jedoch einfacher, sie nachzuverfolgen und zu merken, wenn Sie sie nach der neuen URL benennen, die Sie verwenden möchten.
Ziehen Sie die Datei von Ihrem Desktop in die public_html Datei.
Jetzt können Sie die neue Datei mit Ihrem FTP-Client oder dem Dateimanager Ihres Webhosts in Ihr Stammverzeichnis hochladen. Wir zeigen Ihnen, wie das mit dem WordPress-Filter-Hook „login_url“ geht.
Beginnen Sie mit der Navigation zu wp-Inhalt > Themenwählen Sie Ihr aktives Thema aus und öffnen Sie das Funktionen.php Datei (vorzugsweise unter einem untergeordneten Thema). Dadurch wird WordPress mitgeteilt, wo die neue Anmeldedatei „lebt“.
Hier können Sie die folgende Codezeile in die Datei einfügen:
/**Change WP Login file URL using “login_url” filter hook*https://developer.wordpress.org/reference/hooks/login_url/*/add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );function custom_login_url( $login_url ) {$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );return $login_url;}Ersetzen wp-Ihr-neuer-Login-Dateiname mit dem Namen der Datei, die Sie gerade erstellt haben. Speichern Sie anschließend Ihre Änderungen und testen Sie Ihr neues Login.
Sie müssen am Ende die Domain Ihrer Website und Ihre neue Anmelde-URL eingeben.
Zum Beispiel: „https://example.com/access.php.“
Wenn Sie auf die Anmeldeseite Ihrer WordPress-Site zugreifen können, hat es funktioniert!
Und jetzt können Sie das Original löschen wp-login.php Datei, da die neue Datei, die Sie hinzugefügt haben, sie ersetzt hat.
Beachten Sie Folgendes: Sobald Sie Ihre Anmeldeseite aktualisiert haben, müssen Sie die entsprechenden Seiten aktualisieren Referenz Die wp-login.php Datei, die wir gerade gelöscht haben. Insbesondere müssen Sie die aktualisieren logout_url Filter und die verlorenpassword_url Filter.
4 weitere Möglichkeiten, den WordPress-Anmeldevorgang zu sichern
Das Ändern Ihrer WordPress-Anmelde-URL eignet sich hervorragend, um die Sicherheit Ihrer Website zu erhöhen. Es ist jedoch nicht alles, was Sie tun können.
Hier sind einige zusätzliche Möglichkeiten, Ihren WordPress-Anmeldeprozess weiter zu sichern:
1. Begrenzen Sie Anmeldeversuche
Wenn Sie die Anmeldeversuche begrenzen, können Sie Hacker und Bots stoppen, die versuchen, auf Ihre Website zuzugreifen, indem sie Hunderte von Benutzernamen und Passwörtern ausprobieren. Mit anderen Worten: ein Brute-Force-Angriff.
Der einfachste Weg, dies zu tun, ist die Verwendung eines Plugins wie „Limit Login Attempts Reloaded“.
Dieses Plugin beginnt zu funktionieren, sobald es auf Ihrer Website aktiviert wird. Standardmäßig haben Benutzer vier Möglichkeiten, sich anzumelden, bevor sie von WordPress ausgeschlossen werden.
Sie können jedoch mit den Einstellungen experimentieren und die Anzahl der Wiederholungsversuche, die Länge der Sperrungen usw. ändern. Das Admin-Dashboard des Plugins kann Ihnen anzeigen, wie viele Brute-Force-Angriffe vom Plugin blockiert wurden.
Und auf der Registerkarte „Protokolle“ können Sie bestimmte IP-Adressen sogar manuell auf die Sperrliste setzen.
2. Implementieren Sie die Zwei-Faktor-Authentifizierung (2FA).
2FA ist eine der am häufigsten verwendeten Sicherheitsfunktionen, die WordPress-Benutzer einsetzen.
Dabei müssen Benutzer mehr als nur ihre Anmeldedaten angeben. Vor der Anmeldung müssen Benutzer außerdem eine erstellen zweite Berechtigung. Dabei handelt es sich häufig um einen Code, der per SMS, E-Mail oder App gesendet wird.
Da Bots und Hacker nicht in der Lage sind, die zweiten erforderlichen Anmeldeinformationen bereitzustellen, ist dies eine hervorragende Möglichkeit, unbefugten Zugriff auf Ihre Website zu verhindern. Eine der besten Möglichkeiten, diese Funktionalität zu Ihrer Website hinzuzufügen, ist die Verwendung eines Plugins wie miniOrange.
Gehen Sie nach der Aktivierung zum neuen miniOrange-Zwei-Faktor-Link in Ihrer WordPress-Admin-Seitenleiste > Mein Konto.
Hier müssen Sie sich für ein Konto registrieren. Anschließend erhalten Sie einen Code, mit dem Sie Ihre E-Mail-Adresse bestätigen können.
Als Nächstes empfehlen wir, dem hilfreichen „Setup-Assistenten“ des Plugins zu folgen, um sicherzustellen, dass Sie 2FA für jeden, der Ihre Website nutzt, vollständig eingerichtet haben.
3. Verwenden Sie CAPTCHA
CAPTCHA oder reCAPTCHA von Google bietet eine zusätzliche Sicherheitsebene für Ihre Website.
Typischerweise wird es verwendet, um den Zugriff auf vertrauliche Seiten zu kontrollieren. Was gibt es noch? Dadurch kann verhindert werden, dass Bots Spam erstellen oder über Bestellformulare oder Anmeldeformulare auf persönliche Daten auf Ihrer Website zugreifen.
Auch hier ist ein Plugin der einfachste Weg, diese Funktionalität auf Ihrer Website zu aktivieren. In unserem Leitfaden zu reCAPTCHA zeigen wir Ihnen, wie Sie es über ein Plugin in nur sechs Schritten zum Laufen bringen.
Wenn Sie es lieber manuell machen möchten, ist das auch eine Option!
4. Erzwingen Sie sichere Passwörter
Natürlich ist es eine gute Idee, die Anmelde-URL für Ihre WordPress-Site zu ändern, sodass Sie nicht das leicht zu erratende Suffix „admin“ verwenden. Ihre Bemühungen sind jedoch umsonst, wenn Sie weiterhin schwache oder sich wiederholende Passwörter verwenden, die Ihr Konto einem größeren Angriffsrisiko aussetzen.
Nur 13 % der Menschen verwenden einen Passwortgenerator, um einzigartige, hochsichere Phrasen für verschiedene Websites zu erstellen. Die Mehrheit verwendet stattdessen Zahlen und Wörter, die für sie von Bedeutung sind, wodurch diese für Hacker offensichtlicher werden.
Wir empfehlen die Verwendung von Solid Security, einem WordPress-Plugin, das Benutzer dazu bringen kann, sichere Passwörter zu verwenden. Wenn Sie befürchten, dass ein Passwort Teil einer Datenschutzverletzung sein könnte, können Sie auch Passwords Evolved verwenden, das eine Warnung sendet, wenn Benutzerpasswörter kompromittiert werden
Im Moment ist es am besten, Ihr WordPress-Passwort zurückzusetzen, wenn es wiederverwendet wird oder leicht zu erraten ist. Entscheiden Sie sich künftig für lange Passwörter mit Groß- und Kleinbuchstaben kombiniert mit Zahlen und Sonderzeichen. Für zusätzliche Sicherheit empfehlen wir außerdem die Verwendung eines Passwort-Managers wie 1Password.
Darüber hinaus ist es wichtig, sichere Passwörter von Benutzern zu fördern, die Zugriff auf Ihre Website haben. Sie können dies in der Willkommens-E-Mail klären, die Benutzer bei der Registrierung auf Ihrer Website erhalten.
Bonus: Noch mehr Tipps zur Erhöhung der WordPress-Sicherheit
Als beliebtestes Content-Management-System (CMS) auf dem Markt ist WordPress verständlicherweise auch eines der am häufigsten angegriffenen Systeme.
Wir sagen das nicht, um Sie von der Verwendung abzuschrecken, sondern nur, um Sie darauf aufmerksam zu machen, wie wichtig es ist, Ihre WordPress-Site an allen Fronten zu sichern.
Für die allgemeine Sicherheit über die Anmeldephase hinaus empfehlen wir ein weiteres leistungsstarkes Plugin zur Automatisierung des Prozesses: Jetpack.
Jetpack
Jetpack ist ein WordPress-Plugin, das von Automattic, dem Unternehmen hinter WordPress.com, erstellt wurde. Es handelt sich um ein Plugin, das Ihnen Zugriff auf Funktionen bietet, die normalerweise nur auf WordPress.com-Websites verfügbar sind.
Mehr lesen
Die Sicherstellung, dass Ihr SSL/TLS-Zertifikat auf dem neuesten Stand ist, ist der beste Weg, um sicherzustellen, dass Ihre wichtigen Website- und Benutzerdaten verschlüsselt sind. Dies wirkt sich oft auch positiv auf die Suchmaschinenoptimierung (SEO) Ihrer Website aus.
Erfahren Sie hier, wie Sie das Really Simple SSL WordPress-Plugin verwenden.
Fühlen Sie sich bereit, noch tiefer in die WordPress-Sicherheit einzusteigen? Schauen Sie sich unseren Leitfaden zu Everything an g Sie müssen über WordPress-Sicherheit Bescheid wissen, um noch mehr Methoden zur Website-Härtung zu erhalten.
Bauen Sie mit dem besten WordPress-Host ein undurchdringliches Geschäft auf
Ein letztes, aber exzellent Wie können Sie Ihre WordPress-Sicherheit endgültig verbessern?
Partnerschaft mit einem erfahrenen, engagierten Webhoster.
Bei DreamHost bieten wir eine Reihe von Lösungen für alle Arten von Benutzern, Websites und Sicherheitsanforderungen.
Unsere verwalteten WordPress-Hosting-Pakete eignen sich hervorragend für Besitzer und Betreiber kleinerer Unternehmen, die auf praktisches Handeln setzen, und unsere verwalteten VPS-Hosting-Optionen sind ideal, wenn Sie bereit sind, zu skalieren.
Entdecken Sie alle unsere Hosting-Pläne, um das für Sie am besten geeignete auszuwählen! Und wenn Sie schon dabei sind, schauen Sie sich DreamCare an, um professionelle Sicherheitsüberwachung, Berichterstattung und Wartung zu erhalten, damit Sie das von Ihrer geschäftlichen To-Do-Liste streichen können.
DreamShield
Schützen Sie Ihre Website mit DreamShield
Unser Premium-Sicherheits-Add-on scannt Ihre Website wöchentlich, um sicherzustellen, dass sie frei von Schadcode ist.
Aktivieren Sie DreamShield
Diese Seite enthält Affiliate-Links. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie Dienstleistungen über unseren Link erwerben, ohne dass Ihnen zusätzliche Kosten entstehen.
