Wer mit WordPress arbeitet, der macht das Ganze online. Hierfür hat jede Domain einen bestimmten Loginlink der wie folgt lautet:
http://www.deine-domain.de/wp-login.php
Der Loginlink ergibt sich also aus dem eigenen Domainnamen und dem Anhang /wp-login.php
Alternativ könnt Ihr auch die Endung /wp-admin.php hinter die Domain setzen. Das Ergebnis ist in beiden Fällen das Gleiche, man gelangt zur Loginoberfläche von WordPress.
WordPress Login Passwort vergessen
Wenn Du mal Dein Passwort vergessen hast, klicke auf die Funktion „Passwort vergessen“ und Du wirst anschließend aufgefordert Deine Email-Adresse einzugeben. Dir wird nun eine Email zugesendet in der Du einen Link anklicken musst. Dieser Link führt zu einer URL, wo Du ein neues Passwort vergeben und bestätigen kannst. Anschließend kannst Du dich über den normalen Loginlink wieder mit Deinem Benutzernamen und dem neuen Passwort einloggen.
Muss ich die URL des Loginbereichs verstecken?
Diese Frage kommt immer wieder auf, denn natürlich ist der Loginlink kein Geheimnis und für Hacker ist der Loginbereich auch einer der leichteste Angriffsstellen. Darum ist es sinnvoll diesen Bereich zu schützen. Es gibt Plugins mit denen man den normalen Loginlink in einen eigens definierten Loginlink umbenennen kann beispielsweise von http://www.deine-domain.de/wp-login.php in http://www.deine-domain.de/blauer-walfisch
Leider wird diese Verwirrungstaktik nicht mal den unerfahrensten Hacker aufhalten, wenn er es wirklich auf Deinen Loginbereich abgesehen hat. Eine bessere Methode ist es die Loginseite gleich über den Server und eine sog. .htaccess-Datei zu sichern. Damit kannst Du eine zusätzliche Passwort-Abfrage selbst definieren, die automatisch erscheint sobald man die Loginseite der Webseite aufruft.
Allerdings ist das nicht ganz einfach, denn man braucht ein FTP Programm und natürlich eine kleine Anleitung. Hier findest Du ein gutes YouTube Tutorial, dass ausnahmsweise mal nicht von mir ist. Aber Achtung: Für Webseiten die bei Strato liegen funktioniert das Ganze leider nicht nach dieser Anleitung, da hier gewisse Dinge anders bezeichnet werden müssen.
WordPress Login mit .htaccess schützen ist nicht immer sinnvoll
Generell empfehle ich Dir natürlich die eigene Webseite und damit auch den Loginbereich zu sichern. In manchen Fällen kann so eine Sicherung aber auch hinderlich sein, gerade wenn es sich um eine Webseite mit vielen Redakteuren oder gar einem Mitgliederbereich handelt. Hier wäre so ein Schutz verwirrend und hinderlich für die einzelnen Mitglieder.
Was braucht wirklich jede Webseite???
Ein gutes Backup oder zu deutsch: Eine Sicherung aller Deiner Dateien und Daten! Wer möchte kann das in regelmäßigen Abständen manuell machen, worüber es auch schon einige Videos von mir gibt. Praktischer und einfacher ist es ein Plugin dafür zu verwenden. Diese Plugins machen in täglichen Intervallen eine vollständige Sicherung Deiner Webseite und mit den richtig guten Plugins, kannst Du Deine Webseite nach einem Hackerangriff mit wenigen Klicks ganz einfach wieder herstellen.
Hierfür empfehle ich zwei Plugins: Updraft Plus als kostenlose Variante. Hier brauchst Du allerdings noch einen externen Speicherort wie beispielsweise die Dropbox. Du musst darauf achten genügend freien Speicher zur Verfügung zu stellen, wenn Du zum Beispiel alle täglichen Sicherungen eines Monats abspeichern möchtest.
Das kostenpflichtige Plugin zum Schutz Deiner Webseite nennt sich Vaultpress und ist einfach nur empfehlenswert. Es kostet pro Domain 5.- $ im Monat und sichert täglich Deine gesamten Dateien der letzten 30 Tage. Um Speicherplatz brauchst Du Dich bei diesem Plugin nicht kümmern, denn es bringt eine eigenen Loginbereich für Dich mit. In diesem Loginbereich findest Du alle Sicherungen Deiner Webseite(n) der letzten 30 Tage und kannst nach einem Hackerangriff per Mausklick auswählen, welche Sicherung automatisch wieder aufgespielt werden soll.
Beispiel Hackerangriff: Du hast sonntags am 15.09. noch an Deiner Webseite gearbeitet. Anschließend hattest Du unter der Woche keine Zeit, um mal auf Deiner eigenen Webseite vorbei zu schauen. Am nächsten Wochenende möchtest Du wieder einen neuen Beitrag schreiben und bemerkst, dass Deine Webseite gehackt wurde. Ein Einloggen ist nicht mehr möglich und auf deiner Webseite stehen kryptische Zeichen und ein netter Gruß des Hackers.
Jetzt kannst Du Dich bei Vaultpress einloggen und wählst ein Backup aus, von dem Du weißt dass an diesem Tag Deine Webseite noch funktioniert hat. In unserem Beispiel wäre das also eine Sicherung vor dem 15.09. Da Du unter der Woche nicht online warst, kannst Du nicht sagen an welchem Tag der Hackerangriff stattfand. Allerdings wären Deine Änderungen vom Sonntag bei so einer Sicherung verloren.
Mein Tipp in diesem Beispiel: Nimm zuerst die Sicherung vom Montag, den 16.09. Vielleicht hat der Hackerangriff erst einige Tage später stattgefunden und Deine Daten vom Sonntag wären noch gerettet. Falls das Ergebnis immer nach dem Wiederherstellen mit der Montags-Sicherung nicht den Hackerangriff beseitigt, kannst Du immer noch eine Sicherung vom 14.09. nehmen.
Im Mitgliederbereich der Webmaster-Uni gibt es hierzu schon Videos über die verschiedenen Sicherungs-Plugins. Hackerangriffe sind nicht die Tagesordnung, aber es kann passieren und dafür brauchst Du ein Plugin, dass Deine Daten sichert und mit dem Du selbständig und einfach die eigene Webseite wieder herstellen kannst. Dafür ist Vaultpress einfach perfekt und der Preis dafür ist auf jeden Fall gerechtfertigt.
Zurück zum WordPress Login
Ein letztes Plugin, dass zumindest ein bisschen Schutz gewährleistet, ist das Limit Login Attempts. Es schützt Deine Webseite vor den sog. Brute Force Attacks. Das sind computergenerierte Angriffe bei denen versucht wird durch Ausprobieren Deinen Benutzernamen und Dein Passwort zu ermitteln. Das Plugin liest die ID des Computers aus, der versucht sich bei dir einzuloggen. Gibt ein Benutzer mehr als dreimal die falschen Logindaten ein, wird der Loginbereich für diesen Computer erst mal für 30 Minuten gesperrt. Das wehrt die Computerattacken ab, allerdings gibt es auch Brute Force Attacks die auf einen großen IP-Pool zurückgreifen und gegen diese hilft das Plugin dann natürlich auch nicht.
Die Sache mit dem Passwort
Sicherlich ist das Thema Passwort immer noch bei vielen von uns nicht ausgereift und ich habe Dir mal die häufigsten Fehler aufgelistet, die Du bei der Passwort-Erstellung machen kannst:
- Du hast ein Lieblingspasswort, dass Du für fast alle Deine Logins verwendest
- Du wählst eine Kombination aus Deinem Namen und deinem Geburtsdatum
- Du nimmst den Namen und das Geburtsdatum Deiner Frau/Deines Mannes/Deiner Kinder
- Du nimmst eine einfache Zahlenfolge wie 1234…
- Du nimmst Buchstaben die auf der Tastatur direkt nebeneinander stehen z.B. wertzui
- Dein Passwort ist nicht länger als 6 Zeichen
Und warum machst Du diese Fehler? Damit Du Dir das Passwort leichter merken kannst!
Ich selber mag es auch leicht und unkompliziert, allerdings ist es nicht sinnvoll wenn es um Passwörter geht. Ein einfacher Schutz – und das gilt jetzt für alle Loginbereiche im Nezt – ist ein langes und kompliziertes Passwort.
Es sollte länger als 12 Zeichen sein und aus einer Kombination von Zahlen, großen und kleinen Buchstabe und Sonderzeichen bestehen, beispielsweise so: U73;lPß!ü!Us(Q
Zugegeben das sieht furchtbar aus und man wird es sich niemals im Leben merken können, aber genau das ist ja auch Sinn der Sache. Wer jetzt mit dem Gegenargument kommt, er habe keine Zeit so komplizierte Passwörter täglich mehrmals irgendwo rein zu tippen, dem empfehle ich ein kleines Programm für den Browser. LastPass ist eines der größten kostenlosen Programme für das Hinterlegen von Passwörtern und Logindaten für Onlinedienste wie Facebook, die eigene Webseite, Online-Banking etc.
LastPass gibt es für jeden Browser (Chrome, Safari, Mozilla,..) und ist schnell installiert. Auch die Bedienung ist sehr einfach. Im Juni 2015 gab es einen Hackerangriff auf LastPass, denn wie alle Programme kann natürlich auch dieses gehackt werden. Allerdings war das Archiv mit den Passwörtern gut geschützt und ein ernsthafter Schaden ist nicht entstanden. Ich selber verwende auch LastPass, schreibe mir aber jedes Passwort zusätzlich auf und zwar mit einem Stift in ein ganz normales Buch :)
Gibt es eine Anleitung wie man die .htaccess-Datei bei Strato bearbeitet? Bin da etwas ratlos.
Liebe Regina,
ja bei Strato ist das auf herkömmliche Weise etwas komplizierter. Aber Du kannst den Strato Verzeichnis-Manager benutzen, dann musst Du nicht selber in die .htaccess rein: https://www.strato.de/hosting/wordpress-hosting/wordpress-htaccess/
Viele Grüße Sandra
Danke für die Tipps. Ich nutze zwar ein anderes CMS (Joomla) aber das mit dem Backup hat mir zu denken gegeben. Da gibt es sicherlich auch ein passendes Plugin für Joomla.
Genau ganz egal mit was Du arbeitest – Webseite und Backup ist wie Tag und Nacht ;)