Login-Sicherheit
Dieses Tutorial behandelt die folgenden Themen:
Die Optionen auf dieser Seite werden Ihnen helfen, Ihr WordPress WP-Admin-Panel vor verschiedenen Arten von Angriffen zu schützen.
Individuelle Anmelde-URL
Die Standard-Login-URL von WordPress ist ein häufiges Ziel von Angreifern und SPAM-Bots. Mit dem Security Optimizer Plugin haben Sie die Möglichkeit, die URL in eine benutzerdefinierte zu ändern und solche Angriffe zu vermeiden. Wenn Sie die Benutzerregistrierung für Ihre Website aktiviert haben, können Sie die Standard-Anmelde-URL ebenfalls ändern.
Anmelde-Zugang
Standardmäßig kann Ihre WordPress-Login-Seite von jedem zugegriffen werden. Sie können diese Funktionalität nutzen, um den Zugriff auf den wp-admin nur von Ihrer IP aus zu ermöglichen. Wenn Sie eine dynamische IP verwenden, dann können Sie den Bereich möglicher IPs, die Ihr ISP Ihnen zuweisen kann, auf die Whitelist setzen, um Probleme beim Zugriff auf das WordPress-Admin-Panel zu vermeiden
Zwei-Faktor-Authentifizierung für Administratoren und Redakteure
Die zweistufige Verifizierung ist eine der einfachsten und sichersten Methoden, um Ihre Daten vor Hacking und Identitätsdiebstahl zu schützen. Sie funktioniert, indem sie etwas, das nur Sie kennen (Benutzername und Passwort), mit etwas kombiniert, auf das nur Sie Zugriff haben (Ihr Smartphone).
Wenn Sie die Funktion aktivieren, verwenden Sie zusätzlich zu Ihrem normalen Benutzernamen und Passwort ein zweites Passwort, das von einer Anwendung auf Ihrem Smartphone generiert wird. Daher sind Ihre Daten auch dann noch sicher, wenn einer der beiden Faktoren gefährdet ist.
Wenn Sie diese Option aktivieren, werden alle admin > amp; Editorbenutzer werden aufgefordert, ihre Zwei-Faktor-Authentifizierung bei ihrem nächsten Login zu konfigurieren.
Scannen Sie den QR-Code auf der Seite mit Google Authenticator auf Ihrem Telefon und geben Sie den sechsstelligen Code ein, um sich anzumelden.
Backup-Codes können verwendet werden, falls Sie den Zugriff auf Ihre Authenticator-App verloren haben. Sie werden bei der 2FA-Einrichtung generiert und sobald ein Backup-Code verwendet wird, können Sie ihn nicht mehr verwenden.
Übliche Benutzernamen deaktivieren
Die Verwendung gebräuchlicher Benutzernamen wie “admin” stellt ein Sicherheitsrisiko dar, das häufig zu unbefugtem Zugriff führt. Wenn Sie diese Option aktivieren, wird die Erstellung allgemeiner Benutzernamen deaktiviert, und wenn Sie bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen haben, werden Sie aufgefordert, einen oder mehrere neue Benutzernamen anzugeben. Wenn Sie diese Option aktivieren, erscheint ein Pop-up-Fenster, in dem Sie einen neuen Benutzernamen auswählen können, der den vorhandenen schwachen Benutzernamen automatisch ersetzt.
Anmeldeversuche begrenzen.
Legt fest, wie oft ein bestimmter Benutzer versuchen kann, sich mit falschen Anmeldedaten bei Ihrem wp-admin anzumelden. Sobald das Limit für die Anmeldeversuche erreicht ist, wird die IP, von der die Versuche ausgingen, für eine Stunde für den Zugriff auf Ihre Anmeldeseite gesperrt und auf der Registerkarte “Blockiert” der Seite “Aktivitätsprotokoll” hinzugefügt. Wenn die Versuche nach der ersten Stunde fortgesetzt werden, wird die Sperrung für 24 Stunden und danach für 7 Tage festgelegt.
