Zuletzt aktualisiert am 25. Dezember 2023 von Lars
Ein beliebter Angriffsvektor von Cyberkriminellen auf WordPress-Installation ist das WordPress-Login. Dabei wird automatisiert versucht, das Login zu knacken. Um den Gaunern das Leben etwas schwerer zu machen, gibt es viele Methoden.
Zum Beispiel kann man das Login überhaupt nur für bestimmte IPs zulassen. Das kann man durch einen Eintrag in der .htaccess-Datei erreichen:
<files wp-login.php> order deny,allow deny from all allow from 123.230.147 allow from 123.230.148 </files>
Hier dürfen nur die IPs 123.230.147 und 123.230.148 das WordPress-Login wp-login.php aufrufen.
Eine andere Möglichkeit (selbstverständlich geht auch beides) ist der Einsatz eines Captchas. Mit meinem Liebbling-Security-Plugin WP Cerber ist das recht schnell konfiguriert.
Wähle hierzu im WP Cerber Menü das Untermenü "Spam-Schutz".
Gehe anschliessend in den Reiter "reCaptcha".
Woher bekommst du nun "Site key" und "Secret key"? Von Google, denn wir binden das Captcha von Google ein. Denke daher bitte daran, die Verwendung auch in deiner Datenschutzerklärung entsprechend zu erwähnen.
Wechsle auf die Website https://www.google.com/recaptcha und dort in die Admin-Console.
Beginne über das Plus-Zeichen "+" eine neue Website zu registrieren.
Achte darauf, die Version 2 des Captchas zu nehmen.
Bestätige mit Senden, auf der nächsten Seite werden dir dann die beiden Key angezeigt, die du bei WP-Cerber eintragen kannst.
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!