Bei Websites, wo nur ein kleines Team oder nur der Admin Zugriff auf das Backend haben soll, setze ich immer einen .htaccess-/.htpasswd-Schutz ein.
Dafür benötigt man 1.) den absoluten Pfad (siehe Anleitung)
In die .htaccess
-Datei (Original vorher auf dem eigenen Rechner speichern/sichern) fügt man folgendes Snippet ein:
<Files wp-login.php>
AuthType Basic
AuthName "My Protected Area"
AuthUserFile /absoluter-pfad/.htpasswd
Require valid-user
</Files>
Und den Code für die Passwortdatei .htpasswd
lässt man sich am besten von einem Htaccess-Passwort-Generator generieren, zum Beispiel diesen: https://www.htaccessredirect.net/htpasswd-generator
Den Code, den man nach Eingabe von Benutzername sowie einem guten! Passwort erhält, trägt man in die neu zu erstellende Datei ein, die man unter dem Namen .htpasswd
(mit Punkt am Anfang) speichert. (Benutzername und Passwort natürlich notieren, die braucht man für den Zugriff auf die /wp-login.php-Seite.)
Für die Bearbeitung beider Dateien verwendet man einen Texteditor, der in UTF-8 ohne Bom speichert, zum Beispiel Notepad++ (nicht WordPress-Notepad).
Die veränderte .htaccess-Datei lädt man wieder in das WordPress-Stammverzeichnis hoch und die Datei .htpasswd ebenfalls in das Stammverzeichnis.
Und keine Panik, wenn man nun beim Aufruf der WP-Login-Seite eine weiße Seite angezeigt bekommt, dann hat man irgendeinen Fehler gemacht. Einfach den Code aus der .htaccess-Datei wieder löschen oder man versucht es so lange, zum Beispiel mit einem anderen Generator oder einer anderen Verschlüsselungsmethode (die stehen bei einigen Htpasswd-Generatoren zur Auswahl) oder man prüft, ob man einen geeigneten Text-Editor verwenden hatte.
Hört sich jetzt vielleicht kompliziert an, ist aber im Grund ruckzuck erledigt und bietet Brutforce-Attacken keine Angriffsfläche.