Ersatz für Plugin Rename wp-login.php

Anmeldeformular verschieben, Login-Versuche begrenzen, CAPTCHAS und 2FA-Plugins nutzen und die Sicherheit von WordPress ganz allgemein sind ein spannendes Thema und ich habe mir etwas Zeit genommen, auf die in diesem Thread verwendeten Begriffe nochmal näher einzugehen, weil es wahrscheinlich mehrere Teilnehmende hier interessieren wird. Zusätzlich zu den völlig korrekten Antworten von Hans-Gerd also ein paar Zeilen von mir:

Wenn du WordPress installierst, wirst du um einen Benutzernamen und Passwort für den künftigen Administrator gefragt. Hierbei wird geprüft, ob du ein schwaches Passwort verwendest – z.B. password, 12345 oder qwertzu, was du ggf. gesondert bestätigen musst. Zur Sicherheit wird das Passwort nicht im Klartext in der Datenbank abgelegt, sondern mit einem Algorithmus in einen Hashwert übersetzt. Der Algorithmus funktioniert nur ein eine Richtung: ein Passwort erzeugt immer den gleiche Hash, aber du kannst aus einem Hash nicht das Passwort erstellen. (Allerdings gibt es so genannte „Rainbow-Tables“, Tabellen in denen häufig genutzte Passwörter und ihre Hashwerte aufgeführt werden. Die Hashwerte werden dann für Bruteforce-Angriffe, umgangssprachlich: Passwort-Raten, verwendet. Um Angriffe mit Rainbow-Tables zu erschweren, werden die Passwörter mehrfach gehasht, wofür die so genannten individuellen SALT-Keys in der wp-config.php verwendet werden.)

Sobald du aber ein Passwort mit ausreichender Entropie (die du z.B. hier berechnen kannst) verwendest, schlägt ein Bruteforce-Angriff fehl – die 50k Passwörter sind nichts im Vergleich zu Milliarden möglicher Zeichenkombinationen. Aber viele Angriffe dieser Art verzögern die Auslieferung der Webseiten an andere Webseitenbesucher und erzeugen auch unnötigen Traffic (das nicht bei jedem Webhosting unbegrenzt ist). Es kann also sinnvoll sein, das Anmeldeformular auf eine andere Adresse zu verschieben, um zumindest automatisierte Angriffe zu vermeiden. Dazu gibt es zahlreiche Plugins, unter anderem das leider nicht weiter gepflegte Rename wp-login.php, aber auch das aktuelle WPS Hide Login.

Grundsätzlich ist Security by obscurity ein schlechtes Konzept, weil du die Sicherheit deiner Website davon abhängig machst, dass der Angreifer zu doof ist. Es wäre eine schlechte Idee, das Anmeldeformular zu verschieben und trotzdem ein schwaches Passwort zu verwenden.

Um zusätzliche Sicherheit zu erlangen, solltest du deine Website-Installation auf mögliche Schwachstellen prüfen. Die Schnittstelle XML-RPC bietet zwar die Möglichkeit, WordPress mit einer App zu bedienen, schafft aber Angreifern eine neue Möglichkeit für Bruteforce-Angriffe. Eine allzu auskunftsfreudiger Server, der eine (vielleicht sogar veraltete?) PHP-Version im Dokumenten-Header mitliefert kann auch ein Sicherheitsproblem erzeugen. In der WordPress-Dokumentation gibt es unter Hardening WordPress einen ausführlichen Beitrag, der auf das Thema eingeht.

Zusätzliche Maßnahmen zur Absicherung des Anmeldeformulars können sinnvoll sein, werden aber auch schnell als lästig empfunden und sind bei Verwendung eines Passworts mit ausreichender Entropie eigentlich auch nicht unbedingt nötig.

Ich mag persönlich keine CAPTCHA-Plugins, bei denen ich auf unscharfen Fotos Hydranten erkennen oder Rechenaufgaben für Grundschüler lösen soll. Automatisierte Angriffe werden dadurch sicher ausgebremst und wer das Anmeldeformular nicht verschieben kann, weil er WordPress z.B. als Forum oder Webshop verwendet, hat hier zumindest die Möglichkeit wenigsten etwas für die Sicherheit zu tun.
Sinnvoller finde ich Plugins, die die Anzahl an Fehlversuchen begrenzt und die IP-Adresse des schusseligen Anwenders für fünf Minuten sperrt. Intelligentere Angriffe laufen aber ohnehin über Proxies mit laufend wechselnder IP-Adresse.

Ein wirklich guter Schutz ist die so genannte 2-Faktor-Authentifiaktion, die inzwischen bei sehr vielen Web-Diensten angeboten wird. Die Idee ist, dass du neben einem Passwort noch eine weitere Authentifiaktion durchlaufen musst – idealerweise musst du etwas wissen (Passwort) und etwas haben (einen Schlüssel mit einem Sicherheits-Chip [z.B. Yubi.-Key], eine Handy-App in der ein Geheim-Schlüssel hinterlegt ist oder eine Adresse, an die per E-Mail oder SMS ein Sicherheits-Schlüssel geschickt wird.

Verwendest du als zweiten Authentifikations-Faktor E-Mail, reicht es nicht, wenn ich dein WordPress-Passwort kenne (z.B. weil ich dir in der Bahn über die Schulter geschaut oder das Passwort in einer ungesicherten W-LAN-Verbindung im Klartext mitgelesen habe), ich muss auch noch Zugriff auf dein E-Mail-Account haben, für das du hoffentlich ein anderes Passwort verwendest.

Am häufigsten werden so genannte Time-based One-time Passwords verwendet. Wenn du die Einstellung z.B. mit dem Plugin Two Factor in WordPress aktivierst, bekommst du einen alphanumerischen Sicherheitsschlüssel angezeigt, den du per Copy/Paste in eine Passwortdatenbank wie z.B. Bitwarden übernehmen kannst oder mit dem QR-Code direkt mit einer „Authenticator“-App (z.B. andOTP, FreeOTP) im Handy scannst. Aus diesem Sicherheitsschlüssel wird dann alle zwanzig Sekunden ein neuer sechsstelliger, zeitbasierter Token errechnet. Um mich in deine Website einzuloggen brauche ich also nicht nur das Passwort (in der Bahn über die Schulter schauen reicht nicht), sondern auch dein Smartphone, das ich erst mit anderen Zugangsdaten freischalten muss.

Wenn dich jemand unter Androhung von Gewalt zwingt, Passwort und 2FA-Schlüssel herauszugeben, nützt dir auch das 2FA-Plugin nichts. Das gleiche gilt, wenn ein Angreifer die Anmeldung übergeht und eine Sicherheitslücke ausnutzt, um sich Zutritt zu einer WordPress-Installation zu verschaffen. Deshalb raten wir hier immer wieder, zusätzlich zu sicheren Passwörtern und verschlüsselten Verbindungen per https, regelmäßig WordPress, Themes und Plugins zu aktualisieren, weil nur so Sicherheitslücken geschlossen werden können. Außerdem solltest du regelmäßig Backups machen und auf einem anderen Server oder einem externen Datenträger sichern, damit du im Falle eines Falles die Website in wenigen Minuten wiederherstellen kannst. Die Säuberung einer einmal kompromittierten Website ist ausgesprochen mühsam (bzw. kostspielig), während die Wiederherstellung eines Backups kaum Mühe und Kosten bereitet.

Ich hatte bereits erwähnt, dass ein ausreichend komplexes Passwort bereits viel Sicherheit mitbringt und zusätzliche Maßnahmen die Sicherheit erhöhen können. Dabei sollte aber Nutzen und Aufwand abgewogen werden. Das Anmeldformular zu verschieben und mit einem htpassword gegen unbefugte Zugriffe zu schützen, ein CAPTCHA-Plugin, eine Begrenzung der Anmeldeversuche und ein 2FA-Plugin zu verwenden ist dann wahrscheinlich etwas zu viel des Guten. Ein paar sinnvolle Tipps zur Verbesserung der Sicherheit deiner Website findest du in diesem Beitrag: WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website.

WPS Hide Login ist zwar lt. Plugin-Liste noch ungetestet mit WP 5.9.2

Wenn du als Entwickler der Community kostenlos ein Plugin zur Verfügung stellst, wird das Plugin nicht nur vorab geprüft sonder du bekommst dann auch zu jeder neuen WordPress-Version die Aufforderung, das Plugin erneut zu prüfen. Das bedeutet, das Plugin in einer Test zu installieren und erneut ausgiebig die Funktionalität zu testen, die Readme-Datei anzupassen und das Plugin über ein Versionskontrollprogramm (SVN) wieder in das Plugin-Verzeichnis hochzuladen. Vielen Programmierern ist das für eine unbezahlten Leistung zu aufwendig und sie kümmern sich nur unregelmäßig (oder manchmal auch gar nicht) um die regelmäßige Pflege, was dann zum Hinweis „nicht mit deiner WordPress-Version geprüft“ führt.

Es gab mal die Möglichkeit, dass Benutzer das Feedback „läuft bei mir“ geben konnten. Das wurde aber so wenig genutzt, dass man diese Möglichkeit wieder eingestellt hat.

Bei dem genannten Plugin gehe ich davon aus, dass es auf Fuktionalität zurückgreift, die seit Jahren nicht mehr geändert wurde. Wenn das Plugin dann auch noch kompatibel mit PHP 8.0 ist, sehe ich keinen Grund, es nicht einzusetzen. Die letzte Aktualisierung liegt auch gerade einmal 2 Monate zurück.
Selbst das Plugin Rename wp-login.php würde ich heute noch bedenkenlos einsetzen, weil das Plugin sehr gründlich programmiert wurde und die Funktionalität unverändert ist. Weil es aber eine aktuellere Alternative gibt, habe ich das nicht empfohlen. Aber die Entscheidung sollte sicher jeder für sich treffen.