Bei einer Standard-WordPress-Installation ist das Login-Formular für jeden Webseitenbesucher unter https://example.com/wp-login.php (natürlich mit der jeweiligen Domain) erreichbar. Das ist – Passwörter mit ausreichender Entropie vorausgesetzt – nicht unsicher, kann aber zu automatisierten Brute-Force-Angriffen führen. Die sind zwar bei starken Passwörtern (deshalb die Abfrage im Backend!) auch aussichtslos, können aber schlicht nerven. Deshalb wird verschiedentlich empfohlen, die Adresse des Login-Formulars zu verschleiern. „Security by Obscurity“ (Sicherheit durch die Verschleierung von Informationen) gilt als unzureichendes Konzept, dient hier aber einfach dem Seelenfrieden.
Fazit: Wenn du bei deiner WordPress-Installation die Anmeldeadresse geändert hast, wird deine Installation nicht sicherer und dadurch, dass sie Forenmitgliedern bekannt ist, nicht unsicherer.
Die Frage, ob du eine Seite mit einem Anmeldeformular vor Benutzern einer bestimmten Benutzergruppe schützen kannst, enthält einen Logik-Fehler: Ob ein Webseitenbesucher zu einer Benutzergruppe gehört, ergibt sich erst durch die Anmeldung in einem Anmeldeformular, das du der Benutzergruppe nicht zeigen möchtest.
Du kannst der Login-Seite mit einem Plugin wie WPS Hide Login einen ungewöhnlichen Namen geben („sesam-oeffne-dich“ 🙂 ) und diesen Namen niemandem verraten. Geht eine bereits angemeldete Benutzerin auf https://example.com/sesam-oeffne-dich, wird sie unmittelbar auf https://example.com/wp-admin umgeleitet. Geht aber ein nicht angemeldeter Webseitenbesucher auf https://example.com/sesam-oeffne-dich, kann WordPress nicht prüfen, ob der Besucher zu einer bestimmten Gruppe gehört. Allerdings muss der Webseitenbesucher auch erst auf die Idee kommen, dass diese Seite überhaupt existiert – in Ergebnissen einer Websuche wird sie nicht mit aufgeführt und auch in Suchmaschinen sollte die Seite nicht indexiert werden.
Damit sich Forenmitglieder trotzdem irgendwie anmelden können, kannst du mit dem Plugin UsersWP – Benutzerprofile & -Registrierung zusätzliche Anmeldeseiten erzeugen. Die sind dann aber auch nicht sicherer, als dein Anmeldeformular unter /login.
Hi,
vielen lieben Dank. das hat mir sehr geholfen.
LG
Marcel
