Support » Allgemeine Fragen » wp-login.php mit .htaccess gesichert – trotzdem Zugriffe darauf?

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • Du kannst das Login-Formular auch auf eine andere Seite verschieben, um automatisierte Angriffe zu reduzieren (z.B. mit WPS Hide Login). Wahrscheinlich wird aber hier für Zugriffe die beliebte XML-RPC-Schnittstelle genutzt, die eigentlich für Apps gedacht ist. Wenn du selber keine externen Apps verwendest, kannst du entweder das Plugin Disable XML-RPC installieren oder in der .htaccess folgendes eintragen:

    # Block WordPress xmlrpc.php requests
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    </Files>
    Thread-Starter wpjosywolfiedqt

    (@wpjosywolfiedqt)

    Danke.

    Ich habe das Plugin installiert und werde das ganze weiter beobachten und mich ggfs. hier wieder melden.

    Hallo,

    ich habe den Zugriff auf die Datei wp-login.php mit .htaccess gesichert, das funktioniert auch.

    Das müsstest du schon ein wenig konkreter erläutern. Ob der Schutz in der von dir eingerichteten Form reicht, können wir ohne einen Blick in die .htaccess nicht sagen.

    Das wäre aber auch ein Thema, das wir im Rahmen des Forums nur begrenzt supporten können.

    Bei einigen WordPress-Instanzen habe ich .htpasswd eingerichtet und nutze als Plugin NinjaFirewall.

    Der Zugriff erfolgt in der Regel automatisiert bei früheren bekannten Sicherheitslücken direkt auf die entsprechenden Stellen eines Plugins, das diese Sicherheitslücke irgendwann mal hatte. Diese Zugriffe sind allerdings bei Plugins, Themes und dem Core in der Regel erfolglos, wenn die Sicherheitslücken bereits gefixt wurden.

    Eine Alternative wäre auch die Two-Factor-Authentifizierung. Dazu nutze ich auf vielen WordPress-Instanzen zusätzlich zur NinjaFirewall das Plugin Two-Factor.

    Viele Grüße
    Hans-Gerd

    Du wirst trotzdem Angriffs-Versuche sehen, die auf wp-login.php abzielen. Es gibt immer wieder Fälle, in denen Nutzer extrem schwache Passwörter verwenden und der Benutzername lässt sich meistens leicht herausfinden. Das verlockt dazu, per Skript an „vielen Haustüren zu rütteln, bis eine unverschlossene Tür gefunden wird“.

    Ein empfehlenswerter, zusätzlicher Schutz ist die Verwendung einer 2-Faktor-Authentifikation, mit der bei der Anmeldung neben dem Passwort auch noch einen Token (Google Authenticator oder vergleichbare App) abgefragt wird. Dann nützt es auch nichts, wenn dir jemand beim Eintippen des Passworts über die Schulter geschaut hat.

    Da deine Frage zunächst einmal beantwortet ist, ändere ich den Status des Threads auf „gelöst“ – dann brauchen die wenigen anderen Helfer hier nicht immer wieder nachsehen. Das soll dich aber nicht davon abhalten, weitere Frage zu stellen.

    PS: Da war Hans-Gerd mit der Empfehlung eines Plugins zur 2FA schneller …

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • Das Thema „wp-login.php mit .htaccess gesichert – trotzdem Zugriffe darauf?“ ist für neue Antworten geschlossen.