WordPress wp-login.php absichern: Brute-Force stoppen

📅 Januar 2025 · ⏱️ 8 Min. Lesezeit

Die wp-login.php ist das Hauptziel für Brute-Force-Angriffe auf WordPress. Täglich werden Millionen von Login-Versuchen durchgeführt – mit Listen häufig verwendeter Benutzernamen und Passwörter.

In diesem Guide zeige ich dir, wie du deinen WordPress-Login effektiv schützt.

Was ist ein Brute-Force-Angriff?

Bots versuchen durch massenhaftes Ausprobieren von Benutzername-Passwort-Kombinationen Zugang zu deinem WordPress zu bekommen. Typische Muster:

Benutzernamen: admin, administrator, webmaster
Passwörter: 123456, password, admin123
Frequenz: 100-1000+ Versuche pro Minute

1. Login-URL ändern

Der einfachste Schutz: Verstecke deine Login-Seite. Bots, die blind /wp-login.php ansteuern, laufen ins Leere.

Mit Plugin

SafetyPress Pro ermöglicht eine benutzerdefinierte Login-URL (z.B. /mein-login). Zugriffe auf /wp-login.php werden mit 404 beantwortet.

Manuell via .htaccess

# wp-login.php blockieren außer für deine IP
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.456.789.000
</Files>
        

2. Login-Versuche begrenzen

Begrenze die Anzahl der Fehlversuche pro IP. Nach X Fehlschlägen wird die IP temporär gesperrt.

💡 SafetyPress macht das automatisch

Die kostenlose Version enthält Brute-Force-Schutz mit konfigurierbaren Limits und automatischer IP-Sperre.

3. Zwei-Faktor-Authentifizierung

Selbst wenn ein Angreifer dein Passwort errät – ohne den zweiten Faktor kommt er nicht rein. 2FA ist der effektivste Schutz.

TOTP-Apps (Google Authenticator, Authy)
Hardware-Keys (YubiKey)
E-Mail-Codes

4. XML-RPC deaktivieren

Die xmlrpc.php wird oft als alternativer Angriffsvektor genutzt.

# In .htaccess
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>
        

5. Starke Passwörter erzwingen

Mindestanforderungen:

Mindestens 12 Zeichen
Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen
Kein Wörterbuch-Wort

6. Admin-Benutzername ändern

Der Benutzername "admin" ist das erste, was Bots ausprobieren. Erstelle einen neuen Admin und lösche den alten.

✅ Checkliste: wp-login.php Sicherheit

☐ Login-URL geändert oder blockiert
☐ Login-Versuche begrenzt (Rate Limiting)
☐ Zwei-Faktor-Authentifizierung aktiv
☐ XML-RPC deaktiviert
☐ Starke Passwörter für alle Admins
☐ "admin" Benutzername geändert

🛡️ Schütze deinen Login jetzt

SafetyPress bietet Brute-Force-Schutz, 2FA und Activity Log – kostenlos starten.

SafetyPress herunterladen →

Fazit

Der WordPress-Login ist eines der häufigsten Angriffsziele. Mit Login-URL-Änderung, Rate Limiting und 2FA machst du es Angreifern extrem schwer.