Fig. 1: Blog Post als Video auf @mjmrozek

Das Video zieht sich ja doch etwas in die Länge. Außerdem denke ich mehrmals einfach nur laut. Deshalb nachfolgend eine sehr kurze Zusammenfassung:

Normalerweise erfolgt der Zugang zum WordPress-Backend übers Anhängen von /wp-admin oder /wp-login.php an die Domain. Beispiel: aleksandra.pictures/wp-admin

Ein Angreifer kann leicht feststellen, ob eine Webseite WordPress als CMS nutzt und so über /wp-admin die Zugangsseite aufrufen. Da “admin” der häufigste Nutzername ist, kann er dann beginnen, Passwörter zu probieren.

Die einfachste und schnellste Maßnahme zum Schutz vor einem solchen Angriff ist die Änderung von /wp-admin in eine neue, individuelle und geheime Adresse. Beispiel: aus aleksandra.pictures/wp-admin wird aleksandra.pictures/vielglueckbeimsuchenhaha

Schritte zur Änderung der Login-URL:

  1. WordPress-Backend - Dashboard - Plugins - Neues Plugin hinzufügen - Suche: „WPS Hide Login“ - Installieren - Aktivieren
  2. Dashboard - Einstellungen - „WPS Hide Login“ - Login-URL: Neue, eigene, geheime URL eintragen - Speichern (BITTE neue URL notieren/merken!)

Konflikte vermeiden:

Dashboard - Einstellungen - Diskussionen - Weitere Kommentareinstellungen - Kein Häkchen bei „Benutzer müssen zum Kommentieren registriert und angemeldet sein“

Abmelden:

Oben rechts - „Abmelden“

Testen:

  1. Vorherige Anmeldeseite: …/wp-admin - Es sollte jetzt eine 404-Seite angezeigt werden.
  2. Neue Anmeldeseite: …/vielglueckbeimsuchenhaha (was vorhin unter „Einstellungen - WPS … - Login-URL“ eingetragen wurde)