wp-admin absichern: Den WordPress-Login schützen

Warum wp-admin so oft angegriffen wird

Die URL /wp-admin/ ist bei jeder Standard-WordPress-Installation identisch. Jeder weiß, wo der Loginbereich liegt. Das macht es einfach für automatisierte Angriffe: Bots durchsuchen das Internet nach WordPress-Installationen und versuchen anschließend, sich mit häufigen Benutzernamen und Passwortlisten einzuloggen.

Hinzu kommt, dass der Adminbereich im Erfolgsfall vollständigen Zugriff auf die Website bietet: Datei-Upload, Plugin-Installation, Datenbankzugriff über Import/Export und direkter Code-Editor. Kein Teil einer WordPress-Installation ist schützenswerter.

Loginversuche begrenzen

Die erste und wichtigste Maßnahme ist eine Begrenzung der Loginversuche. Ohne diese Beschränkung kann ein Angreifer beliebig viele Kombinationen durchprobieren.

Auf Plugin-Ebene: Limit Login Attempts Reloaded oder WP Cerber blockieren IP-Adressen nach einer konfigurierbaren Anzahl fehlgeschlagener Versuche. Die Blockierung kann temporär oder dauerhaft sein.

Auf Serverebene: Eine Fail2ban-Regel auf dem Webserver ist robuster als ein Plugin, weil sie Angriffe bereits auf Netzwerkebene abweist, bevor PHP überhaupt ausgeführt wird. Das reduziert auch die Serverlast bei Brute-Force-Angriffen erheblich.

Zwei-Faktor-Authentifizierung einrichten

Ein kompromittiertes Passwort allein reicht mit 2FA nicht mehr aus, um Zugang zu bekommen. Das ist der wirkungsvollste Schutz gegen Credential-Stuffing-Angriffe, bei denen gestohlene Zugangsdaten aus anderen Datenlecks auf WordPress-Instanzen ausprobiert werden.

TOTP-basierte 2FA funktioniert über eine Authenticator-App. Nach der Plugin-Installation wird ein QR-Code angezeigt, den man mit der App scannt. Bei jedem Login muss anschließend ein zeitbasierter Code eingegeben werden.

Empfehlenswert ist es, 2FA für alle Administratorenkonten verpflichtend zu machen. Manche Plugins erlauben es, 2FA je nach Benutzerrolle zu erzwingen.

wp-admin mit HTTP-Basic-Auth sichern

Eine zweite Authentifizierungsebene vor dem WordPress-Login schützt den gesamten Admin-Bereich, bevor WordPress überhaupt geladen wird. Das funktioniert über eine .htaccess-Datei im Verzeichnis wp-admin/:

AuthType Basic
AuthName "Geschuetzter Bereich"
AuthUserFile /pfad/zur/.htpasswd
Require valid-user

Die .htpasswd-Datei enthält Benutzername und verschlüsseltes Passwort. Viele Hoster bieten dafür Werkzeuge im Controlpanel an. Diese Maßnahme verhindert, dass Bots die WordPress-Loginseite überhaupt erreichen.

Achtung: Bei aktiver REST API und AJAX-abhängigen Plugins muss sichergestellt werden, dass /wp-admin/admin-ajax.php weiterhin erreichbar ist, da viele Plugins diesen Endpunkt für Frontendanfragen nutzen.

WordPress-Login-URL ändern

Plugins wie WPS Hide Login oder die manuelle Konfiguration über das Routing ermöglichen es, die Loginseite von /wp-login.php auf eine beliebige URL zu verschieben. Das reduziert das Rauschen aus automatisierten Scans merklich.

Diese Maßnahme ist kein Sicherheitsmerkmal im eigentlichen Sinne, da sie nur auf Security through Obscurity basiert. In Kombination mit anderen Maßnahmen ist sie aber sinnvoll, weil sie das Angriffsfenster für ungezielte Botangriffe stark einschränkt.

Zugriffssteuerung per IP

Wer den Admin-Bereich immer von festen IP-Adressen aufruft, kann den Zugriff auf diese IPs beschränken. In der .htaccess:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 192.168.1.100
</Files>

Das ist eine sehr wirksame Maßnahme für Server mit statischer IP. Für Betreiber ohne feste IP-Adresse ist eine VPN-Lösung eine Alternative: Der Zugriff auf wp-admin ist nur über VPN möglich, alle anderen IPs werden geblockt.

Was der Analyzer erkennt

Der Analyzer prüft unter anderem, ob der wp-admin-Bereich ohne jede Beschränkung erreichbar ist und ob die Loginseite unter der Standardadresse liegt. Das gibt einen ersten Hinweis auf offensichtliche Schutzlücken. Eine vollständige Sicherheitsüberprüfung erfordert zusätzlich einen Blick auf die Serverebene und die genutzten Plugins.

Benutzerkonten aufräumen

Jeder Account mit Administratorrechten ist ein potenzielles Angriffsziel. Regelmäßiges Aufräumen gehört dazu:

• Nicht mehr genutzte Accounts löschen
• Benutzerrolle auf das Minimum beschränken, das für die jeweilige Aufgabe nötig ist
• Kein gemeinsam genutzter Administrator-Account für mehrere Personen

Einzelne Accounts pro Person ermöglichen außerdem nachvollziehbare Aktivitätslogs.

Fazit

wp-admin ist der Schlüssel zur gesamten WordPress-Installation. Mehrschichtiger Schutz aus Loginbegrenzung, Zwei-Faktor-Authentifizierung und optionaler HTTP-Basic-Auth macht diesen Bereich für die überwiegende Mehrheit aller automatisierten Angriffe unzugänglich. Kein einzelnes Werkzeug schützt vollständig, aber die Kombination dieser Maßnahmen ist solide.