5 einfache Regeln für die WordPress-Login-Sicherheit

Veröffentlicht: 2022-07-12

Eine erfolgreiche WordPress-Sicherheitsstrategie sollte Schritte zur Stärkung des WordPress-Logins beinhalten. In diesem Beitrag behandeln wir die fünf einfachen Regeln für eine bessere WordPress-Login-Sicherheit.

Das Tolle an WordPress ist, wie es das Erstellen einer Website für fast jeden zugänglich macht. Aber mit dieser Zugänglichkeit geht Vorhersagbarkeit einher. Wer Erfahrung mit WordPress hat, weiß, wo Änderungen an der Seite vorgenommen werden: über den wp-admin-Bereich. Sie wissen sogar, wohin sie gehen müssen, um auf den wp-admin, die Seite wp-login.php, zuzugreifen.

Standardmäßig ist die WordPress-Anmelde-URL für jede WordPress-Site gleich und es sind keine besonderen Berechtigungen für den Zugriff erforderlich. Aus diesem Grund ist die WordPress-Anmeldeseite der am häufigsten angegriffene – und potenziell anfällige – Teil jeder WordPress-Site.

Leider erfordert das Erstellen eines Bots, der das Internet durchstreift und Brute-Force-Angriffe ausführt, nicht viel Geschick, und jeder Hacker auf Anfängerniveau kann einen erstellen. Da Angriffe auf die WordPress-Anmeldeseite eine niedrige Eintrittsbarriere haben, ist die WordPress-Anmeldesicherheit entscheidend, um jede WordPress-Site zu sichern.

Indem Sie diese Regeln befolgen und Best Practices für die Sicherheit von WordPress verwenden, können Sie vermeiden, anfällig für häufige Fehler bei der Benutzeranmeldung zu sein.

1. Verwenden Sie starke Passwörter

Es gibt viele verwirrende und widersprüchliche Informationen über Best Practices für die Passwortsicherheit im Internet. Um diese Verwirrung zu beseitigen, lassen Sie uns die Grundlagen aufschlüsseln, wie die Verwendung eines starken Passworts Ihre WordPress-Sicherheit verbessert.

Wenn Sie ein Passwort erstellen, ist das erste Element, das Sie berücksichtigen sollten, die Länge des Passworts. Die folgende Liste zeigt die geschätzte Zeit, die zum Knacken eines Passworts mit einem i5-Prozessor mit vier Kernen benötigt wird.

  • Das Knacken von 7 Zeichen dauert 0,29 Millisekunden.
  • 8 Zeichen zu knacken dauert 5 Stunden.
  • 9 Zeichen zu knacken dauert 5 Tage.
  • 10 Zeichen zu knacken dauert 4 Monate
  • 11 Charaktere brauchen 1 Jahrzehnt, um sie zu knacken
  • Es dauert 2 Jahrhunderte, 12 Zeichen zu knacken.

Wie Sie sehen können, kann das Hinzufügen eines einzelnen Zeichens zu Ihrem Passwort die Sicherheit Ihres Logins erheblich erhöhen.

Ein Passwort, das mindestens 12 Zeichen lang und zufällig ist und einen großen Pool an Zeichen wie „ ISt8XXa!28X3 “ enthält, macht es sehr schwer zu knacken.

Leider nutzen einige Hacker GPUs und stärkere CPUs, um die zum Knacken von Passwörtern benötigte Zeit zu verkürzen. Um Ihre Logins zu stärken, achten Sie also auch auf Ihre Passwortentropie. Je höher die Passwortentropie ist, desto schwieriger wird das Passwort zu knacken sein.

Zum Beispiel hat ein Passwort wie „abcdefghijkl“, basierend nur auf der Längenanforderung, 12 Zeichen, was großartig ist und 200 Jahre dauern sollte, um es zu knacken. Da das Passwort jedoch aufeinanderfolgende Buchstabenfolgen verwendet, ist das Passwort im Vergleich zu einem Passwort wie „rfybolaawtpm“, das zufällige Zeichen enthält, viel vorhersehbarer.

Zufällige Zeichen verringern die Vorhersagbarkeit und erhöhen die Stärke des Passworts. Aber beide Passwörter haben eine Gemeinsamkeit, die letztendlich die Passwortentropie reduziert. Beide verwenden nur Kleinbuchstaben, was den Pool möglicher Zeichen auf 26 begrenzt. Deshalb ist es wichtig, alphanumerische Zeichen, Großbuchstaben und gängige ASCII-Zeichen einzubeziehen, um den Pool an Zeichen zu erhöhen, der zum Knacken des Passworts auf 92 benötigt wird.

Tipp: Verwenden Sie einen Passwort-Manager wie LastPass, um Passwörter einfach zu generieren und sicher zu speichern.
Tipp: Zumindest sollten Sie von Benutzern, die Änderungen an WordPress vornehmen können, verlangen, dass sie starke Passwörter verwenden. Die Verwendung eines WordPress-Sicherheits-Plugins wie iThemes Security Pro, um privilegierte Benutzer zur Verwendung sicherer Passwörter zu zwingen, trägt dazu bei, die WordPress-Anmeldesicherheit zu erhöhen.

2. Verwenden Sie ein eindeutiges Passwort für jedes Konto

Eine weitere bewährte Methode für die Online-Sicherheit ist die Verwendung eindeutiger Passwörter für jedes Konto und jede Website-Anmeldung, die Sie haben. Das ist so wichtig, dass wir es noch einmal sagen: Sie sollten für jede Website ein anderes Passwort verwenden.

Warum ist die Wiederverwendung von Passwörtern so wichtig? Wenn Sie dasselbe Passwort für jede Site verwenden und eine dieser Sites kompromittiert ist, verwenden Sie jetzt ein kompromittiertes Passwort für jedes Konto auf jeder Site. Hacker können Datendumps von kompromittierten Passwörtern in Verbindung mit Ihrer E-Mail-Adresse oder Ihrem Benutzernamen verwenden, um Zugriff auf Ihre Konten zu erhalten. Das Risiko geht man am besten gar nicht erst ein.

Je mehr Benutzer Sie haben, die Passwörter wiederverwenden, desto schwächer wird Ihre WordPress-Login-Sicherheit sein.

In einer von Cybernews zusammengestellten Liste war 123456 das häufigste Passwort im Jahr 2022. Die WordPress-Login-Sicherheit Ihrer Website ist nur so stark wie das schwächste Glied, also seien Sie proaktiv mit strengen Passwortanforderungen.

Tipp: Schützen Sie WordPress vor kompromittierten Passwörtern

Sie können WordPress mit einem Plugin wie iThemes Security Pro vor kompromittierten Passwörtern schützen. iThemes Security Pro nutzt die HaveIBeenPwned-API, um zu erkennen, ob ein Passwort bei einer Datenschutzverletzung aufgetreten ist oder nicht.

Tipp: Ermutigen Sie die Benutzer, Passwörter häufig zu ändern

Mit den Passwortanforderungen von iThemes Security können Sie alle Ihre Benutzer zwingen, ihr Passwort zu ändern, wenn sie sich das nächste Mal anmelden. Wenn Sie Benutzer dazu zwingen, ein neues Passwort zu erstellen, können alle mit einem starken und kompromisslosen Passwort neu beginnen, was Ihre WordPress-Anmeldung erhöht Sicherheit.

Tipp: Verwenden Sie einen Passwort-Manager

Letztendlich kann Ihnen die Verwendung eines Passwort-Managers helfen, Ihre Logins und eindeutigen Passwörter im Auge zu behalten. Mit Hilfe eines Passwort-Managers müssen Sie sich Ihre Passwörter nicht merken.

3. Anmeldeversuche begrenzen

Standardmäßig ist in WordPress nichts eingebaut, um die Anzahl der fehlgeschlagenen Anmeldeversuche zu begrenzen, die jemand machen kann. Ohne Begrenzung der Anzahl fehlgeschlagener Anmeldeversuche, die ein Angreifer unternehmen kann, kann er eine endlose Anzahl von Benutzernamen und Passwörtern ausprobieren, bis er erfolgreich ist.

Erhöhen Sie Ihre WordPress-Anmeldesicherheit, indem Sie ein WordPress-Sicherheits-Plugin wie iThemes Security Pro installieren, um die Anzahl fehlgeschlagener Anmeldeversuche zu begrenzen. Die iThemes Security Pro WordPress Brute Force Protection-Funktion gibt Ihnen die Möglichkeit, die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche festzulegen, bevor ein Benutzername oder eine IP gesperrt wird. Eine Sperrung deaktiviert vorübergehend die Fähigkeit des Angreifers, Anmeldeversuche zu unternehmen. Sobald die Angreifer dreimal ausgesperrt wurden, wird ihnen sogar der Besuch der Website verwehrt. Hinweis: Berücksichtigen Sie bei der Entscheidung, wie streng Ihre Regeln für fehlgeschlagene Anmeldeversuche sein sollen, die tatsächlichen Benutzer Ihrer Website. Wenn Sie die Sperrregeln zu unversöhnlich gestalten, laufen Sie Gefahr, versehentlich echte Benutzer zu sperren.

4. Beschränken Sie externe Authentifizierungsversuche pro Anfrage

Neben der Verwendung eines Anmeldeformulars gibt es noch andere Möglichkeiten, sich bei WordPress anzumelden. Mit XML-RPC kann ein Angreifer Hunderte von Benutzernamen- und Passwortversuchen in einer einzigen HTTP-Anforderung durchführen. Die Brute-Force-Amplification-Methode ermöglicht es Angreifern, Tausende von Benutzernamen- und Passwortversuchen mit XML-RPC in nur wenigen HTTP-Anforderungen durchzuführen. Wenn Sie wissen, dass ein Angreifer Datenbank-Dumps als Ausgangspunkt verwenden und Tausende von Vermutungen pro Anfrage anstellen kann, wird die Bedeutung der WordPress-Login-Sicherheit viel klarer. Mit den WordPress Tweaks-Einstellungen von iThemes Security Pro können Sie mehrere Authentifizierungsversuche pro XML-RPC-Anforderung blockieren. Die Begrenzung der Anzahl der Benutzernamen- und Passwortversuche auf einen für jede Anfrage wird einen großen Beitrag zur Sicherung Ihres WordPress-Logins leisten.

Darüber hinaus ist es wichtig, sich bei der Entwicklung Ihres WordPress-Login-Sicherheitsplans bewusst zu sein, dass die WordPress-Rest-API zusätzliche Möglichkeiten zur Authentifizierung eines WordPress-Benutzers hinzufügt. Die Cookie-Authentifizierung ist eine Authentifizierungsmethode, wenn Sie sich anmelden. WordPress speichert automatisch ein Cookie, damit Plugins und Themes eine Funktion in Ihrem Namen ausführen können. Die Cookie-Authentifizierung profitiert von den Schutzmaßnahmen, die Sie der wp-login.php hinzugefügt haben.

5. Verwenden Sie die Zwei-Faktor-Authentifizierung

Ich habe mir die beste Methode zur Erhöhung der WordPress-Login-Sicherheit für den Schluss aufgehoben: die WordPress-Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung erfordert einen zusätzlichen Code zusammen mit Ihrem WordPress-Benutzernamen und Passwort, um sich anzumelden.

Es gibt viele Methoden der Zwei-Faktor-Authentifizierung, aber nicht alle Methoden sind gleich. Vermeiden Sie nach Möglichkeit die Verwendung von SMS für die Zwei-Faktor-Authentifizierung. Das National Institute of Standards and Technology empfiehlt nicht mehr, SMS zum Senden und Empfangen von Authentifizierungscodes zu verwenden.

Wenn Sie ein WordPress-Sicherheits-Plugin wie iThemes Security Pro verwenden, sollten Sie entweder die E-Mail- oder die Zwei-Faktor-App-Methode aktivieren.

Beachten Sie nur, dass Sie auf vielen Websites eine E-Mail-Adresse als Benutzernamen verwenden müssen. Wenn ein Angreifer eine dieser Websites hackt, besteht der nächste Schritt darin, zu versuchen, sich mit den neuen gestohlenen E-Mail-Adressen und Passwörtern bei E-Mail-Konten anzumelden. Wenn einer Ihrer Benutzer oder Kunden kompromittierte Passwörter auf jeder Website wiederverwendet, wird sein E-Mail-Konto zusammen mit seinen Zwei-Faktor-E-Mail-Codes kompromittiert. Die Zwei-Faktor-Methode für mobile Apps wird am meisten dazu beitragen, die WordPress-Login-Sicherheit zu erhöhen. Der für die Anmeldung erforderliche zusätzliche Authentifizierungscode wird an das Telefon des Benutzers gesendet. Selbst wenn ein Angreifer Zugriff auf die WordPress- und E-Mail-Anmeldeinformationen hat, kann er sich dennoch nicht anmelden.

Zusammenfassung: Eine einfache Checkliste für die WordPress-Login-Sicherheit

Die Sicherheit der WordPress-Anmeldung sollte auf jeder Website oberste Priorität haben. Jetzt, da Sie wissen, wie Sie die Login-Sicherheit auf Ihrer Website erhöhen können, können Sie von dieser effektiven Hack-Präventionsstrategie profitieren.

  • 1. Verwenden Sie sichere Passwörter
  • 2. Verwenden Sie für jedes Konto eindeutige Passwörter
  • 3. Anmeldeversuche begrenzen
  • 4. Authentifizierungsversuche einschränken
  • 5. Verwenden Sie die Zwei-Faktor-Authentifizierung

Holen Sie sich den Bonusinhalt: Ein Leitfaden zur WordPress-Sicherheit
Klicken Sie hier

Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress

WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.

Holen Sie sich iThemes Security Pro