Um Brute-Force-Angriffe auf der Login-Seite von WordPress zu verhindern, gibt es Plugins wie „Limit Login Attempts“. Um noch weiter zu gehen und  einen noch radikaleren Schutz zu ermöglichen, kann man den Zugriff auf die Login-Seite auf bestimmte IP-Adressen reduzieren. Diese Alternative ist unserer Meinung nach die sicherste (wenn der Webmaster die zugelassenen IP-Adressen kennt, bzw. pflegt)

Auf einem Apache-Server erfolgt diese Einschränkung über die .htaccess-Datei:

Order Deny,Allow
Deny from all
Allow from 4.8.15.16
Allow from 23.42.0.1
Allow from 98.212.34.8

In diesem Beispiel werden alle autorisierten IP-Adressen mit einem „allow from“ zugelassen. Alle anderen IPs werden beim Versuch auf die Login-Seite zuzugreifen automatisch abgelehnt.

Für diejenigen, die NGINX anstelle von Apache verwenden, muss die Konfigurationsdatei um den folgenden Code erweitert werden:

location ~ wp-login\.php {
allow 4.8.15.16;
allow 23.42.0.1;
allow 98.212.34.8;
deny all;
}

Achtung, wenn Sie PHP-FPM verwenden, müssen Sie einige zusätzliche Zeilen hinzufügen, damit der Code korrekt funktioniert:

location ~ wp-login\.php {
fastcgi_buffers 8 256k;
fastcgi_buffer_size 128k;
fastcgi_intercept_errors on;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_pass unix:/dev/shm/php-fpm-www.sock;
allow 4.8.15.16;
allow 23.42.0.1;
allow 98.212.34.8;
deny all;
}

Mit diesen wenigen Code-Zeilen werden Sie kein Brute-Force-Problem mehr auf der Login-Seite haben. Es ist zwar radikal, aber unserer Meinung nach, ist es auch die effektivste Lösung, um gegen solche Angriffe vorzugehen.

Artikel bewerten

WordPress – Zugriff auf die Login-Seite beschränken
Artikel bewerten
5 Sternen
9 Stimmen
Finden Sie den Artikel „WordPress – Zugriff auf die Login-Seite beschränken“ hilfreich? Dann hinterlassen Sie uns einen Kommentar, oder bewerten Sie ihn.