Das ständig versucht wird in das Backend von WordPress einzudringen ist ja fast schon „normal“. Mit der Installation des Plugin Limit Login Attempts kann man ja schon sehr viel erreichen um diese Herrschaften fern zu halten. Durch die Einstellung dort, dass der Admin per E-Mail informiert wird wenn wieder einer gesperrt wurde bleibt man auf dem Laufenden. Schlussendlich weiß man durch diese Benachrichtigungen auch wenn es Zeit wird den Riegel in Sachen Sicherheit vielleicht noch ein wenig fester zu schließen.

Das „spannende“ an diesem Plugin ist auch, dass man übermittelt bekommt mit welchen Benutzernamen versucht wurde ins Backend einzudringen. Vieles ist so der Standard wie admin, wordpress, blog, backend oder manchmal auch der tatsächliche Nutzername. Bei einigen Versuchen muss man ein bisschen schmunzeln, bei anderen wiederum fragt man sich schon wie man darauf kommen könnte, dass der Benutzername genau so lautet. Der Kreativität bei den Fakenamen dieser – ich nenne sie jetzt einfach mal Hobby-Halunken – scheint wirklich keine Grenze gesetzt zu sein wie nachfolgende Bilder zeigen.

WordPress Login verstecken und Hackern den Riegel vorschieben

Das Plugin ist nicht neu, es ist schon länger auf dem Markt und es wird inzwischen von Nutzern im 6-stelligen Bereich eingesetzt. Die Bewertung ist bei über 4,5 von 5 Sternen. Die Rede ist hier von WPS Hide Login – den Login von WordPress einfach kurzerhand verstecken. Was bis hierher unter oder erreichbar war, nämlich das Backend mündet ab sofort auf einer 404er Seite. Der Zugang zum Backend wurde umbenannt. Dabei kann man einen individuellen Namen verwenden.

WPS Hide Login WordPress

WPS Hide Login für WordPress

Dieser kann wenn man möchte auch gerne kryptisch sein. Den Login erreicht man künftig dann z.B. nur noch unter https://domain.org/dasistjetztmeinneuerlogin/. Nur eines sollte man nicht, den Namen vergessen. So zählt man ganz schnell selbst zu den Ausgesperrten.

Fakt it der Verwendung von WPS Hide Login – die Zahl der Versuche geht deutlichst zurück – bei mir hier auf Null. Dies lässt sich daran feststellen, weil Limit Login Attempts trotzdem und unabhängig davon weiter seinen Dienst verrichtet und keine Mitteilungen mehr von Fehlversuchen eintrudeln.

Limit Login Attempts und Verbindung mit WPS Hide Login ist die ideale Kombi zur Absicherung des WordPress Backends. Nun gibt es auch kein „schmunzeln“ mehr im Hinblick auf Phantasienamen. Doch damit lässt sich gut leben.