Endlich eine entspannte Community für WordPress!
Die Anmeldung ist jetzt möglich!

Tage
Stunden
Minuten
Sekunden

Hilfe, ich habe 100te Login-Versuche bei WordPress!

So oder so ähnlich lauten die E-Mails, die ich von verängstigen Kund*innen, Partnern und Lesern erhalte.

Die Login-Versuche häufen sich, WordFence oder Limit Login Attempts verschicken E-Mails mit abgewehrten Angriffen und die Verunsicherung steigt.

Nach dem ersten Schreck taucht die Frage auf, was sich gegen diese unerwünschten Login-Versuche tun lässt und ob sie wirklich gefährlich sind?

Wer greift dein WordPress an?

Die gute Nachricht – es sind keine Menschen, die sich an deinem WordPress-Backend anmelden wollen. Es sind automatisierte Bots.

Diese Skripte suchen im Internet nach WordPress-Installationen wie deiner und probieren dann automatisch verschiedene Kombinationen von Benutzernamen und Kennwörtern durch.

Daher ist es auch so wichtig, dass du ein langes, komplexes Kennwort verwendest und nicht ein einfaches wie passwort123 oder „hallo“ (das meist benutzte Passwort der Deutschen!).

Findet einer dieser Bots eine gültige Kombination aus Benutzername und Kennwort, dann schickt er dieses an seinen Herrn und Meister, der sich dann in WordPress einloggt und deine Website weiter infiltriert.

Warum wird die Website angegriffen?

Das passiert leider einfach deswegen, weil sie im Internet erreichbar ist. Es geht nicht primär um deine Website, die angegriffen wird, sondern einfach darum, dass es sich um eine Website mit WordPress handelt.

Kann sich ein Botnetz-Betreiber an einer fremden Website als Administrator anmelden, dann hat er die volle Kontrolle darüber. Der Hacker kann dann Plugins installieren, Dateien verändern und die Website komplett übernehmen.

Meistens wird deine gehackte Website dann für Spam missbraucht. Entweder, um Spam-E-Mails zu verschicken, oder um Werbung für dubiose Mittel zu machen. In den Google Suchergebnissen taucht unter deiner Domain dann eventuell Folgendes auf:

WordPress gehackt durch Login-Versuche: Google-Suchergebnisse mit Spam
Spam-Suchergebnisse auf Google

Wie gefährlich sind die Login-Versuche?

Setzt du (und alle weiteren User deiner WordPress-Website!) lange, komplexe und einmalige Kennwörter ein, dann sind die Login-Versuche nicht gefährlich.

Die Anzahl der Kennwörter in den Kennwort-Listen der Bots ist enden wollend, und ein echter Brute-Force-Angriff, bei dem alle möglichen Kennwort-Kombinationen durchprobiert werden, ist schlicht wirtschaftlich nicht sinnvoll. Ja, auch Botnetz-Betreiber rechnen wirtschaftlich und wollen möglichst einfach und günstig an ihr Ziel kommen.

Angebote schreiben in 10 Minuten - mit der ultimativen Angebotsvorlage für Web-Designer, Webprogrammierer und Online-Marketer

Wasserdichte Angebote schreiben in nur 10 Minuten?

Das Problem sehe ich eher bei den Benachrichtigungen, die von diversen WordPress-Firewall-Plugins wie Limit Login Attempts, WordFence & Co verschickt werden.

Login-Versuche bei WordPress: Vermeiden und abwehren
Fehlgeschlagene Anmeldeversuche, Angstmache von Limit Login Attempts

Diese haben meiner Meinung nach keinen Mehrwert, außer dass sie dich nervös machen. Schließlich bekommst du auch keine SMS, wenn jemand an deiner Wohnungstüre vorbeigeht. Und eine lange Liste von IP-Adressen, die sich ständig ändern, bringt dir gar nichts.

Für die Entwickler der angesprochenen Plugins sind die E-Mails sehr wohl sinnvoll – denn diese Plugins wollen dir so zeigen, dass sie sinnvoll sind und dich beschützen. Warum? Damit du anschließend die Premium-Variante kaufst. Angst funktioniert eben hervorragend im Marketing.

Mein Tipp: setze die folgenden Tipps um und deaktiviere die Benachrichtigungen anschießend.

Das kannst du gegen die Login-Versuche tun

Gegen die Login-Versuche selbst kannst du gar nichts tun – genauso wenig, wie du verhindern kannst, dass jemand an deine Wohnungstüre läutet.

Was du aber tun kannst, ist sicher stellen, dass es bei einem Anklopfen bleibt und niemand durch die Türe geht :-)

Folgende Maßnahmen helfen dir, deine WordPress-Website gegen Hacker abzusichern:

  1. Stelle sicher, dass du keinen Benutzer mit dem Namen „admin“ hast. Dieser Benutzer wird am öftesten angegriffen.
  2. Installiere ein Plugin, das Brute-Force-Zugriffe verhindert und nur eine maximale Anzahl von Login-Versuchen erlaubt. Zum Beispiel Limit Login Attempts oder WordFence. Wichtig: konfiguriere das Plugin korrekt und deaktiviere die nutzlosen Benachrichtigungen!
  3. Verwende 2-Faktor-Authentifizierung für deine Administrator-Accounts (2FA). Du musst die Anmeldung an WordPress dann wie Überweisungen deiner Bank mit einem Einmalcode von deinem Handy (z.B. in 1Password) bestätigen. Kommt dein Kennwort wirklich abhanden, kann sich der Hacker damit nach wie vor nicht an WordPress anmelden!

Von Captcha-Plugins halte ich persönlich nicht viel, weil sie den Login-Prozess unkomfortabler machen und deine Website mit den oben genannten Punkten schon perfekt abgesichert ist.

WordPress Login abgesichert mit Captcha
WordPress Login abgesichert mit Captcha

2FA ist während dem Login gleich viel Aufwand, der Code ist aber nur für dich und deinen Benutzer gültig und gaukelt dir keine falsche Sicherheit vor, wie ein Captcha.

TL;DR: chill the base :-)

Setzt du die oben genannten ’best practices’ um, dann kannst du die Anmeldeversuch an WordPress gelassen sehen und die Benachrichtigungen von diversen Tools getrost deaktivieren.

Setzt du als Website Hero meine WordPress-Installation ein, dann bekommst du auch schon eine perfekt konfigurierte Firewall für WordPress mit dazu. Mehr Info zum perfekten WordPress-Setup.

Hast du einen weiteren Tipp für mich und meine Leser? Ich freue mich auf deinen Kommentar!

Michael

PS: Was tust du im umgekehrten Fall – wenn du dich nicht mehr an WordPress anmelden kannst? Hier findest du die Anleitung, wie du dich selbst in dein WordPress (oder das deiner Kunden) hineinhacken kannst.

Picture of Michael
Hi, ich bin Michael Baierl und bin WordPress-Programmierer aus Wien. In meiner WordPress-Community – den Website Heroes – finden Web-Designer alles, um großartige Websites für ihre Kunden zu erstellen und finanziell erfolgreich zu sein: regelmäßige Weiterbildung, Austausch, Feedback, schnelle Problemlösung und Co-Working. Schau gleich vorbei.

Meine Empfehlung für WordPress-Themes:*

Das beste Performance-Plugin:*

Meine Empfehlung für WordPress-Hosting:*

Das beste Plugin für Mehrsprachigkeit:*

Der beste Pagebuilder für WordPress:*

Meine Empfehlung für WordPress-Agenturen:*

Das beste Cookie-Banner-Plugin:*

Inhalt

Meine Empfehlung für WordPress-Themes:*

Das beste Performance-Plugin:*

Meine Empfehlung für WordPress-Hosting:*

Das beste Plugin für Mehrsprachigkeit:*

Der beste Pagebuilder für WordPress:*

Meine Empfehlung für WordPress-Agenturen:*

Das beste Cookie-Banner-Plugin:*

Kommentare

18 Antworten

  1. Lieber Michael, vielen Dank für diesen Beitrag! Bin schon viel relaxter, aber noch nicht ganz, eine Unsicherheit ist noch geblieben: Du schreibst, es handelt sich nicht um Menschen, sondern um automatisierte Bots, die die Seite angreifen. Trifft das auch zu, wenn mein Wordfence behauptet, es seien „Humans“, die hinter den Angriffen stehen? Und was soll ich davon halten, dass die manchmal (eh sehr selten) auch die korrekten Benutzernahmen erwischen, die ein Bot eigentlich unmöglich erraten kann?

    1. Liebe Madelaine,
      die Methode, mit der WordFence Menschen von Bots unterscheidet ist nicht korrekt – die meisten modernen Bots sind laut WordFence „Menschen“. Abgesehen davon: es ist doch egal, wenn jemand manuell 1000te Kennwörter durchprobieren will – die Sperre greift ja trotzdem.
      Und dein WordPress-Benutzername ist kein Geheimnis, sondern auf deiner Website (im Quellcode) ersichtlich – insofern unterscheidet das wieder nur „dumme“ von „schlauen“ Bots …
      lg Michael

  2. Hallo Michael,

    danke für Deine Einschätzung, dass die Plugin-Entwickler hier gerne Angst verbreiten möchten. Das Gefühl hatte ich auch immer. Muss aber mal gesagt werden.

    Ich hatte mal nach steigenden Angriffen ein Captcha eingerichtet. Hatte gar nichts gebracht. Die Anmeldeversuche gingen weiter nach oben. Nach einem Blick in die Recaptcha Verwaltung bei Google war mir aufgefallen, dass kaum Captchas abgerufen wurden. Das Problem war tatsächlich, dass die Bots gar nicht versucht hatten über den normalen Login zu gehen, sondern über die XML-RPC Schnittstelle. Nachdem ich die deaktiviert hatte sind die Anmeldeversuche von über 200 am Tag auf Null runter.

    Grüße
    Mihael

    1. Lieber Mihael,
      das ist ein guter Hinweis, danke!
      Aber auch bei 200 Versuchen pro Tag dauert es mehrere Jahrhunderte, bis ein langes, eindeutiges Kennwort erraten ist … insofern steht und fällt die Sicherheit von WordPress mit der Verwendung eins sicheren Passworts.
      Liebe Grüße, Michael

  3. Ich habe täglich um die 300000 Fehlgeschlagene Anmeldeversuche nach Land.
    China, USA, Indien, Deutschland, Singapur sind führend. Das erscheint mir schon bedenklich

    1. Lieber Georg,
      das ist recht viel, bei großen Websites aber nicht unüblich. Mit einem guten, langen Kennwort und einer guten Firewall ist das aber kein Problem.
      lg Michael

  4. Vielen Dank. Woher kennen die Bots die genauen Nutzernamen von mir und einem weiteren Admin? Kann man die irgendwo auslesen?

    Besten Dank, Peter

    1. Hallo Peter,
      ja, standardmäßig sind diese via API unter deine-domain.com/wp-json/wp/v2/users abrufbar.
      Lässt sich mit folgendem Eintrag in der .htaccess-Datei stoppen:
      RewriteEngine On
      RewriteRule ^wp-json/wp/v2/users - [L,F]

      lg Michael

  5. Danke für diesen herzerfrischenden und sehr informativen Artikel! Ich habe nämlich (mal wieder) seit Tagen Hunderte von Login-Mitteilungen.
    Nun gehe ich beruhigt schlafen.
    Renate

  6. Hallo Michael,

    nachdem ich heute morgen als zuerst die Mail bekam, dass es in einem kurzen Zeitraum über 100 Login-Versuche auf meine Website kam, habe ich erstmal recherchiert und bin glücklicherweise auf Deinen beruhigenden und gut geschriebenen Beitrag gestossen. Vielen Dank dafür!

    Liebe Grüße

    Sebastian

  7. Hi Michael,
    im Grund sehe ich das auch genauso wie du Michael.
    Es wird ja nur protokolliert ob jemand ausgesperrt wurde und nicht einmal, ob es jemand geschafft hat.
    Somit völlig nutzlos diese Funktion.
    Aber es ist und bleibt ein sehr gutes Tool.
    Danke aber für diesen guten Beitrag.

  8. Wir betreiben einen kleinen WP Blog, der nur für eine kleine lokale Gruppe von Interesse ist. Seit drei Wochen gibt es vermehrt Abonennten-Anmeldungen, aber mit nicht existenten Emailadressen, d.h. wir bekommen viele Fehlermeldungen wegen nicht zustellbarer Mails. Was steckt dahinter. Welchen Vorteil erhoffen sich die Anmelder?

    1. Hi,
      das kenne ich leider – und habe auch keine Antwort darauf, was sich die Spammer dadurch erhoffen. Das gehört leider zum „Grundrauschen des Internets“ – ignorieren, blocken, filtern…
      lg Michael

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weiterbildung, Support und Community für WordPress

Nie wieder alleine - werde Teil der Website Heroes und bilde dich laufend weiter.

Weiterbildung und Sofort-Support für angestellte Website-Helden.

Exklusiv für Agenturen, Grafiker:innen und Designer:innen: WordPress-Programmierung.

Dein Technischer Partner für deine Website.

Technische Wartung deiner Website. Security inklusive.

Schreibe wasserdichte Angebote in nur 10 Minuten.

Raus aus dem Projektgeschäft - schaffe dir langfristig ein passives Einkommen.