Schütze dein WordPress-Login vor Zugriffen durch Hacker

Die unangenehme Wahrheit ist - dein WordPress wird von Hackern angegriffen. Ständig. Automatisiert.

Das ist leider eine Tatsache - du kannst nichts dagegen tun. Auch wenn du denkst “ich bin ja unwichtig für Hacker”, dein WordPress wird automatisiert von Bots attackiert, sobald die Seite im Internet verfügbar ist.

Sichere dein WordPress Backend daher unbedingt gegen unberechtigte Loginversuche ab.

Das Video zum Blog-Beitrag

Schritt 1: installiere das Plugin

Logge dich ins WordPress-Backend ein und wähle Plugins > Installieren.

Suche nach “limit login attempts”.

Dieses Plugin ist das richtige:

Das WordPress Plugin Limit Login Attempts Reloaded

Wähle rechts oben “Jetzt installieren” und kurz darauf “Aktivieren” an der selben Stelle.

Das Plugin ist damit installiert und schützt dein WordPress vor unberechtigten Login-Versuchen.

Versucht sich jemand ein paar Mal erfolglos anzumelden, wird die Person für einige Stunden gesperrt. Das erschwert das automatische durchprobieren der Kennwörter.

Solltest du dich selbst ausgesperrt haben findest du hier eine Anleitung, wie du dich wieder an WordPress anmelden kannst.

Wasserdichte Angebote schreiben in nur 10 Minuten?

Hol dir die ultimative Angebotsvorlage für Webdesigner, Web-Programmierer und Online-Marketer.

7 Tricks, wie andere Web-Professionals arbeiten und wirklich Geld verdienen

Das eBook für Web-Designer, Grafiker und Online-Marketer.

Hast du es satt, im Internet stundenlang nach Lösungen zu suchen?

Dann werde Teil der Website Heroes 🚀.
In meiner WP Business Community findest du sofort alle Antworten zu WordPress, technischen Fragen und Plugins: Schnell und übersichtlich aufgebaut. Bring so dein Wissen auf das nächste Level und damit auch dein Business.

Schritt 2: Setze DSGVO-kompatible Einstellungen

Wähle im WordPress-Backend Einstellungen > Limit Login Attempts, um zu den Einstellungen zu gelangen.

Aktiviere die Checkbox neben “DSGVO-Konformität”.

Danach klick noch “Optionen speichern” am Ende der Seite und das war’s.

Ab jetzt werden IP-Adressen nicht mehr direkt in der Datenbank gespeichert. Das macht sicherheitstechnisch keinen Unterschied, ist aber, je nach Rechtsauslegung, DSGVO-konform.

Noch ein Hinweis zu der Option “Benachrichtigung im Falle einer Sperrung” – aktiviere diese nicht. Du wirst sonst viele E-Mails bekommen, mit denen du praktisch nichts anfangen kannst. Also wozu dann die E-Mail überhaupt schicken lassen?

Das selbe gilt für das Protokoll der Sperrungen am Ende der Seite – wenn du eine populäre Website hast wird es viele Sperrungen geben. Das ist normal und kein Anlass zur Beunruhigung. Einfach ignorieren.

Limit Login Attempts Reloaded ist ein Basis-Plugin

Meiner Meinung nach gehört Limit Login Attempts zu jeder WordPress-Installation dazu und ist ein Basis-Plugin. Bei all meinen Kunden ist es installiert, läuft unauffällig im Hintergrund und schützt die Installation vor unberechtigten Zugriffen.

Wie schützt du dein WordPress vor Hackern?
Hinterlass mir doch einen Kommentar!

Über den Autor

Hi, ich bin Michael Baierl und bin WordPress-Profi aus Wien. Ich arbeite mit Web-Designern, die vor der Herausforderung stehen, an die richtigen Kunden zu kommen. In meiner WordPress-Community – den Website Heroes – finden Web-Designer alles, um großartige Websites für ihre Kunden zu erstellen und finanziell erfolgreich zu sein: regelmäßige Weiterbildung, Austausch, Feedback, schnelle Problemlösung und Co-Working.

Lies weiter

14 Antworten

Thomas sagt:

02.03.2020 um 11:55 Uhr

Hallo,
ich nutze das Plugin auch, habe aber in einigen Foren gelesen das der Schutz durch das Plugin wohl nicht mehr „Alltagsgerecht“ sei soll, da viele Angriffe von Bot-Netzen kommen, die alle eine andere IP-Adresse haben. Und das würde das Plugin ja logischerweise nicht erkennen. Gibt es da eine bessere Alternative für?

Antworten
1. Michael sagt:
  
  02.03.2020 um 12:43 Uhr
  
  Hallo Thomas,
  das mag stimmen, nur Brute Force deckt es zuverlässig ab wenn du ein langes, komplexes Kennwort verwendest.
  Ich hatte noch nie den Anlass mich um ein anderes Plugin umzusehen; es läuft seit Jahren einwandfrei.
  Da ich aber gerne dazu lerne – wenn du ein besseres Plugin findest, dann freue ich mich über deine Nachricht!
  Liebe Grüße, Michael
Mark-Peter sagt:

01.05.2021 um 21:14 Uhr

Hallo,

ich bekomme ständig (täglich) zwischen 20 und 300 mails zugeschickt, was natürlich nervt wenn man sie immer wieder löschen muss, wie kann ich das verhindern ? Benachrichtigung über Aussperrung an eMail ist nicht an.

Mark-Peter

Antworten
1. Michael sagt:
  
  03.05.2021 um 09:57 Uhr
  
  Lieber Mark-Peter,
  ich vermute einmal, dass diese E-Mails nicht von Limit Login Attempts, sondern von einem Formular kommen? Da hilft ein Anti-Spam-Plugin sowie ein guter Spam-Filter bei deinem Hoster …
  lg Michael
Michael sagt:

18.08.2021 um 10:48 Uhr

Hallo, bekommt man als Nutzer eine Email zugesendet von „WordPress@eigenedomain.cx“? Mit dem Inhalt der AngriffsIP? Woher kann WordPress eine Mail senden mit meiner Domain?

Danke :)

Antworten
1. Michael sagt:
  
  18.08.2021 um 11:01 Uhr
  
  Lieber Michael,
  ja, du bekommst eine E-Mail von WordPress zugesendet.
  Diese wird üblicherweise vom Webserver, auf dem WordPress läuft, verschickt. Daher deine eigene Domain als Absender.
  Da das aber nicht bei allen Providern und vor allem mit allem Empfängern funktioniert, gibt es hier eine Anleitung, wie du E-Mails von WordPress sicher verschicken kannst.
  lg Michael
2. Michael sagt:
  
  18.08.2021 um 13:14 Uhr
  
  Super danke für die schnelle Antwort und die Anleitung :)
  
  Liebe Grüsse.
3. Michael sagt:
  
  18.08.2021 um 13:17 Uhr
  
  Gibt es generelle Tipps gegen diese Angriffe von ex. IPs oder solange das Plugin schützt kann ich die Mails eigentlich ignorieren? :)
4. Michael sagt:
  
  18.08.2021 um 13:34 Uhr
  
  Du kannst die Mails ignorieren, sie haben keinen praktischen Nutzen. Ich drehe sie auf allen Systemen ab.
Michael Widmer sagt:

07.05.2022 um 10:17 Uhr

Hallo Michael
Vielen Dank für Deine sehr wertvollen Ausführungen. Danke dass Du Dir die Zeit dafür nimmst. Beste Grüße Michael von Spiritquelle

Antworten
1. Michael sagt:
  
  08.05.2022 um 12:01 Uhr
  
  Lieber Michael, sehr gerne.
Claire Stommel sagt:

28.09.2022 um 08:30 Uhr

Hallo Michael,
das Plugin ist auf unserer (Kunden)Website schon seit einiger Zeit aktiv, daher bekomme ich auch entsprechend Emails über diese nervigen Attacken. Nun habe ich DSGVO konform noch eingeschaltet, und überlege, die Emailbenachrichtigung wie du vorgeschlagen hast, auszuschalten. Was mich daran hindert, ist dass ich in den mails sehen kann, mit welchem Login Namen versucht wird in die Website einzudringen – und die stimmt! Ich habe mich schon öfters als neuen Benutzer angemeldet und den alten gelöscht, aber es dauert nicht lang und schon hat der Bot den neuen Namen raus. Ich nutze komplexe Passwörter und habe die Aussperrzeiten erhöht, aber natürlich frage ich mich, wie kann ich vermeiden, dass mein Benutzername nach wenigen Wochen schon erkannt wird?
Ich logge mich i.d. Regel per WLAN zuhause ein. Macht ein VPN-Tool in diesem Zusammenhang Sinn, oder wofür ist das gut?

Ich danke dir jetzt schon vielmals für deine Insights!

Herzliche Grüße
Claire

Antworten
1. Michael sagt:
  
  28.09.2022 um 10:58 Uhr
  
  Liebe Claire,
  dein Benutzername wird von WordPress auf diversen Seiten ausgegeben, ist also recht einfach rauszufinden. Also kein Stress deswegen.
  Wenn dein Kennwort sicher ist oder du sogar ein 2FA-Plugin verwendest, dann kann nichts passieren.
  VPN macht keinen Sinn, weil der Benutzername ja beim Login nicht unverschlüsselt über die Leitung geht, sondern eben via WordPress auslesbar ist.
  Liebe Grüße, Michael
Anja sagt:

30.07.2023 um 19:12 Uhr

Hey,

vielen lieben Dank, ich habe es eben eingerichtet.
Hat alles wunderbar geklappt.

Liebe Grüße, Anja

Antworten