Zum Inhalt springen
(+381) 60 3535 720
Mein Konto
BeoHosting
BeoHosting
Mein KontoKontakt
(+381) 60 3535 720
 
Sicherheit

Wie Sie WordPress vor Brute-Force-Angriffen schützen

BeoHosting Team··8 Min. Lesezeit Lesezeit
Wie Sie WordPress vor Brute-Force-Angriffen schützen

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Methode, bei der ein Angreifer automatisch Tausende von Kombinationen aus Benutzernamen und Passwörtern ausprobiert, bis er die richtige trifft. Bots können Hunderte von Anmeldeversuchen pro Minute durchführen und testen dabei die häufigsten Passwörter wie "admin123", "password" oder "123456". Da WordPress die standardmäßige Seite /wp-login.php verwendet, wissen Angreifer genau, wo sie ansetzen müssen.

Selbst wenn der Angreifer das Passwort nicht errät, kann allein das Volumen der Anfragen Ihre Website verlangsamen oder zum Absturz bringen. Deshalb ist der Schutz vor Brute-Force-Angriffen doppelt wichtig - er schützt sowohl Ihre Daten als auch die Performance Ihrer Website.

Standard-Admin-Benutzernamen ändern

Wenn Ihr WordPress-Konto den Benutzernamen "admin" verwendet, haben Sie dem Angreifer bereits die Hälfte der benötigten Informationen gegeben. Verwenden Sie immer einen eindeutigen Benutzernamen, der nicht leicht zu erraten ist.

WordPress erlaubt keine direkte Änderung des Benutzernamens über das Admin-Panel. Erstellen Sie stattdessen ein neues Konto mit Administratorrechten und einem eindeutigen Namen und löschen Sie anschließend das alte "admin"-Konto. Beim Löschen fragt WordPress, wem die Inhalte des alten Kontos zugewiesen werden sollen - wählen Sie das neue Konto aus.

Starke Passwörter verwenden

Ein starkes Passwort ist die erste Verteidigungslinie. Hier sind die Mindestanforderungen:

  • Minimum 12 Zeichen (ideal 16+)
  • Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Niemals dasselbe Passwort auf mehreren Websites verwenden
  • Wörter aus dem Wörterbuch, Geburtsdaten und persönliche Informationen vermeiden

Verwenden Sie Passwort-Manager wie Bitwarden oder 1Password, die komplexe Passwörter für Sie generieren und speichern. Sie müssen sich ein Passwort nicht merken, wenn der Manager es sicher aufbewahrt.

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung fügt eine zweite Schutzebene hinzu, die etwas erfordert, das Sie haben (Telefon), zusätzlich zu etwas, das Sie wissen (Passwort). Selbst wenn ein Angreifer Ihr Passwort errät, kann er sich ohne Zugriff auf Ihr Telefon nicht anmelden.

Empfohlene Plugins für 2FA:

  • WP 2FA: Ein einfaches Plugin, das Google Authenticator, Authy und E-Mail-Codes unterstützt. Die kostenlose Version deckt die grundlegenden Bedürfnisse ab.
  • Wordfence: Bietet neben 2FA einen vollständigen Sicherheitsschutz einschließlich Firewall, Malware-Scan und Echtzeit-Überwachung von Bedrohungen.
  • miniOrange: Unterstützt mehrere Authentifizierungsmethoden, darunter SMS, E-Mail, Push-Benachrichtigungen und Hardware-Schlüssel.

Generieren und speichern Sie unbedingt Backup-Codes an einem sicheren Ort, falls Sie den Zugriff auf Ihr Telefon verlieren.

Login-Versuche begrenzen

Standardmäßig erlaubt WordPress eine unbegrenzte Anzahl von Login-Versuchen. Das ist, als würden Sie den Schlüssel im Schloss stecken lassen und dem Dieb sagen "versuch es so oft du willst". Das Begrenzen der Versuche ist eine der wichtigsten Schutzmaßnahmen.

Limit Login Attempts Reloaded ist das beliebteste Plugin für diesen Zweck. Standardmäßig blockiert es die IP-Adresse nach 4 erfolglosen Versuchen für 20 Minuten und verlängert die Zeit nach wiederholten Sperren auf 24 Stunden. Sie können diese Werte nach Ihren Bedürfnissen anpassen.

Bei BeoHosting ist cPHulk Brute Force Protection ein integrierter Schutz auf Serverebene, der IP-Adressen mit zu vielen erfolglosen Login-Versuchen automatisch blockiert und so eine zusätzliche Schutzebene unabhängig von WordPress-Plugins bietet.

URL der Login-Seite ändern

Die standardmäßige WordPress-Login-Seite befindet sich immer unter /wp-login.php oder /wp-admin. Wenn Sie diese URL auf etwas Eindeutiges ändern (z. B. /mein-zugang), eliminieren Sie eine große Zahl automatisierter Angriffe, die auf die Standardpfade abzielen.

Das Plugin WPS Hide Login ermöglicht es Ihnen, die Login-URL mit einem Klick zu ändern. Es ist leichtgewichtig, verändert keine Dateien auf dem Server und ist mit den meisten Themes und Plugins kompatibel.

Web Application Firewall (WAF)

Eine WAF filtert bösartigen Datenverkehr, bevor er Ihre Website erreicht. Sie kann Brute-Force-Angriffe, SQL-Injection-Versuche, XSS-Angriffe und andere Bedrohungen erkennen und blockieren.

Cloudflare WAF: Der kostenlose Plan bietet grundlegenden Schutz (sehen Sie sich die Anleitung zur Cloudflare-Einrichtung an), während der Pro-Plan (20 $/Monat) erweiterte, WordPress-spezifische Regeln bietet.

Wordfence Firewall: Arbeitet auf der Ebene der WordPress-Anwendung und bietet WordPress-spezifischen Schutz. Die kostenlose Version enthält grundlegende Regeln, während die Premium-Version Echtzeit-Aktualisierungen erhält.

Sucuri: Eine cloudbasierte WAF, die die Website schützt, bevor der Datenverkehr Ihren Server erreicht. Besonders wirksam gegen DDoS-Angriffe.

Zusätzliche Schutzmaßnahmen

XML-RPC deaktivieren: XML-RPC ist ein altes WordPress-Protokoll, das Angreifer für Brute-Force-Angriffe missbrauchen können. Wenn Sie es nicht verwenden (die meisten Websites tun das nicht), deaktivieren Sie es, indem Sie eine einzige Zeile in der .htaccess hinzufügen oder das Wordfence-Plugin nutzen.

Datei-Bearbeitung im Admin-Panel verbieten: Fügen Sie define('DISALLOW_FILE_EDIT', true); in der wp-config.php hinzu, um die Bearbeitung von Themes und Plugins über das WordPress-Admin-Panel zu verhindern. Wenn ein Angreifer Zugriff erlangt, kann er keinen bösartigen Code direkt einschleusen.

WordPress regelmäßig aktualisieren: Jede Aktualisierung von WordPress, Themes und Plugins schließt bekannte Sicherheitslücken. Erwägen Sie eine professionelle WordPress-Wartung für automatische Updates. Aktivieren Sie automatische Updates für Nebenversionen und aktualisieren Sie Hauptversionen regelmäßig manuell.

SSL verwenden: Die HTTPS-Verschlüsselung stellt sicher, dass das Passwort verschlüsselt zwischen Browser und Server übertragen wird. Ohne SSL kann jemand im selben Netzwerk Ihr Passwort abfangen. BeoHosting bietet kostenlosen HTTPS-Schutz bei jedem Hosting-Paket.

Fazit

Der Schutz einer WordPress-Website vor Brute-Force-Angriffen erfordert mehrere Verteidigungsschichten. Die Kombination aus starken Passwörtern, Zwei-Faktor-Authentifizierung, Begrenzung der Login-Versuche und einer Firewall bietet soliden Schutz. Keine einzelne Methode ist für sich allein ausreichend, aber zusammen machen sie Ihre Website extrem schwer zu kompromittieren. Denken Sie daran - Prävention ist immer günstiger als die Behebung der Folgen eines Angriffs.

BeoHosting Team

10+ Jahre Erfahrung — Spezialisten für Webhosting und Infrastruktur

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Zuletzt aktualisiert:

Ähnliche Artikel

Wie Sie sich vor DDoS-Angriffen schützen – Der komplette Leitfaden

6. avgust 2025.

SSL-Zertifikat: Warum es Pflicht ist und wie Sie es installieren

6. septembar 2025.

SSL-Zertifikat und SEO – Warum HTTPS Pflicht ist

9. septembar 2025.
Zurück zum BlogMehr aus der Kategorie: Sicherheit