Webmacher-FAQ

Fragen rund um den PC, Mac, Online, Office oder Mobile? Wir bieten Antworten!

WordPress Login-URL „wp-admin“ ändern

Veröffentlicht · Aktualisiert

Wordpress

WordPress Installationen gehören durch ihre große Verbreitung zu den beliebtesten Angriffszielen im Netz.
Wer in seinen Installationen Security-PlugIns installiert hat (und das sollte zum Pflichtprogramm gehören, z.b. Wordfence), der bemerkt schnell, das Angriffe auf die eigene Website keine Seltenheit sind.
Gern zielen diese Attacken auf das Login, um dort mit Standard-Benutzern Zugang zu erhalten. Aus diesem Grund kann man in die WordPress Login-URL „wp-admin“ ändern.

Eines vorweg: Das bloße Ändern der Login-URL verhindert automatisierte Attacken auf eben diese Standard-URL. Mehr aber auch nicht. Aus diesem Grund sind zusätzliche Maßnahmen Pflicht:

  • Der Administator-Benutzername sollte nicht „erratbar“ sein. Also NICHT Admin oder gar ihr Klarname.
  • Das Passwort sollte ein sicheres, komplexes Passwort sein (Passworttipps gibt es hier).
  • Die Zwei-Faktor-Authentifizierung (2FA) sollte genutzt werden.

Gerade mit der 2FA wird es mit Brute-Force-Attacken sehr schwer Zugang zu erlangen.

Ändern der WordPress Login-URL „wp-admin“

Das Ändern der Login-URL funktioniert am einfachsten mit einem PlugIn. Hier gibt es wie gewohnt viele.

Ein Beispiel ist das PlugIn WPS Hide Login.
In diesem kann direkt eine neue Login-URL angelegt werden.

Teilweise ist die Möglichkeit der Login-URL-Änderung auch in größeren Security-PlugIns wie zum Beispiel iThemes Security enthalten.
Hier kann unter dem Menüpunkt Erweitert->Backend verstecken die URL angepasst werden.

Login-URL vergessen. Was tun?

Risiko bei der Änderung: Wenn die neu vergebende URL vergessen wird, ist ein Login nicht mehr möglich. Also gut merken!

Natürlich gibt es hier auch Möglichkeiten, die URL zu finden:

Möglichkeit 1: Mit einem FTP-Zugang zur WordPress-Installation kann man versuchen, das für die URL-Änderung verantwortliche PlugIn „auszuschalten“. Dazu sucht man dieses im Ordner wp-content/plugins/ und ändert dessen Ordnername z.B. mit dem Zusatz _old. Damit ist es in WordPress nicht mehr registriert und die Änderung sollte aufgehoben sein.

Möglichkeit 2: Mit Zugang zur Datenbank der WordPress-Installation kann die URL direkt dort gefunden werden. In der Tabelle wp_options (sofern das Tabellenpräfix nicht geändert wurde) gibt es den Eintrag active_plugins. Wird hier der Eintrag des aktiven Plugins gelöscht, ist dieses dann ebenfalls nicht mehr aktiv und der Standard-Login ist wieder hergestellt.

In beiden Fällen sollte man allerdings wissen was man tut, da an diesen Stellen auch schnell die gesamte Installation funktionsunfähig gemacht werden kann.
Hinterher natürlich nicht vergessen, die Konfiguration wieder anzupassen.


Sascha

Hauptberuflich "Technologietreiber für Onlinezeugs" in einem Großkonzern. Interessiert an Technik im Allgemeinen, je abgedrehter, umso besser. Neben Familie, Hund und Beruf hat er trotzdem noch Spaß daran Sachen aufzuschreiben, die einem tagsüber so begegnen (manchmal auch nachts ;)).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert