Sicherheit im WWW ist ein wichtiges Thema, noch dazu, wenn es um die eigene Website geht. Wer eine WordPress-Website hat, muss sich aktiv darum kümmern, Hackern bzw. Angreifern den Zugang zu verwehren. Eine Idee dabei ist, den Zugang zum WordPress-Dashboard durch ein ändern der Standard-URL zu erschweren. Aber schützt das wirklich? Soll ich die Login-URL in WordPress ändern?

Die unmittelbare und ehrliche Antwort auf diese Frage lautet: Nein, das lohnt sich nicht. Für professionelle Hacker ist dieser Schritt kein Hindernis. Viel wichtiger ist es, die Sicherheit der WordPress-Website durch Sicherheitsmaßnahmen wie 2-Faktor-Authentifizierung, reCaptcha, und starke Login-Daten zu erhöhen.

So etwas sagt sich leicht, aber ich möchte Ihnen natürlich auch die nötigen Details und Begründungen liefern. Hier sind sie:

Was ist die Standard Login-URL für eine WordPress Website?

Für eine WordPress Website auf der Domain beispiel.com befindet sich die standardmäßige Login-URL für das WordPress-Backend auf beispiel.com/wp-login.php. Das WordPress Backend (Dashboard) selbst erreicht man über beispiel.com/wp-admin/.

Dieser Standard wird bei jeder Installation einer WordPress-Website eingerichtet. Das erleichtert vieles, z.B. automatische Aktualisierungen, Werkzeuge einzusetzen oder bestimmte Dinge zu erklären. Andererseits ist es auch ein Risiko, dass ca. ein Drittel des WWW (Stand Mitte 2019) ein und dieselbe Login-URL verwendet.

Warum ist eine Standard Login-URL ein Sicherheitsrisiko für eine Website?

Das Problem ist nicht nur die standardisierte Login-URL für die WordPress-Admin-Oberfläche. Hauptsächlich ist problematisch, dass Hacker für sehr viele WordPress-Websites bereits zwei von drei nötigen Informationen kennen, weil es für diese eine Voreinstellung gibt.

Die WordPress Login-URL zu ändern schützt nicht genug!

Wieso denn das bitte? werden Sie fragen. In erster Linie, um die Sache einfach zu machen. Damit möglichst viele Benutzer ein bestimmtes System verwenden, muss es möglichst einfach sein. Handelt es sich dabei um Software (so wie WordPress), dann muss zunächst die Installation möglichst einfach ablaufen. Dazu gehört bei WordPress eben auch das Anlegen eines Administrators mit einem Standard-Benutzernamen.

Ein Administrator ist eine Art von WordPress-Benutzer, der im Prinzip alles auf und mit der WordPress Website tun darf (auch die gesamte Website löschen). Wenn Sie mehr über WordPress Benutzerrollen wissen möchten, empfehle ich Ihnen meinen Artikel WordPress-Benutzerrollen: Rechte, Verwaltung, Beispiel-Screenshots, gleich hier auf WebsiteBerater.com.

Aber zurück zur Anmeldung bei Ihrer WordPress-Website. Dafür brauchen Sie (und jeder andere auch) drei Daten:

  • Die URL der Anmeldeseite. Der Standard ist: beispiel.com/wp-login.php
  • Ihren Benutzernamen. Wenn es sich um Ihre eigene WordPress Website handelt, ist das im Allgemeinen auch ein Administrator. Eine WordPress-Installation muss immer einen Administrator-Benutzer haben. Der Standard, der bei der Installation angelegt wird, ist: admin
  • Das Passwort des Benutzers (Administrators). Das sucht man sich bei der Installation selbst aus oder lässt es vom System erzeugen.

Die Versuchung ist groß, für das Passwort etwas Einfaches oder Kurzes zu wählen, das man sich leicht merken kann, aber genau darin liegt die größte Gefahr. Denn durch ein schwaches Passwort, das Passwort-Knack-Algorithmen leicht finden bzw. erraten, ist für eine Standard-Installation ohne weitere Sicherheitsschranken dann der Schutz gegen Angreifer denkbar schlecht.

Denn das Hauptproblem bei der Verwendung dieser Standards ist, dass ein Hacker oder Angreifer bei vielen Websites davon ausgehen kann, dass die Login-Seite auf beispiel.com/wp-login.php liegt und es einen Administrator-WordPress-Benutzer mit dem Benutzernamen admin (oder wordpressadmin) gibt. Alles, was die automatisierten Hacking-Skripte dann noch herausfinden müssen, ist das Passwort.

Wenn man einen nicht-Standard-Admin-Benutzernamen verwendet, sind die Chancen des Erratens genauso stark geschwunden, wie durch ein Verändern der Login-URL. Wobei das nicht ganz korrekt ist, denn die veränderte URL lässt sich manchmal durch Tricks herausfinden, ein komplexer Benutzernamen aber nur durch Probieren. Klingt fast unentschieden, aber sehen wir uns einmal die Argumente für und gegen eine Veränderung der Standard WordPress-Login-URL an.

Argumente für eine veränderte WordPress Login-URL

Die Argumente für eine gegenüber dem Standard veränderte WordPress Login-URL sind:

  • Die Login-URL und die Standard URL für das Dashboard (wp-admin) sind für Hacker nicht offensichtlich.
  • Man kann der Login-URL kreative Namen geben, die das Branding verbessern. Dieses Argument gilt allerdings nur aus Marketing-Sicht für die anderen WordPress-Benutzer der Website als Pro-Argument. Da man den anderen Benutzern ja von der cool gebrandeten Anmelde-URL erzählt, ist sie auch für Hacker wieder leichter zu finden.
  • Manchmal liest man auch, dass eine durch eine Web-Agentur veränderte bzw. versteckte Login-URL beim Kunden, für den die Website bestimmt ist, ein sichereres Gefühl erzeugt. Dieses Argument hält allerdings auch nur so lange stand, wie man dem Kunden weismacht, dass das wirklich sinnvoll ist. Besser wäre es, gut zu informieren, auch darüber, dass eine veränderte Login-URL für Profis keine echte Hürde darstellt.

Ja, das war bereits alles. Zusammenfassend kann man sagen, dass zwar alle Attacken, die direkt auf wp-login.php losgelassen werden, ins Leere führen, aber mehr auch nicht.

Argumente gegen ein Verändern der WordPress Login-URL

Auch gegen das Verändern der WordPress Login-URL lassen sich einige Argumente finden:

  • Wie oben bereits angedeutet, ist diese Maßnahme gegen erfahrene Hacker nicht effektiv. Somit ist der Aufwand, den man hier betreibt, gewissermaßen verschwendet.
  • Genauer gesagt, ist diese Maßnahme aufgrund ihrer Schwächen für sich alleine genommen nicht effektiv. Man muss also zusätzlich noch stärkere Maßnahmen einsetzen und kann sich daher diese schwache Maßnahme gleich ersparen.
  • Jegliches Sicherheitsgefühl, das man als Resultat dieser Maßnahme erwartet oder verspürt, ist eigentlich irreführend.
  • Wer die Login-URL der eigenen WordPress-Website verändert, muss sie sich auch merken. Das klingt vielleicht lächerlich, hat aber einen ernsten Hintergrund, siehe unten.
  • Die Veränderung der Login-URL wird empfohlenerweise durch ein Plugin umgesetzt. Grundsätzlich sollte man aber Plugins vermeiden, so gut es geht, da sie Ressourcen verbrauchen und die WordPress-Website insgesamt durch mögliche Sicherheitslücken angreifbarer machen.
  • Auch Plugins haben Standards für die Veränderung der Login-URL. Wer also die Voreinstellung der veränderten Login-URL nicht verändert, der läuft Gefahr, leichter entdeckt zu werden.
  • Die veränderten Login-URLs können grundsätzlich durch die WordPress-eigene Website-eingeschränkte Suche gefunden werden.

Insgesamt erschwert das Verändern der Login-URL auch dem eigentlichen Administrator der Website die Arbeit, ohne einen echten Nutzen zu bringen. Wenn man sonst nichts tut, dann ist das etwa so, als würde man den Eingang zum eigenen Haus zwar in einem Labyrinth verstecken, dafür aber die Eingangstür sperrangelweit offen stehen lassen.

Wichtige Sicherheitsmaßnahmen für Ihre WordPress Website

Um hier nicht einfach nur die ganze Zeit darüber zu meckern, weshalb die Veränderung der Login-URL nicht zielführend ist, sondern Ihnen auch zu sagen, was Sie stattdessen tun können, hier die wichtigsten Punkte in Kürze:

  1. Verwenden Sie für Ihren Administrator-Account nicht den Standard-Benutzernamen admin. Auch nicht den nur leicht veränderten Standard wordpressadmin. Verwenden Sie auch nicht einfach nur Ihren Namen. Verwenden Sie etwas, das man nicht leicht erraten kann, wie z.B. Ihren Namen, kombiniert mit einer längeren Zahlen-Buchstaben-Kombination.
  2. Verwenden Sie ein sicheres Passwort. Sie können sich z.B. bei der Einrichtung oder nach der Einrichtung bei der Änderung des Passworts im WordPress-Dashboard eines vorschlagen lassen. Verwenden Sie dieses Passwort nur an dieser einen Stelle.
  3. Verwenden Sie 2-Faktor-Authentifizierung (2FA) für alle Administrator-Benutzer Ihrer WordPress-Website. Diese Funktionalität wird z.B. vom WordPress-Plugin Wordfence (das ich sehr empfehle, mehr Infos hier) bereits in der kostenlosen Variante über Authenticator-Apps auf Ihrem Smartphone (verwenden Sie nicht SMS) angeboten.
  4. Schränken Sie automatisierte Attacken ein, und zwar durch die Verwendung von Google’s reCaptcha-Dienst. Auch das können Sie in Wordfence bequem einbinden.
  5. Verwenden Sie eine Website-Firewall, z.B. Wordfence.
  6. Blockieren Sie IP-Adressen, von denen aus Ihre Website mit Brute-Force-Attacken angegriffen wird (ebenfalls mit Wordfence). Eine Brute-Force-Attacke versucht, sich auf Ihrer Website als Administrator anzumelden, indem Benutzername und Passwort erraten werden sollen.
  7. Blockieren Sie dazu Anmeldeversuche automatisch, wenn der verwendete Benutzername nicht existiert (z.B. in Wordfence).
  8. Limitieren Sie die möglichen Versuche pro IP-Adresse, falsche Login-Daten zu verwenden (z.B. in Wordfence).
  9. Limitieren Sie die erlaubten Versuche pro IP-Adresse, die “Passwort vergessen”-Funktion zu benutzen (z.B. in Wordfence).

Wenn Sie jetzt denken, dass sich das ein Bisschen wie ein Plädoyer für Wordfence anhört: Ja, genau das ist es auch. Wenn Sie ein anderes Lieblings-Plugin für die Website-Sicherheit haben, verwenden Sie ein anderes, aber wichtig ist, dass Sie sich die nummerierte Liste genau ansehen und möglichst komplett umsetzen. Mit Wordfence ist das eben in 5 Minuten erledigt.

So, jetzt kennen Sie meine Einstellung zu diesen Sicherheitsfragen. Wenn Sie trotzdem den Aufwand betreiben und die Login-URL Ihrer WordPress Website ändern wollen, dann finden Sie im Folgenden noch ein paar Hinweise dazu. Aber ehrlich gesagt können Sie an dieser Stelle auch aufhören, diesen Artikel zu lesen und (nach der Installation von Wordfence!) an Ihrer WordPress-Website weiter arbeiten.

Zur Erstellung einer WordPress-Website habe ich übrigens einen kompletten Leitfaden verfasst. Einen Überblick darüber finden Sie in meinem Artikel 19 Schritte zur fertigen WordPress-Website: Alle Details. Haben Sie bereits alle diese Schritte umgesetzt?

Die WordPress Login-URL mit einem Plugin ändern

Wenn Sie die Login-URL Ihrer WordPress Website ändern wollen, ist die Verwendung eines Plugins die empfohlene Vorgehensweise. Bei der Auswahl des Plugins befolgen Sie am besten meine Tipps und Vorsichtsmaßnahmen bei der Beurteilung der Eignung eines WordPress Plugins für ein bestimmtes Problem.

Gerade, weil es sich hier um eine Frage der Website-Sicherheit handelt, ist es z.B. besonders wichtig, ein Plugin zu wählen, das regelmäßig aktualisiert wird, eine breite Benutzerbasis hat und gute Bewertungen vorweisen kann.

Da ich persönlich auf meinen Websites keine Veränderung an der Login-URL vorgenommen habe, kann ich Ihnen kein Plugin empfehlen, das ich selbst benutze oder auch nur ausprobiert habe. Wie gesagt, wenn Sie etwas für die Sicherheit Ihrer WordPress-Website tun wollen, installieren und konfigurieren Sie das Wordfence-Plugin.

Die WordPress Login-URL ohne Plugin ändern

Die WordPress Login-URL lässt sich auch ohne die Verwendung eines Plugins ändern. Aber anstatt Ihnen zu sagen, wie das geht, sage ich Ihnen lieber, warum Sie das erst recht nicht tun sollten:

  • Sie verändern dabei den PHP-Code Ihrer WordPress Installation (im WordPress-Core oder im aktiven Theme). Das kann nicht nur ziemlich daneben gehen, sondern wird auch beim nächsten WordPress-Core- bzw. Theme-Update wieder überschrieben.
  • Wenn Sie die nötigen Veränderungen nicht konsistent umsetzen, bekommen Sie eine WordPress-Website, deren Backend nicht mehr ordentlich funktioniert.
  • Um diese Veränderungen umzusetzen, brauchen Sie Zugang zum Webserver, Grundkenntnisse in PHP und auch sonst ein grundlegendes Verständnis von Websites. Wenn Sie all das haben, verstehen Sie aber auch meine Argumente. Lassen Sie sich daher überzeugen und vergessen Sie die Änderung der Login-URL.

Die WordPress Login-URL in der Datenbank

Die WordPress Login-URL selbst steht nicht in der WordPress-Datenbank. Man kann einen Zugang zur WordPress-Datenbank allerdings benutzen, um eine unbekannte oder nicht ordnungsgemäß funktionierende Veränderung der WordPress Login-URL zu finden oder abzuschalten.

Diese Möglichkeit hilft einem Hacker oder Angreifer übrigens nicht, da diese im Allgemeinen keinen Zugang zur WordPress-Datenbank haben. Wenn doch, dann ist es sowieso bereits zu spät. Diese Möglichkeit ist vor allem für WordPress-Profis interessant, die Kunden-Websites zur Betreuung übernommen haben, aber die Standard-Login-URL nicht finden können.

Was passiert, wenn ich die veränderte WordPress Login-URL vergessen habe?

In diesem Fall kann man sich nicht mehr im WordPress-Dashboard anmelden. Auch die Standard-URL wp-admin für das Backend ist in so einem Fall üblicherweise nicht auf dem Standard zu finden und die dort normalerweise erfolgende Umleitung auf wp-login.php findet nicht statt.

Die Lösung dieses Problems ist, die Veränderung der Login-URL zumindest vorübergehend rückgängig zu machen. Wenn die Veränderung über ein Plugin eingerichtet worden ist, muss man also dieses Plugin deaktivieren. Da das über das WordPress-Dashboard nicht geht (weil man da ja nicht hinkommt), muss man entweder direkt auf den Webserver oder auf die WordPress-Datenbank zugreifen.

Auf den Webserver kommt man mittels FTP-Zugriff (z.B. mit dem kostenlosen FTP-Client Filezilla) oder eventuell auch direkt über das Kundencenter des eigenen Hosting-Providers. Dort muss man in das Installationsverzeichnis der eigenen WordPress-Website gehen und dann weiter in den Ordner wp-content/plugins/. Wenn man keine Ahnung hat, welches Plugin dafür Verantwortlich ist, sucht man am besten die Namen der vorhandenen Plugin-Ordner im WordPress-Plugin-Repository (oder im Internet) und findet rasch heraus, welches davon eine Login-URL verändern kann.

Im Ordner wp-content/plugins/ sucht man nach dem Ordner für das Plugin, das man für die Veränderung eingesetzt hat, und benennt den entsprechenden Ordner um, also z.B. von veraenderungsplugin/ auf veraenderungsplugin-alt/. Dadurch wird das Plugin inaktiv und man kann sich wieder über die Standard-Login-URL anmelden.

Wenn man zwar keinen FTP-Zugang zum Server hat, dafür aber auf die WordPress-Datenbank, dann kann man auch dort ein solches Plugin deaktivieren. Melden Sie sich dazu auf dem Datenbankserver an, idealerweise über ein Portal wie z.B. phpMyAdmin.

In der WordPress Datenbank suchen Sie dort nach einer Tabelle namens wp_options oder xyz_options, falls das Tabellen-Präfix ein anderes als wp_ ist. Gehen Sie dort zum Eintrag active_plugins und löschen Sie entweder den gesamten Inhalt des Eintrags (das deaktiviert alle Plugins), oder editieren Sie den Eintrag gezielt, um nur das verantwortliche Plugin zu deaktivieren.

Durch die Deaktivierung des Plugins, mit dem die Login-URL verändert worden ist, wird die Standard-URL wieder aktiv, Sie können sich wie gewohnt anmelden, und alle weiteren Änderungen direkt über das WordPress-Dashboard vornehmen.

Verändern der WordPress Login-URL: Mein Fazit

Lassen Sie mich an dieser Stelle noch einmal mein bereits oben angeklungenes Fazit wiederholen: Es lohnt sich nicht, aus Sicherheitsüberlegungen heraus die Login-URL Ihrer WordPress Website zu verändern. Stattdessen:

  • verwenden Sie das Wordfence Plugin
  • nutzen Sie einen schwer zu erratenden Administrator-Benutzernamen
  • wählen Sie ein komplexes, sicheres Passwort, das Sie sonst nirgendwo verwenden
  • nutzen Sie 2FA (z.B. über Wordfence)
  • installieren Sie ein Google reCaptcha v3

Was ich sonst noch beim Aufbau einer WordPress-Website empfehle, können Sie in meinem Überblick 19 Schritte zur fertigen WordPress-Website: Alle Details lesen. Ich wünsche Ihnen für Ihr WordPress-Projekt alles Gute!

Pin It on Pinterest