5 einfache Regeln für die WordPress-Login-Sicherheit

Veröffentlicht: 2020-09-25

Eine erfolgreiche WordPress-Sicherheitsstrategie sollte Schritte zur Stärkung des WordPress-Logins beinhalten. In diesem Beitrag behandeln wir die fünf einfachen Regeln für eine bessere WordPress-Login-Sicherheit.

Das Tolle an WordPress ist, wie es das Erstellen einer Website für fast jeden zugänglich macht. Aber mit dieser Zugänglichkeit geht Vorhersehbarkeit einher. Jeder, der Erfahrung mit WordPress hat, weiß, wo Änderungen an der Seite vorgenommen werden: über den wp-admin- Bereich. Sie wissen sogar, wohin sie gehen müssen, um auf die wp-admin , die wp-login.php- Seite, zuzugreifen .

Standardmäßig ist die WordPress-Anmelde-URL für jede WordPress-Site gleich und erfordert keine besonderen Zugriffsberechtigungen. Aus diesem Grund ist die WordPress-Anmeldeseite der am häufigsten angegriffene – und potenziell anfälligste – Teil jeder WordPress-Site.

Leider erfordert die Erstellung eines Bots, der das Internet durchstreift und Brute-Force-Angriffe ausführt, nicht sehr viel Geschick, und jeder Hacker auf Anfängerniveau kann einen erstellen. Da Angriffe auf die WordPress-Anmeldeseite eine niedrige Eintrittsbarriere haben, ist die WordPress-Anmeldesicherheit von entscheidender Bedeutung, um jede WordPress-Site zu schützen.

Indem Sie diese Regeln befolgen und die bewährten WordPress-Sicherheitspraktiken verwenden, können Sie vermeiden, anfällig für häufige Anmeldefehler von Benutzern zu sein.

WordPress-Login-Sicherheit

1. Verwenden Sie starke Passwörter

Es gibt viele verwirrende und widersprüchliche Informationen über bewährte Verfahren zur Passwortsicherheit im Internet. Um diese Verwirrung zu beseitigen, lassen Sie uns die Grundlagen aufschlüsseln, wie die Verwendung eines starken Passworts Ihre WordPress-Sicherheit verbessert.

Wenn Sie ein Kennwort erstellen, sollten Sie als erstes die Länge des Kennworts berücksichtigen. Die folgende Liste zeigt die geschätzte Zeit, die zum Knacken eines Passworts mit einem i5-Prozessor mit vier Kernen benötigt wird.

  • 7 Zeichen brauchen 0,29 Millisekunden zum Knacken.
  • 8 Zeichen brauchen 5 Stunden zum Knacken.
  • 9 Charaktere brauchen 4 Monate, um sie zu knacken.
  • 10 Charaktere brauchen 1 Jahrzehnt, um zu knacken
  • 12 Charaktere werden 2 Jahrhunderte brauchen, um sie zu knacken.

Wie Sie sehen, kann das Hinzufügen eines einzigen Zeichens zu Ihrem Passwort die Sicherheit Ihres Logins erheblich erhöhen. Ein Passwort, das mindestens 12 Zeichen lang und zufällig ist und eine große Anzahl von Zeichen wie „ ISt8XXa!28X3 “ enthält, wird es sehr schwer machen, es zu knacken.

Leider nutzen einige Hacker GPUs und stärkere CPUs, um die Zeit zum Knacken von Passwörtern zu verkürzen. Um Ihre Logins zu stärken, achten Sie also auch auf Ihre Passwort-Entropie. Je höher die Passwort-Entropie ist, desto schwieriger ist es, das Passwort zu knacken.

Ein Passwort wie „ abcdefghijkl “ hat beispielsweise nur aufgrund der Längenanforderung 12 Zeichen, was großartig ist und 200 Jahre dauern sollte, um es zu knacken. Da das Passwort jedoch sequentielle Buchstabenfolgen verwendet, macht es das Passwort im Vergleich zu einem Passwort wie „ rfybolaawtpm “, das zufällige Zeichen enthält, viel vorhersehbarer.

Das zufällige Anordnen von Zeichen verringert die Vorhersehbarkeit und erhöht die Stärke des Passworts. Aber beide Passwörter haben eines gemeinsam, das letztendlich die Passwortentropie reduziert. Beide verwenden nur Kleinbuchstaben, wodurch der Pool der möglichen Zeichen auf 26 begrenzt ist. Aus diesem Grund ist es wichtig, alphanumerische, Großbuchstaben und gängige ASCII-Zeichen aufzunehmen, um den zum Knacken des Passworts erforderlichen Zeichenpool auf 92 zu erhöhen.

Tipp: Verwenden Sie einen Passwort-Manager wie LastPass, um Passwörter einfach zu generieren und sicher zu speichern.
Tipp: Zumindest sollten Sie von Benutzern, die Änderungen an WordPress vornehmen können, verlangen, dass sie starke Passwörter verwenden. Die Verwendung eines WordPress-Sicherheits-Plugins wie iThemes Security Pro, um privilegierte Benutzer zu zwingen, starke Passwörter zu verwenden, trägt dazu bei, die WordPress-Login-Sicherheit zu erhöhen.

2. Verwenden Sie ein eindeutiges Passwort für jedes Konto

Eine weitere bewährte Methode für die Online-Sicherheit ist die Verwendung eindeutiger Passwörter für jedes Konto und jede Website-Anmeldung, die Sie haben. Dies ist so wichtig, dass wir es noch einmal sagen: Sie sollten für jede Site ein anderes Passwort verwenden.

Warum ist die Wiederverwendung von Passwörtern so wichtig? Wenn Sie für jede Site dasselbe Kennwort verwenden und eine dieser Sites kompromittiert ist, verwenden Sie jetzt für jedes Konto auf jeder Site ein kompromittiertes Kennwort. Hacker können Datendumps von kompromittierten Passwörtern in Verbindung mit Ihrer E-Mail-Adresse oder Ihrem Benutzernamen verwenden, um Zugriff auf Ihre Konten zu erhalten. Es ist am besten, nicht einmal das Risiko einzugehen.

Je mehr Benutzer Sie haben, die Passwörter wiederverwenden, desto schwächer ist Ihre WordPress-Login-Sicherheit. In einer von Splash Data zusammengestellten Liste war das am häufigsten verwendete Passwort in allen Daten-Dumps 123456. Die WordPress-Login-Sicherheit Ihrer Website ist nur so stark wie das schwächste Glied, also seien Sie mit starken Passwortanforderungen proaktiv.

Tipp: WordPress vor kompromittierten Passwörtern schützen

Sie können WordPress mit einem Plugin wie iThemes Security Pro vor kompromittierten Passwörtern schützen. iThemes Security Pro nutzt die HaveIBeenPwned API, um zu erkennen, ob ein Passwort bei einer Datenpanne aufgetaucht ist oder nicht.

Tipp: Ermutigen Sie Benutzer, Passwörter häufig zu ändern

Mit den Kennwortanforderungen von iThemes Security können Sie alle Ihre Benutzer zwingen, ihr Kennwort bei der nächsten Anmeldung zu ändern. Wenn Sie Benutzer zwingen, ein neues Kennwort zu erstellen, können alle mit einem starken und kompromisslosen Kennwort neu beginnen, was Ihre WordPress-Anmeldung erhöht Sicherheit.

Tipp: Verwenden Sie einen Passwort-Manager

Letztendlich kann Ihnen die Verwendung eines Passwort-Managers helfen, den Überblick über Ihre Logins und eindeutigen Passwörter zu behalten. Mit Hilfe eines Passwort-Managers müssen Sie sich Ihre Passwörter nicht merken.

3. Anmeldeversuche einschränken

Standardmäßig ist in WordPress nichts eingebaut, um die Anzahl fehlgeschlagener Anmeldeversuche zu begrenzen. Ohne Begrenzung der Anzahl fehlgeschlagener Anmeldeversuche, die ein Angreifer machen kann, kann er endlos viele Benutzernamen und Passwörter ausprobieren, bis er erfolgreich ist.

Erhöhen Sie Ihre WordPress-Login-Sicherheit, indem Sie ein WordPress-Sicherheits-Plugin wie iThemes Security Pro installieren, um die Anzahl fehlgeschlagener Login-Versuche zu begrenzen. Mit der WordPress Brute Force Protection-Funktion von iThemes Security Pro können Sie die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche festlegen, bevor ein Benutzername oder eine IP gesperrt wird. Eine Sperrung verhindert vorübergehend die Möglichkeit des Angreifers, Anmeldeversuche zu unternehmen. Sobald die Angreifer dreimal ausgesperrt wurden, wird ihnen sogar der Zugriff auf die Site gesperrt.

Hinweis: Berücksichtigen Sie bei der Entscheidung, wie streng Ihre Regeln für fehlgeschlagene Anmeldeversuche sein sollen, die tatsächlichen Benutzer Ihrer Site. Wenn Sie die Sperrregeln zu unversöhnlich gestalten, laufen Sie Gefahr, versehentlich echte Benutzer auszusperren.

4. Begrenzen Sie externe Authentifizierungsversuche pro Anfrage

Neben der Verwendung eines Anmeldeformulars gibt es andere Möglichkeiten, sich bei WordPress anzumelden. Mithilfe von XML-RPC kann ein Angreifer in einer einzigen HTTP-Anfrage Hunderte von Benutzernamen- und Kennwortversuchen durchführen. Die Brute-Force-Amplifikationsmethode ermöglicht es Angreifern, Tausende von Benutzernamen- und Passwortversuchen mit XML-RPC in nur wenigen HTTP-Anfragen durchzuführen. Wenn Sie wissen, dass ein Angreifer Datenbank-Dumps als Ausgangspunkt verwenden und Tausende von Vermutungen pro Anfrage anstellen kann, wird die Bedeutung der WordPress-Login-Sicherheit viel deutlicher.

Mit den WordPress Tweaks-Einstellungen von iThemes Security Pro können Sie mehrere Authentifizierungsversuche pro XML-RPC-Anfrage blockieren. Die Begrenzung der Anzahl der Benutzernamen- und Passwortversuche auf einen für jede Anfrage wird einen großen Beitrag zur Sicherung Ihres WordPress-Logins leisten.

Darüber hinaus ist es bei der Entwicklung Ihres WordPress-Login-Sicherheitsplans wichtig zu wissen, dass die WordPress Rest API zusätzliche Möglichkeiten zur Authentifizierung eines WordPress-Benutzers bietet. Die Cookie-Authentifizierung ist eine Methode zur Authentifizierung, wenn Sie sich anmelden WordPress speichert automatisch ein Cookie, damit Plugins und Themes eine Funktion in Ihrem Namen ausführen können. Die Cookie-Authentifizierung profitiert von den Schutzmaßnahmen, die Sie der wp-login.php hinzugefügt haben.

5. Verwenden Sie die Zwei-Faktor-Authentifizierung

Ich habe die beste Methode zur Erhöhung der WordPress-Login-Sicherheit zum Schluss gespeichert: WordPress-Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung erfordert einen zusätzlichen Code zusammen mit Ihrem WordPress-Benutzernamen und -Passwort, um sich anzumelden.

Es gibt viele Methoden der Zwei-Faktor-Authentifizierung, aber nicht alle Methoden sind gleich. Wenn möglich, vermeiden Sie die Verwendung von Text für die Zwei-Faktor-Authentifizierung. Das National Institute of Standards and Technology empfiehlt nicht mehr, SMS zum Senden und Empfangen von Authentifizierungscodes zu verwenden.

Wenn Sie ein WordPress-Sicherheits-Plugin wie iThemes Security Pro verwenden, sollten Sie entweder die E-Mail- oder die mobile App-Methode des Zwei-Faktors aktivieren.

Beachten Sie nur, dass Sie auf vielen Websites eine E-Mail-Adresse als Benutzernamen verwenden müssen. Wenn ein Angreifer eine dieser Websites hackt, besteht der nächste Schritt darin, sich mit den neuen E-Mail-Adressen und Passwörtern, die er gestohlen hat, bei E-Mail-Konten anzumelden. Wenn einer Ihrer Benutzer oder Kunden kompromittierte Passwörter auf jeder Site wiederverwendet, wird sein E-Mail-Konto zusammen mit seinen Zwei-Faktor-E-Mail-Codes kompromittiert.

Die mobile App-Methode des Zwei-Faktors wird am meisten dazu beitragen, die WordPress-Login-Sicherheit zu erhöhen. Der für die Anmeldung erforderliche zusätzliche Authentifizierungscode wird an das Telefon des Benutzers gesendet. Selbst wenn ein Angreifer Zugriff auf die WordPress- und E-Mail-Anmeldeinformationen hat, kann er sich trotzdem nicht anmelden.

Zusammenfassung: Eine einfache Sicherheitscheckliste für die WordPress-Anmeldung

Die Sicherheit der WordPress-Anmeldung sollte auf jeder Website oberste Priorität haben. Nachdem Sie nun wissen, wie Sie die Anmeldesicherheit auf Ihrer Website erhöhen können, können Sie diese effektive Strategie zur Hackerprävention nutzen.

  • 1. Verwenden Sie starke Passwörter
  • 2. Verwenden Sie eindeutige Passwörter für jedes Konto
  • 3. Anmeldeversuche einschränken
  • 4. Begrenzen Sie Authentifizierungsversuche
  • 5. Verwenden Sie die Zwei-Faktor-Authentifizierung

WordPress-Sicherheits-Plugin

Ein WordPress-Sicherheits-Plugin kann helfen, Ihre WordPress-Website zu schützen

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 30 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress-Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

Holen Sie sich jetzt iThemes Security