Um Brute-Force-Angriffe auf Ihre WordPress-Installation zu verhindern, sollten Sie mehrere Schutzmaßnahmen kombinieren. Gehen Sie wie folgt vor:
- Login-Versuche begrenzen: Installieren Sie ein Plugin wie „Limit Login Attempts Reloaded“ oder „Wordfence Security“, um die Anzahl der Anmeldeversuche pro IP-Adresse zu beschränken.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren: Nutzen Sie ein Plugin wie „WP 2FA“ oder „Google Authenticator“, um eine zusätzliche Sicherheitsebene beim Login zu schaffen.
- Benutzername „admin“ vermeiden: Erstellen Sie einen neuen Administrator mit einem individuellen Benutzernamen und löschen Sie den Standard-„admin“-Account.
- Starke Passwörter verwenden: Achten Sie auf komplexe, lange Passwörter für alle Benutzerkonten mit Administratorrechten.
- Login-URL ändern: Verwenden Sie ein Plugin wie „WPS Hide Login“, um die Standard-Login-URL (wp-login.php) zu ändern und automatisierte Angriffe zu erschweren.
- ReCaptcha aktivieren: Integrieren Sie Google reCAPTCHA in das Login-Formular, z. B. mit dem Plugin „Login No Captcha reCAPTCHA“.
- IP-Whitelist oder .htaccess-Schutz: Beschränken Sie den Zugriff auf wp-login.php über die .htaccess-Datei oder eine Firewall auf bestimmte IP-Adressen.
Zusätzlich empfiehlt es sich, regelmäßig Updates für WordPress, Themes und Plugins durchzuführen und ein Sicherheits-Plugin mit Brute-Force-Schutz zu verwenden.