WordPress Login schützen: Hinweis der Fehlermeldung ändern

wordpress login schützen

Wie schützt man den WordPress Login? Letztens fragte mich ein Kunde, ob die Login Hinweise im WordPress Backend nicht eigentlich ein Sicherheitsrisiko darstellen. Standardmäßig zeigt WordPress nämlich an, ob bei einem fehlgeschlagenen Login entweder der Benutzername oder das Passwort falsch eingegeben worden sind. Diese Fehlermeldungen könnten doch als Hinweis von potenziellen Angreifern genutzt werden, um einen Benutzernamen, eine Benutzer-E-Mail-Adresse (seit WordPress 4.5 auch zulässig) oder gar ein Passwort zu erraten. Aber fangen wir erstmal von vorne an.

Was sind überhaupt diese Login-Hinweise?

WordPress Login Hinweis Fehlermeldung ändernWer sich im WordPress Backend anmelden möchte und vielleicht mal einen Zahlendreher im Passwort hatte, kennt diese Fehlermeldung mit Sicherheit. Für alle, die sich entweder einfach alles perfekt merken können oder die, die so clever sind einen sicheren Passwort-Manager zu benutzen, auf dem Screenshot findet ihr ein Beispiel dafür. WordPress gibt in der rot markierten Login Hinweis Fehlermeldung ändern relativ detaillierte Hinweise, was genau passiert ist.

Wenn nun jemand versucht, Ihren Benutzernamen zu erraten, dann hilft ihm diese Fehlermeldung natürlich enorm. Seit WordPress 4.5 können Sie sich auch per E-Mail-Adresse in Ihrem WordPress Backend anmelden. Die Warnhinweise bestätigen dann sogar, dass diese E-Mail, sofern sie richtig erraten wurde, korrekt ist. Nun weiß der potenzielle Angreifer, mit welcher E-Mail-Adresse Sie sich anmelden und kann gegebenenfalls weitere Schritte einleiten um Ihre Sicherheit und Privatsphäre zu gefährden. Für die meisten WordPress-Nutzer ist diese Gefahr relativ gering und stellt auch kein großes Problem dar, aber für Menschen, die vorsichtig im Umgang mit ihren Daten sind, könnte sich der Sachverhalt problematischer darstellen.

Grundsätzlich gilt natürlich, dass Sie immer einzigartige Benutzernamen und besonders starke Passwörter für ihr WordPress Backend benutzen sollten. Nutzen Sie einen guten Passwort-Generator und machen Sie sich eine gute Eselsbrücke, die auf den ersten Blick wahllos erscheinen mag, für Sie persönlich aber Sinn ergibt.

Aber nun mal Butter bei die Fische.

So schützen Sie den WordPress Login Hinweis?

Eigentlich ist das ganz einfach. WordPress bietet einem hier einen passenden Filter an, den man unkompliziert in die functions.php eintragen kann.

Dieser kleine Code-Schnipsel überschreit die WordPress-Fehlermeldung in einen Standard, den Sie selbst einstellen können. Wenn also nun jemand versucht, Zugriff auf Ihr WordPress Backend zu bekommen, dann wird er nur Ihre voreingestellte Fehlermeldung sehen und weiter im Dunkeln tappen.

Natürlich kann dieser kleine Tipp nicht verhindern, dass anspruchsvollere Hacking-Versuche oder Brute-Force-Attacken eventuell Erfolg haben. Wir verwenden hier bei Weslink umfangreiche Tools zur Analyse und zur Abwehr von solchen Attacken. Gerne können wir Ihnen behilflich sein, Ihre WordPress Seite vor Eindringlingen zu schützen und Sie und Ihre Mitarbeiter darin schulen, die Sicherheit ihrer Webpräsenz zu verbessern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.