X

Wie man Brute-Force-Angriffe auf WordPress-Websites stoppt

Zuletzt aktualisiert am von Redaktionsteam
LinkedInPinnenTeilen12
wie man Brute-Force-Angriffe stoppt

Möchten Sie Brute-Force-Angriffe auf Ihrer Website stoppen und verhindern?

Bei einem Brute-Force-Angriff versuchen Hacker einfach Tausende von Benutzer- und Passwortkombinationen, bis sie die richtige gefunden haben.

Sobald sie sich Zugang zu Ihrer Website verschafft haben, können sie alle möglichen Dinge tun, wie z. B. bösartige Werbung einfügen, Ihre Benutzer betrügen und Ihre Website sogar lahmlegen.

Dieses Tutorial zeigt Ihnen, wie Sie Brute-Force-Angriffe stoppen und verhindern können, damit Hacker keine Chance haben, in Ihre Website einzudringen.

Bevor wir zu den Schritten kommen, klären wir, was ein Brute-Force-Angriff ist, damit Sie während des Tutorials ein besseres Verständnis haben.

Was ist ein Brute-Force-Angriff?

Wenn wir sagen, dass Hacker verschiedene Passwortkombinationen auf Ihrer Website ausprobieren, um sich anzumelden, stellen Sie sich wahrscheinlich eine tatsächliche Person vor, die an einem Computer sitzt und Passwörter eingibt, richtig?

Hacker sind weitaus fortschrittlicher als das. Sie programmieren Bots, die das Internet scannen und nach Websites suchen, die auf WordPress laufen. Dann zielen sie auf die Anmeldeseite, die normalerweise www.example.com/wp-admin lautet.

Passwortbeispiel WordPress

Sobald sie sich auf der Anmeldeseite befinden, führen diese Bots eine riesige Datenbank mit gängigen Benutzernamen und Passwörtern aus.

  • Gängige Benutzernamen sind „admin“ oder der Name der Person, der die Website gehört.
  • Gängige Passwörter sind passwort1234, 12345678 und qwerty1.

Diese Hacker-Bots können Tausende von Anmeldeversuchen pro Minute durchführen. Und sie versuchen es immer wieder, bis sie es richtig machen oder ihre Datenbank erschöpfen. Daher der Name „Brute-Force“-Angriff.

Jetzt denken Sie vielleicht, dass Sie nur ein wirklich starkes Passwort festlegen müssen und das Problem gelöst ist. Aber das reicht nicht aus.

Tausende von Anmeldeversuchen können Ihre Website verlangsamen und sogar zum Absturz bringen. Dies kann Ihre Benutzererfahrung beeinträchtigen, was bedeutet, dass Besucher Ihre Website verlassen werden, da sie nicht schnell genug geladen wird.

Ein besserer Weg, Ihre Website zu schützen, wäre, den Hacker daran zu hindern, diese Versuche zu unternehmen. Das werden wir Ihnen als Nächstes zeigen. Tauchen wir direkt ein.

So stoppen Sie Brute-Force-Angriffe in WordPress

Im Folgenden beschreiben wir 6 wichtige Schritte, die Sie unternehmen müssen, um Ihre Website vor Hackern zu schützen. Wir konzentrieren uns auf die Verhinderung von Brute-Force-Angriffen, aber denken Sie daran, dass diese Schritte auch dazu beitragen, andere Malware-Angriffe zu stoppen.

Sie werden ein robustes Sicherheitssystem aufbauen, das sicherstellt, dass Hacker Ihre Website weder von innen noch von außen beschädigen können.

Hier ist eine Liste der 6 Schritte, die wir behandeln werden:

  1. Installieren Sie ein Firewall-Plugin
  2. Begrenzen Sie Anmeldeversuche
  3. Zugriff auf die Anmeldeseite beschränken
  4. Passwörter regelmäßig ablaufen lassen
  5. 2-Faktor-Authentifizierung hinzufügen
  6. HTTP-Authentifizierung hinzufügen

Schritt 1: Installieren Sie ein Firewall-Plugin

Eine Firewall dient als Ihre erste Verteidigungslinie. Sie analysiert jeden Besucher, der Ihre Website besucht, und blockiert bösartige Bots. Das bedeutet, dass nur guter Traffic Ihre Website sehen darf.

Es gibt zwei Arten von Website-Firewalls, die Sie verwenden können.

  • Web Application Firewall: Diese Firewalls sitzen vor Ihrer WordPress-Site, um den eingehenden Datenverkehr zu scannen. Sie sind ziemlich effektiv, bieten aber keinen Schutz auf Serverebene. Das bedeutet, Hacker können Ihren Server immer noch angreifen und Ihre Website beschädigen.
  • DNS-Level Website Firewall: Diese Firewall bietet besseren Schutz vor Hackern, da sie vor Ihrem Server sitzt. Sie scannt also den gesamten Datenverkehr, bevor er Ihren Hauptwebsite-Server erreicht.

Wir empfehlen dringend, in eine DNS-Firewall zu investieren, um Ihre Website zu schützen. Sucuri hat eine der besten DNS-Firewalls der Branche.

Sucuri

Sucuri verfügt über integrierte Funktionen, um Brute-Force-Angriffe zu blockieren, ohne Ihre Website-Benutzer zu beeinträchtigen.

Es blockiert auch automatisierte Tools, die zum Scannen Ihrer Website verwendet werden. Dies hilft, Ihre Website von der Radar eines Angreifers fernzuhalten.

Dann überwacht es ständig Ihre Website, sodass bösartige Bots automatisch blockiert werden, wenn sie auf Ihre Website gelangen.

Wenn Sie mehr Details erfahren möchten, lesen Sie unseren Sucuri-Testbericht.

Schritt 2: Anmeldeversuche begrenzen

Wenn Sie Brute-Force-Angriffe gezielt blockieren möchten, ist eine der besten Methoden, die Anzahl der Anmeldeversuche eines Benutzers zu begrenzen.

Sie können ihnen beispielsweise maximal 3 Versuche gewähren, den richtigen Benutzernamen und das richtige Passwort einzugeben. Wenn sie es nicht richtig eingeben, können sie die Option „Passwort vergessen“ verwenden und ihre Anmeldedaten wiederherstellen.

Passwort vergessen in WordPress

Jeder Benutzer oder Bot, der versucht, Ihre Website per Brute-Force anzugreifen, wird nach 3 Versuchen aufgeben und zum nächsten Ziel weiterziehen.

Sie können ein Plugin zur Begrenzung von Anmeldeversuchen zu Ihrer WordPress-Site hinzufügen, um diese Funktion zu implementieren. Wenn Sie ein Sicherheitsplugin wie Sucuri verwenden, sollten Sie bereits automatisch eine Begrenzung der Anmeldeversuche auf Ihrer Website haben.

Schritt 2: Zugriff auf die Anmeldeseite einschränken

Eine weitere großartige Möglichkeit, Ihre Website vor Brute-Force-Angriffen zu schützen, besteht darin, nur vertrauenswürdigen Personen den Zugriff auf die URL der Anmeldeseite zu gewähren.

Jedes Gerät, das das Internet nutzt, hat eine eindeutige IP-Adresse. Sie können ein Sicherheitsplugin verwenden, um alle IP-Adressen vom Zugriff auf die Anmeldeseite universell zu blockieren und nur die gewünschten zuzulassen.

Auf diese Weise können nur autorisierte Benutzer die Anmeldeseite öffnen. Diese Methode wird als Zulassungsliste bezeichnet und ist sehr effektiv, um Hacker fernzuhalten.

Wenn Sie Sucuri verwenden, können Sie unter dem Tab Zugriffskontrolle in Ihrem Dashboard IP-Adressen auf die Whitelist setzen.

Sucuri Whitelist

Wechseln Sie als Nächstes zum Tab Sicherheit.

Sie sehen eine Option zum Aktivieren von „Admin-Panel nur für zugelassene IP-Adressen beschränken“.

Whitelist in Sucuri

Durch Ankreuzen dieser Box erlaubt Sucuri automatisch nur Ihren vertrauenswürdigen Benutzern den Zugriff auf die Anmeldeseite.

Schritt 4: Passwörter regelmäßig ablaufen lassen

Es versteht sich von selbst, dass der beste Weg, jedes Konto oder jede Website im Internet zu schützen, die Verwendung starker Benutzernamen und Passwörter ist.

Darüber hinaus müssen Sie Ihr Passwort regelmäßig ändern. Wenn Sie einen Angriff vermuten, müssen Sie es sofort ändern.

Wenn Sie nun mehrere Benutzer haben, die Zugriff auf wp-admin haben, erinnern sie sich möglicherweise nicht daran, ihre Passwörter regelmäßig zu ändern.

Um dies zu überwinden, können Sie Erinnerungen einstellen und sie zwingen, ihr Passwort in Intervallen zurückzusetzen.

Beispiel für ablaufendes Passwort

Sie können ein Plugin wie Expire User Passwords verwenden, um Passwörter regelmäßig ablaufen zu lassen und den Benutzer zu zwingen, sein Passwort zu ändern, bevor er sich erneut anmelden kann.

Schritt 5: Zwei-Faktor-Authentifizierung hinzufügen

Sie haben die Zwei-Faktor-Authentifizierung wahrscheinlich schon bei Ihren Apps, insbesondere bei E-Mail, gesehen oder verwenden sie.

Neben der Eingabe Ihres Passworts müssen Sie einen Einmal-Passcode angeben, der an Ihr Mobiltelefon oder Ihre E-Mail gesendet wird.

2fa-code-sucuri

Sie erhalten diesen Code möglicherweise als SMS oder über eine Authentifizierungs-App.

Das bedeutet, dass sich ein Benutzer in Echtzeit verifizieren muss, was es für Hacker extrem schwierig macht, Zugriff zu erhalten.

Selbst wenn sie Ihr Passwort knacken, benötigen sie auch den Echtzeit-Passcode.

Alle beliebten Sicherheits-Plugins wie Sucuri und MalCare ermöglichen es Ihnen, die Zwei-Faktor-Authentifizierung im Dashboard zu aktivieren.

Sie müssen also keinen Code anfassen, um diese Maßnahme zu Ihrer Website hinzuzufügen.

Schritt 6: HTTP-Authentifizierung hinzufügen

Der letzte Schritt, den Sie unternehmen können, um Ihre Website vor Brute-Force-Angriffen zu schützen, ist das Hinzufügen einer Anmeldeseite zu Ihrer Anmeldeseite.

Es scheint ein wenig viel, aber dies dient als zusätzliche Schutzschicht und ist ein sicherer Weg, Hacker daran zu hindern, Ihre Website durch Brute-Force-Angriffe zu betreten.

Die HTTP-Authentifizierung funktioniert, indem Ihre Anmeldeseite verborgen und eine leere Seite mit einem Anmeldefeld angezeigt wird.

Sobald Sie Ihre HTTP-Anmeldedaten eingegeben haben, wird Ihre WordPress-Anmeldeseite angezeigt.

http-Authentifizierung

Sie können diese Maßnahme in Ihrem Hosting-cPanel hinzufügen. Wenn Sie cPanel noch nie zuvor verwendet haben, machen Sie sich keine Sorgen. Wir zeigen Ihnen in wenigen einfachen Schritten, wie es geht.

Melden Sie sich bei Ihrem Webhosting-Konto an, greifen Sie auf cPanel zu und suchen Sie nach 'Directory Privacy'.

Verzeichnisschutz

Suchen Sie darin in der Liste der Ordner den Ordner wp-admin und bearbeiten Sie ihn.

wpadmin-Datenschutz bearbeiten

Aktivieren Sie auf der nächsten Seite zuerst die Option „Dieses Verzeichnis mit einem Passwort schützen“. Nun wird cPanel Sie auffordern, einen Benutzernamen und ein Passwort hinzuzufügen.

Passwort zum Verzeichnis hinzufügen

Stellen Sie sicher, dass Sie Ihre Einstellungen speichern, bevor Sie diese Seite verlassen. Nun ist Ihr WordPress-Admin-Verzeichnis passwortgeschützt.

Wenn Sie Ihre wp-admin-Seite öffnen, sehen Sie eine Anmeldeaufforderung, um den gerade erstellten Benutzernamen und das Passwort einzugeben.

Falls Sie auf einen 404-Fehler oder zu viele Weiterleitungsnachrichten stoßen, müssen Sie die folgende Zeile zu Ihrer WordPress .htaccess-Datei hinzufügen.

ErrorDocument 401 default

Damit ist Ihre Website vor Brute-Force-Angriffen geschützt.

Wir empfehlen außerdem, regelmäßig ein Backup Ihrer Website zu erstellen. Wenn etwas schiefgeht, sei es ein Hack oder ein menschlicher Fehler, können Sie Ihre Website schnell wiederherstellen und zum Normalzustand zurückkehren. So minimieren Sie Schäden an Ihrer Website und der Benutzererfahrung.

Sie können UpdraftPlus verwenden, um automatisierte Backups zu planen, die sicher gespeichert werden.

Weitere Backup-Optionen finden Sie in unserer Auswahl der Besten WordPress Backup-Plugins.

Wir hoffen, Sie fanden diesen Beitrag zur Verhinderung von Brute-Force-Angriffen hilfreich. Und da Ihre Website jetzt sicher ist, können Sie sich auf das Wachstum Ihrer Website und die Steigerung des Traffics konzentrieren. Hier sind einige Ressourcen, die wir für Sie ausgewählt haben:

Diese Beiträge helfen Ihnen, Traffic, Engagement und Benutzererfahrung zu verbessern. Der letzte Beitrag bietet Ihnen die besten Plugins und Tools, um Arbeitsabläufe zu optimieren und Ihr Geschäft exponentiell zu vergrößern.

LinkedInPinnenTeilen12

Kommentare   Hinterlasse eine Antwort

Kommentar hinzufügen

Wir freuen uns, dass Sie einen Kommentar hinterlassen haben. Bitte beachten Sie, dass alle Kommentare gemäß unserer Datenschutzrichtlinie moderiert werden und alle Links nofollow sind. Verwenden Sie KEINE Schlüsselwörter im Namensfeld. Lassen Sie uns ein persönliches und bedeutungsvolles Gespräch führen.

WordPress Launch Checkliste

Die ultimative Checkliste für den Start von WordPress

Wir haben alle wichtigen Checklistenpunkte für den Start Ihrer nächsten WordPress-Website in einem praktischen E-Book zusammengefasst.
Ja, senden Sie mir das kostenlose E-Book!
Copyright © 2015 - 2026 WPBeginner LLC. Alle Rechte vorbehalten. Verwaltet von Awesome Motive Inc.

EDITORIAL NOTE: Die hier geäußerten Meinungen sind allein die des Autors, nicht die irgendeines Hosting-Unternehmens, Plugin-Anbieters, Theme-Unternehmens, Syed Balkhi oder der WordPress Foundation, und wurden von keiner dieser Entitäten überprüft, genehmigt oder anderweitig gebilligt.

HAFTUNGSAUSSCHLUSS: Wir bemühen uns sehr, zuverlässige Daten für alle präsentierten Angebote zu pflegen. Diese Daten werden jedoch ohne Gewährleistung bereitgestellt. Benutzer sollten immer die offizielle Website des Anbieters für aktuelle Bedingungen und Details überprüfen. Die Produktangebote, die auf der Website erscheinen, stammen von den jeweiligen Hosting-Unternehmen, Plugin-Unternehmen und Theme-Unternehmen, von denen IsItWP eine Vergütung erhält. Diese Vergütung kann beeinflussen, wie und wo Produkte auf dieser Website erscheinen (einschließlich, zum Beispiel, der Reihenfolge, in der sie erscheinen). Diese Website enthält nicht alle WordPress-Produkte oder alle verfügbaren Produktangebote.