In frühen Zeiten von WordPress war es üblich den Zugang zum Backend mittels einem Link im Footer oder in der Seitenleiste zu generieren. Viele Bloginhaber haben tatsächlich derzeit noch den Link anmelden sichtbar auf ihrer Seite stehen. Ich gebe zu – ich vor kurzem auch. Natürlich ist das praktisch und bequem, für potenzielle Angreifer allerdings auch. Man dokumentierte sozusagen bereits auf der ersten Seite wo die Haustür ist. Wer dann noch den vorgegebenen Benutzernamen admin verwendete, der machte es einem ungebetenen Gast nur allzu leicht, mittels einer Brute-Force-Attacke den Zugang zum WordPress Backend zu knacken.

Um die Sicherheit von WordPress zu erhöhen gibt es inzwischen einige Möglichkeiten. Ich gebe zu, sie bis dato nicht genutzt zu haben – solange bis mir der Provider mitteilte, dass man mehrere hundert Logversuche in kürzester Zeit auf meiner Seite registriert hätte und ich doch schnellstens meine Seite absichern sollte.

Das Plugin WPS Hide Login verschleiert zumindest schon mal den Eingang; der Aufruf meine-seite.de/admin oder meine-seite.de/wp-login.php führt zu einer Fehlermeldung statt wie üblich zur Einlogmaske von WordPress.

Den Pfad zu Backend kann man unter Einstellungen im Plugin selbst festlegen. Also z.b. meine-seite.de/HgzBvWp20213dr. Der Login funktioniert danach nur noch mit diesem Link. Sollte der vergessen werden, hilft es das Plugin via FTP abzuschalten, dann funktioniert auch wieder wp-login.php.