Hide WordPress Admin

WP-Admin verstecken: Wie effektiv sind WPS Hide Login & Co. wirklich?

Beinahe jeder weiß, wie die Loginschranke zum Adminbereich bei WordPress standardmäßig zu erreichen ist. Da mehr als 34 Prozent aller Websites mit WordPress laufen, ist es für Hacker ein Leichtes, die Loginbereiche dieser Websites zu finden und zu attackieren. Genau deshalb gehören entsprechende Angriffe, wie Brute Force Attacken, zu den häufigsten Angriffen auf WordPress Websites überhaupt. Eine einfache Schutzmaßnahme scheint da das Verstecken des WP-Adminbereichs zu sein. Ich zeige dir heute, wie sinnvoll diese Technik ist und wie du sie mit Plugins wie WPS Hide Login umsetzen kannst.

Brute Force Attacken sind die wahrscheinlich häufigste Angriffsart auf WordPress Websites überhaupt. Allein der Sicherheitsanbieter Wordfence maß 2017 in einigen Monaten dieses Jahres fast 1 Mrd. solcher Angriffe – die Dunkelziffer noch nicht eingerechnet. Um das Sicherheitsrisiko durch Brute Force Attacken einzudämmen, ist es prinzipiell sinnvoll, Loginversuche nach zu vielen missglückten Anläufen einzuschränken. Darüber hinaus setzen viele WordPress Webmaster noch eine andere Methode ein: Sie verschieben den WP-Admin Bereich, sodass dieser nicht mehr unter dem Suffix wp-admin zu finden ist.

Viele Sicherheitsplugins bieten auch eine entsprechende Funktion an. Wer kann, wagt sich auch an die .htaccess Datei. Doch das Verstecken des WP-Admin Bereichs alleine ist noch keine richtig gute Sicherheitsmaßnahme. Es kann aber eine sinnvolle Ergänzung sein.

WP-Admin verstecken: Was bringt das Ganze?

Hinter der Idee, den WP-Adminbereich zu verstecken, steht das Prinzip security through obscurity („Sicherheit durch Obskurität/Unklarheit“) – der Gedanke, dass die Sicherheit eines Systems stärker ist, solange seine Funktionsweise geheim bleibt. Oder anders: Wenn der Angreifer nicht weiß, wo deine Eingangstür ist, kann er zwar um dein Haus schleichen, aber nicht einbrechen.

Security through obscurity – in der Praxis ein zahnloser Tiger

Dieser Ansatz wird unter Experten kontrovers diskutiert – und das nicht ohne Grund. Dass eine Information sicher ist, bedeutet in diesem Fall nicht, dass man überhaupt nicht mehr auf sie zugreifen kann. Sie ist vorhanden – aber eben versteckt. Mit den richtigen Tools können Hacker deine Loginseite aber immer noch finden, wenn sie es drauf anlegen.

Und hier kommt das eigentliche Problem mit security through obscurity ins Spiel: Oftmals wird der Ansatz verwendet, um Probleme zu kaschieren, die man stattdessen ganz aus dem Weg räumen sollte. Lautet dein Adminname admin und dein Passwort Passwort123!, ist der Hacker im Handumdrehen in deinem Backend, wenn er deine versteckte Loginseite gefunden hat.

Kurz gesagt: Ein versteckter Adminbereich hält Angreifer nicht von einer Attacke ab, sondern verlängert nur die Arbeitszeit, die aufgewendet werden muss, um die Attacke durchzuführen. Leider ist es aber unmöglich komplett zu verschleiern, dass es sich bei deinen Projekten um WordPress Websites handelt. Das Verstecken des WP-Admin sollte also auf keinen Fall deine einzige Sicherheitsmaßnahme sein. Wer es zielgerichtet auf dich abgesehen hat, den schlägt das nämlich nicht in die Flucht.

Das Konzept security through obscurity ist deshalb im Idealfall eine von vielen Schichten deines Sicherheitskonzepts. Limit Login Attempts (LLA), ein starkes Passwort samt Zwei-Faktor-Authentifizierung und – falls du letztendlich eines einsetzt – ein sauber konfiguriertes Sicherheitsplugin sind ein sinnvoller Mix. Das Verstecken des Adminbereichs ist hierbei nur das i-Tüpfelchen.

In manchen Fällen macht das Verstecken des WP-Admin dennoch Sinn

Nun gibt es aber tatsächlich einige Situationen, in denen es durchaus Sinn machen kann, den WP-Admin zu verstecken:

  • Das Verstecken des WP-Admin hat einen starken Einfluss auf die gefühlte Sicherheit einer WordPress Website. Gerade wenn du im Kundenauftrag arbeitest, macht ein versteckter WP-Admin somit Sinn, um das Sicherheitsempfinden deines Kunden zu maximieren.
  • Wenn Hacker einen Brute Force Angriff auf deine Website starten, kann es sein, dass dein Webserver allein durch die hohe Anzahl der Anfragen „überhitzt“. Verschiebst du den Adminbereich, nimmst du zumindest primitiven Brute Force Attacken schon zu Beginn den Wind aus den Segeln.
  • Manchen Kunden kannst du durch das Verstecken des Adminbereichs positiv überraschen, beispielsweise wenn du ihn unter /NameDesUnternehmens verschiebst. Somit kannst du einen kleinen, aber feinen Brandingeffekt bewirken.

Du siehst schon: Diese Maßnahmen sind eher kosmetischer Natur. Aber auch eine höhere gefühlte Sicherheit kann manchmal schon helfen. Deshalb zeige ich dir im Folgenden, wie du deinen WP-Admin mit und ohne Plugins absichern kannst.

WP-Admin mit Plugins verstecken

Große Sicherheitsplugins erlauben neben zahlreichen anderen Funktionen auch, den Adminbereich und die genaue Natur deiner Website zu verstecken. Wie schon gesagt, sehe ich das kritisch: Ein sperriges Plugin zu installieren, nur um eine URL zu ändern, löst nicht alle deine Probleme mit einem Schlag. Nur nach einer gründlichen Auseinandersetzung mit dem Thema kannst du entscheiden, welche Sicherheitsmaßnahmen für dein Projekt überhaupt Sinn machen.

In Bezug auf Plugins hast du aber prinzipiell zwei Optionen:

  • schlanke Plugins, die nur für das Verstecken des Loginbereichs entwickelt wurden
  • Plugins, die das Verstecken des Loginbereichs mitliefern, aber noch wesentlich mehr können

Umfassende Sicherheitsplugins sind durch ihre erweiterte Funktionalität sperriger. Deshalb sind sie prinzipiell nur sinnig, wenn du weißt, was du damit erreichen möchtest: zum Beispiel ganz bestimmte IPs aussperren, die Web Application Firewall (WAF) nutzen oder vom Reporting der Plugins profitieren.

Ein großes Plugin nur zu installieren, um den Adminbereich zu verstecken, ist dagegen Overkill. Deine Ladegeschwindigkeit leidet und du hast unterm Strich kaum Mehrwert. Und ein Ersatz für die Auseinandersetzung mit Sicherheitsfeatures ist das auch nicht.

Den Adminbereich mit einem Plugin zu verstecken, ist also grundsätzlich nur dann ratsam, wenn du es ohne größere Performance- oder Funktionseinbußen nutzen kannst – quasi als nice to have. Extra dafür ein großes Plugin wie iThemes Security oder Wordfence zu installieren, würde ich nicht empfehlen.

Hier stattdessen zwei schlankere Alternativen, um deinen Adminbereich zu verstecken:

WPS Hide Login

Hide WP Admin Plugin WPS Hide Login
Der WP-Admin lässt sich zum Beispiel mit dem WPS Hide Login Plugin verstecken.

Das kostenlose Plugin WPS Hide Login tut genau eine Sache: Es ändert die beiden URLs /wp-admin und /wp-login.php zu von dir festgelegten Adressen. Damit ist eine Hürde für Hacker hinzugekommen und deine Website etwas sicherer. Mit über einer Million aktiven Installationen und einem Durchschnittsrating von 4,9 Sternen (bei über 2.000 Bewertungen!) hat sich das Plugin in der Praxis bewiesen.

WP Hide & Security Enhancer

Hide WP Admin Plugin WP Hide Security Enhancer
Eine weitere Alternative ist das etwas sperrigere Plugin WP Hide Security Enhancer.

Dieses kostenlose Plugin versteckt die Tatsache, dass deine Website mit WordPress läuft. Ob das prinzipiell sinnig ist, sei dahingestellt (mit einem Tool wie BuiltWith lässt sich das dann doch schnell wieder ans Licht bringen), ändert aber im gleichen Zug die URLs /wp-admin und /wp-login.php in eine beliebige andere URL. Über 80.000 Webmaster setzen das Plugin gegenwärtig ein, das Durchschnittsrating liegt bei 4,3 Sternen.

Keine Angst vorm bösen Code: Absichern mit der .htaccess

Wenn du verstecken möchtest, dass es sich bei deiner Website um eine WordPress Installation handelt, dann kannst du das über über Plugins wie WPS Hide Login tun. Oder aber du machst dich direkt an der .htaccess Datei zu schaffen. Sie ist eine der wichtigsten Dateien für WordPress Installationen, die auf Apache Servern laufen. In der .htaccess wird zum Beispiel definiert, welche Dateien und Verzeichnisse deiner Website sichtbar sind und wer worauf Zugriff hat.

.htaccess und Raidboxes

Raidboxes Websites laufen nicht auf Apache Servern, die .htaccess hat somit auch keinen Einfluss auf den Webserver. Wenn du dein WordPress Hosting bei Raidboxes hast, kannst du unsere Login Protection verwenden.

Mit kleinen Änderungen in dieser Datei kannst du deiner Website eine Extraschicht Sicherheit verpassen. Konkret fügst du dazu einzelne Codeschnipsel ein, die etwa den Zugang zu wp-config.php einschränken oder bestimmte IPs blockieren. Ich empfehle dir, vor jeder Änderung unbedingt ein Backup dieser Datei zu machen – sollte etwas schiefgehen, kannst du dann schnell und einfach zum ursprünglichen Zustand zurückkehren. Und bei der .htaccess kann schon ein kleiner Fehler im Code reichen, um deine Website lahmzulegen.

Variante 1: Nur bestimmte IPs erlauben

Mit einer .htaccess lässt sich prinzipiell jedes Verzeichnis schützen – in diesem Fall möchtest du gezielt den Adminbereich absichern. Deshalb lädst du eine neue .htaccess im Verzeichnis wp-admin hoch. Wenn du nämlich stattdessen im Hauptverzeichnis von WordPress festlegst, dass nur bestimmte IPs Zugriff haben, schließt du alle anderen von deiner gesamten Website aus statt nur vom Adminbereich.

In der .htaccess des Adminverzeichnisses hast du nun die Möglichkeit, spezifische IPs vom Zugriff auf ebendieses Verzeichnis zu blockieren. Wenn du selbst eine statische IP benutzt, empfiehlt es sich, alle IPs außer deiner eigenen auszuschließen. So hast nur noch du selbst Zugang zum Adminbereich.

Das Gleiche kannst du übrigens machen, um IPs von der Website wp-login.php auszuschließen. Nicht autorisierte IPs können so zum Beispiel zu einer 404-Seite (oder einer anderen Seite deiner Wahl) weitergeleitet werden und gelangen gar nicht mehr zur Loginmaske. Das lässt sich über das Einfügen des entsprechenden Codes bewerkstelligen.

  • Im WordPress Codex ist beschrieben wie du einzelne Verzeichnisse deiner WordPress Installation schützen kannst
  • Die Kollegen von WP-Beginner zeigen im Detail, wie du den WP-Admin über die .htaccess schützt
  • Der Pluginhersteller wpmudev zeigt in einem umfassenden Guide, wie du die .htaccess zum Schutz deiner Websites nutzen kannst

Variante 2: Passwortschutz konfigurieren (bzw. Zwei-Faktor-Authentifizierung)

Eine weitere und sehr häufig genutzte Möglichkeit, den Adminbereich mit der .htaccess zu schützen, ist das Anlegen einer zusätzlichen HTTP-Authentifizierung. Der Server verlangt dann schon entsprechende Zugangsdaten, um überhaupt zu deiner WordPress Loginseite zu gelangen.

Das bedeutet zwar etwas mehr Aufwand für dich beim Einloggen, aber viele Angreifer werfen an dieser Stelle die Flinte ins Korn. Brute Force Attacken werden damit schon abgeblockt, bevor sie überhaupt begonnen haben. Allerdings ist auch dieser Schutz nicht komplett narrensicher, da viele Angriffe über die XMLrpc-Schnittstelle laufen. Über diese standardmäßig implementierte Schnittstelle können Hacker DDoS-und Brute Force Angriffe laufen lassen. Die Angriffe gleichen denen auf die wp-admin Seite, allerdings können hier Hunderte von Kombinationen aus Logins und Passwörtern gleichzeitig angefragt werden. Deshalb muss an dieser Stelle gesagt werden, dass der sinnvollere Schutz nicht ein zusätzlicher Login ist, sondern eine Zwei-Faktor-Authentifizierung

Um aber einen zusätzlichen Passwortschutz einzubauen, brauchst du neben der .htaccess eine weitere Datei, und zwar die sogenannte .htpasswd. Sie enthält die Zugangsdaten, die du zum Authentifizieren brauchst. Um sie anzulegen, kannst du entsprechende Online-Tools nutzen. Sie verschlüsseln dein Wunschpasswort (zum Beispiel Günterdergroße86) nach dem MD5-Format (Günterdergroße86 sieht dann so aus: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 gehört zu den fünf Passwortformaten, mit denen der Apache Server arbeiten kann. Merken musst du dir am Ende aber nur das unverschlüsselte Passwort – den Rest übernimmt der Server automatisch.

Die so erzeugte .htpasswd wird auf die gleiche Ebene gelegt wie die .htaccess, im Regelfall die oberste Verzeichnisebene des WordPress Verzeichnisses.

In der .htaccess definierst du nun, dass die HTTP Authentifizierung beim Zugriff auf wp-login.php stattfinden soll, und stellst über einen Codeschnipsel eine Verknüpfung zur .htpasswd her. So kann der Server auf die vorher festgelegten Zugangsdaten in der anderen Datei zugreifen. Wie das geht, wird beispielsweise hier erklärt.

Die .htaccess legt dann fest, dass für den Zugriff auf /wp-login.php eine Autorisierung notwendig ist, und wo der Server die entsprechenden Zugangsdaten findet (nämlich in der .htpasswd). Zusätzlich verbietest du damit den Zugriff auf die .htaccess, die .htpasswd und wp-config.php, um zu gewährleisten, dass niemand außer dir deine Installation neu konfigurieren kann.

Wirkt alles recht umständlich? Ist es auch. Zudem kann es passieren, dass dieser zusätzliche Passwortschutz die Kompatibilität von Plugins beeinträchtigt. Deshalb würde ich immer zu einer Zwei-Faktor-Authentifizierung raten. Diese ist schnell über ein Plugin eingerichtet und bietet zudem noch mehr Schutz vor unerlaubtem Eindringen. Denn die Authentifizierungscodes werden über ein externes System übermittelt.

*“ zeigt erforderliche Felder an

Ich möchte den Newsletter abonnieren, um über neue Blogbeiträge, E-Books, Features und News rund um WordPress informiert zu werden. Meine Einwilligung kann ich jederzeit widerrufen. Bitte beachte unsere Hinweise zum Datenschutz.
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Fazit: Den WP-Admin zu verstecken, kann sehr viel Arbeit sein – und bringt eher kosmetischen Nutzen

Im Idealfall schützt du deinen WP-Adminbereich auf möglichst schlanke Art. Ein großes Sicherheitsplugin solltest du dafür nur installieren, wenn du auch seine anderen Funktionen sinnvoll konfigurierst und einsetzt. Wenn es dir also nur um das Verstecken des WP-Admin geht, raten wir zu einem möglichst schlanken Plugin wie WPS Hide Login. Alles andere wäre Overkill.

Als eigene Sicherheitsmaßnahme ist das Verstecken des WP-Admin ohnehin vernachlässigbar. Prinzipiell gilt zudem: Kein Plugin ersetzt ein starkes Passwort und das Wissen um die wichtigsten WordPress Sicherheitslücken. Und jedes neue Plugin birgt die Gefahr, Sicherheitslücken im Code mitzubringen. Es ist daher wichtig, genau abzuwägen, welche und wie viele du installierst.

Den hundertprozentigen Schutz gibt es für keine Website. Unserer Meinung nach bringt das Verstecken des wp-admin Bereichs kein echtes Mehr an Sicherheit. Es kann aber enorm zur gefühlten Sicherheit beitragen. Vor allem, wenn du im Kundenauftrag arbeitest, solltest du die Macht der Kundenwahrnehmung nicht unterschätzen. Als einzige oder zentrale Sicherheitsvorkehrung reicht es aber auf keinen Fall aus. Wenn die veränderte URL aber als eine von vielen Schichten deines Sicherheitssystems designt wird, kann sie dein Sicherheitskonzept durchaus sinnvoll ergänzen.

Hat dir der Artikel gefallen?

Mit deiner Bewertung hilfst du uns, unsere Inhalte noch weiter zu verbessern.

18 Kommentare zu “WP-Admin verstecken: Wie effektiv sind WPS Hide Login & Co. wirklich?

  1. Ich habe das WPS Hide Login Widget installiert, ohne aber irgendwas einzurichten. Nun komme ich nicht mehr ins Backend o.O … Gibt es bei WPS Hide Login eine Standard Einstellung sodass ich mich einloggen kann?

  2. Ich bin wirklich dankbar für all diese großartigen Tipps! Da ich selbst einige Blogs betreibe, die gelegentlich thematisch durcheinander geraten, werde ich definitiv einige dieser Ratschläge beherzigen. Besonders interessiert mich, wie man den WP-Admin-Bereich geschickt verstecken könnte, um Ablenkungen zu minimieren. Übrigens, aus meiner eigenen SEO-Erfahrung kann ich hinzufügen, dass eine klare Trennung der Themenbereiche nicht nur die Leserfreundlichkeit erhöht, sondern auch für eine bessere Sichtbarkeit in Suchmaschinen sorgen kann.

  3. Interessanter Artikel, wobei ich kein Profi bin. Allerdings nervt es mich immer mehr, wenn alles schlecht geredet und als sinnlos dargestellt wird. Meine Wohnung oder mein Auto schließe ich ja auch ab, obwohl es für Profis sicher kein Problem ist dort reinzukommen. Wer es darauf anlegt, der schafft es auch, aber man sollte es grundsätzlich schwieriger machen. Genauso sehe ich es auch bei WordPress. Nach meiner Meinung macht es schon Sinn, den /wp-admin Bereich zu verstecken oder zu verschleiern, da es so für potenzielle Angreifer schwieriger wird. Am Anfang habe ich es auch mit einer zusätzlichen Passwortabfrage über die htaccass Datei gelöst. Auf Dauer war mir das aber zu nervig, immer ein weiteres Passwort mit Benutzer eingeben zu müssen, so dass ich dies nun folgendermaßen mit einem Access Cookie gelöst habe. Um auf den Admin Bereich zu gelangen, wird vorher eine andere Seite aufgerufen, die dann auf die /wp-admin umleitet, so dass ich mich nun anmelden kann. Ruft jemand die /wp-admin direkt auf, bekommt er nur eine Fehlerseite, so dass es auf den ersten Blick so aussieht, als ob die Seite nicht vorhanden ist. Ich denke mal, dass ich damit schon mal einen Großteil abwehren kann.

  4. Die Barriere mit einer weiteren Passwort-Abfrage durch den .htaccess-Schutz hat sich bewährt.
    In der Regel brechen Brute-Force Versuche sofort ab.
    Als Ergänung zu dem Artikel:
    Die Passwort-Abfrage vom Apache kostet nur einen Bruchteil der Systemleistung, die ein Login-Versuch bei WordPress selbst beansprucht. Und der Apache meldet nicht zurück, ob man mit dem richtigen User probiert. Warum dieser Unsinn noch bei WordPress drin ist, verstehe ich nicht.

    Und noch ein Hinweis: Gegen richtige dumme, aber leider durchaus erfolgreiche Brute Forece Angriffe hilft es schon mal, keinen User admin anzulegen. Der Admin-Account kann ruhig anders heißen. Das ist kein echter Schutz, aber Angriffe auf WordPress werden normalerweise mit der Giesskanne gemacht und da führt oft schon die kleinste Hürde dazu, dass sich die Angreifer einer anderen Seite widmen.

  5. Toller Artikel mit interessanten Kommentaren. Ich vertrete auch eher die Meinung, dass viele Angreifer durch ein nicht auffinden der Login-Seite weiterziehen und sich nicht den Aufwand machen die Seite zu suchen. Gerade im Falle von vollständig automatisierten Angriffen.

  6. Kann mir jemand sagen wo die Änderungen in der URL dann hinterlegt sind. Mal ganz böse gesagt man wird trotzdem gehackt, der Hacker ändert die URL und sperrt einem dann aus.
    Steht die neue URL irgendwo in der Datenbank, so dass man diese ggf über die Datenbank ändern könnte, oder wo genau steht die Änderung im Klartext?

  7. Die Sache mit der .htaccess hat sich bewährt. Auf Seiten, die irgendeinen Login brauchen, kann man noch Plugins wie „Limit Login Attempts Reloaded“ zusätzlich einsetzen und die Banndauer einfach auf 12 Monate hochsetzen, dann ist deutlich Ruhe!

    Wie macht man das bei Raidboxes ohne .htaccess?

    1. Hi Matthias,
      vielen Dank für deinen Input. Bzgl. deiner Frage: Unser Technik-Team arbeitet aktuell an einer Lösung dafür. Sobald das Feature live ist, geben wir dir hier Bescheid.
      LG aus Münster
      Leefke

  8. Hey, Interessanter Beitrag zum Schutz von WordPress. Ich habe den Artikel erst jetzt gefunden. Aber ich werde mir überlegen ob ich meinen WP Bereich verstecke, damit ich meine Seite vor Hackern schützen kann.

    Toller Beitrag, tolle Seite. Weiter so!

  9. Ich habe eine Idee gegen BrutForce entwickelt.
    Kontaktiert hab ich heiße.de, den CCC und in Ösiland die FH Hagenberg.
    Niemanden interessiert es.

    Dann ärgert euch weiterhin…

    1. Prinzipiell sind die Aussagen im Artikel korrekt. Wir selbst nutzen aber dennoch WPS Hide Login für alle WordPress-Seiten, die wir erstellen. Das beschränkt wenigstens die Abzahl derer, die angreifen können. Zudem ist das Plugin schlank und schadet nicht. Nur sollte man das eben nicht als einzige bzw. überhaupt als Sicherheitsmaßnahme betrachten.

  10. Hallo,

    auch wenn der Artikel schon älter ist, gefunden habe ich den jetzt erst.

    Zitat: „Ein versteckter Adminbereich hält Angreifer nicht von einer Attacke ab, sondern verlängert nur die Arbeitszeit, die aufgewendet werden muss, um die Attacke durchzuführen.“

    Das ist falsch, wenn man es richtig umsetzt braucht er sich nach dem ersten Versuch gar keine Arbeit mehr zu machen weil er gar nicht mehr auf die WP Installation kommt.

    WPS Hide Login installieren. Login URL ändern.
    fail2ban installieren, Regel erstellen und man hat nach dem ersten Versuch Ruhe.
    Wer dann geziehlt die wp-login.php aufruft, bekommt einen 404, fail2ban prüft die Logs und sperrt die IP nach nur einem Versuch.

    Sicherheit ist immer ein ausgewogenes Zusammenspiel von Technik.

    1. Hallo Christian,

      Tools wie fail2ban würde ich nur sehr vorsichtig einsetzen, da sie einige Nachteile und Risiken haben:

      1. Angreifer nutzen oft grosse Botnets und dann kommt jeder Login-Versuch von einer anderen IP. Die Sperre bringt in diesen Fällen daher nicht viel, erhöht nur etwas den Aufwand für den Angreifer.

      2. Die genutzten IPs aus Botnets gehören oftmals Privatpersonen oder Unternehmen und diese können auch als legitime Besucher auftreten, du sperrst sie mit fail2ban aber dauerhaft aus.

      3. Viele IP-Adressen werden zudem dynamisch vergeben und du weist nie, wer sie nach dem Angreifer nutzt. Auch hier sperrst du eventuell legitime Besucher aus.

      4. Zudem stellt jedes zusätzliche Plugin ein nicht unerhebliches Sicherheitsrisiko dar, gerade wenn es sich in einen sensiblen Prozess, wie den Login, einhängt…

      Viele Grüsse
      Marco

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert