WP-Admin verstecken

WP-Admin verstecken: Beliebt, aufwändig und nicht sonderlich effektiv

Beinah jeder weiß, wie die Login-Schranke zum Admin-Bereich bei WordPress standardmäßig zu erreichen ist. Da mehr als 30 Prozent aller Webseiten mit WordPress laufen, ist es für Hacker ein Leichtes die Loginbereiche dieser Seiten zu finden und zu attackieren. Genau deshalb gehören entsprechende Hacks, wie Brute Force Attacken, zu den häufigsten Angriffen auf WordPress-Seiten überhaupt. Eine einfache Schutzmaßnahme scheint da das Verstecken des WP-Adminbereichs zu sein. Ich zeige dir heute, wie sinnvoll diese Technik ist und wie du sie umsetzen kannst.

Brute Force Attacken sind die wahrscheinlich häufigste Angriffsart auf WordPress-Seiten überhaupt. Allein der Sicherheitsanbieter Wordfence maß 2017 in einigen Monaten diesen Jahres fast 1 Mrd. solcher Angriffe – die Dunkelziffer noch nicht eingerechnet. Um das Sicherheitsrisiko durch Brute Force Attacken einzudämmen, ist es prinzipiell sinnvoll, Loginversuche nach zu vielen missglückten Anläufen einzuschränken. Darüber hinaus setzen viele WordPress-Webmaster noch eine andere Methode ein: sie verschieben den WP-Admin-Bereich, sodass dieser nicht mehr unter dem Suffix wp-admin zu finden ist.

Viele Sicherheitsplugins bieten daher eine entsprechende Funktion an. Wer kann wagt sich auch an die .htaccess-Datei. Doch das Verstecken des WP-Admin-Bereichs für sich ist noch keine richtig gute Sicherheitsmaßnahme. Es kann aber eine sinnvolle Ergänzung sein.

Deshalb zeige ich dir heute:

WP-Admin verstecken: Was bringt das Ganze?

Hinter der Idee, den WP-Adminbereich zu verstecken, steht das Prinzip security through obscurity (“Sicherheit durch Obskurität/Unklarheit”) – der Gedanke, dass die Sicherheit eines Systems stärker ist, solang seine Funktionsweise geheim bleibt. Oder anders: Wenn der Angreifer nicht weiß wo deine Eingangstür ist, kann er zwar um dein Haus schleichen, aber nicht einbrechen.

Security through obscurity – in der Praxis ein zahnloser Tiger

Dieser Ansatz wird unter Experten kontrovers diskutiert – und das nicht ohne Grund. Dass eine Information sicher ist, bedeutet in diesem Fall nicht, dass man überhaupt nicht mehr auf sie zugreifen kann. Sie ist vorhanden – aber eben versteckt. Mit den richtigen Tools können Hacker deine Login-Seite aber immer noch finden, wenn sie es drauf anlegen.

Und hier kommt das eigentliche Problem mit security through obscurity ins Spiel: Oftmals wird der Ansatz verwendet, um Probleme zu kaschieren, die man stattdessen ganz aus dem Weg räumen sollte. Lautet dein Admin-Name admin und dein Passwort Passwort123!, ist der Hacker im Handumdrehen in deinem Backend, wenn er deine versteckte Login-Seite gefunden hat.

Kurz gesagt: Ein versteckter Adminbereich hält Angreifer nicht von einer Attacke ab, sondern verlängert nur die Arbeitszeit, die aufgewendet werden muss, um die Attacke durchzuführen. Leider ist es aber unmöglich komplett zu verschleiern, dass es sich bei deinen WordPress-Projekten um WordPress-Seiten handelt. Das Verstecken des WP-Admin  sollte also auf keinen Fall deine einzige Sicherheitsmaßnahme sein. Wer es zielgerichtet auf dich abgesehen hat, den schlägt das nämlich nicht in die Flucht.

Das Konzept security through obscurity ist deshalb im Idealfall eine von vielen Schichten deines Sicherheitskonzepts. Limit Login Attempts (LLA), ein starkes Passwort samt Zwei-Faktor-Authentifizierung und – falls du letztendlich eines einsetzt – ein sauber konfiguriertes Sicherheits-Plugin sind ein sinnvoller Mix. Das Verstecken des Admin-Bereichs ist hierbei nur das i-Tüpfelchen.

In manchen Fällen macht das Verstecken des WP-Admin dennoch Sinn

Nun gibt es aber tatsächlich einige Situationen, in denen es durchaus Sinn machen kann, den WP-Admin zu verstecken:

  • Das Verstecken des WP-Admin hat einen starken Einfluss auf die gefühlte Sicherheit einer WordPress-Seite. Gerade wenn du im Kundenauftrag arbeitest macht ein versteckter WP-Admin somit Sinn, um das Sicherheitsempfinden deines Kunden zu maximieren.
  • Wenn Hacker einen Brute Force Angriff auf deine Seite starten, kann es sein, dass dein Webserver allein durch die hohe Anzahl der Anfragen „überhitzt“. Verschiebst du den Admin-Bereich, nimmst du zumindest primitiven Brute Force Attacken schon zu Beginn den Wind aus den Segeln.
  • Manchen Kunden kannst du durch das Verstecken des Adminbereichs positiv überraschen, bspw. wenn du ihn unter /Name-des-Unternehmens verschiebst. Somit kannst du einen kleinen aber feinen Brandingeffekt bewirken.

Du siehst schon: Diese Maßnahmen sind eher kosmetischer Natur. Aber auch eine höhere gefühlte Sicherheit kann manchmal schon helfen. Deshalb zeige ich dir im Folgenden, wie du deinen WP-Admin mit und ohne Plugins absichern kannst.

Plugins nur zum Admin-Verstecken einsetzen, lohnt sich nicht

Große Sicherheits-Plugins bieten neben zahlreichen anderen Funktionen auch die Möglichkeit, den Admin-Bereich und die genaue Natur deiner Seite zu verstecken. Wie schon gesagt sehe ich das kritisch: Ein sperriges Plugin zu installieren, nur um eine URL zu ändern, löst nicht alle deine Probleme mit einem Schlag. Nur nach einer gründlichen Auseinandersetzung mit dem Thema kannst du entscheiden, welche Sicherheitsmaßnahmen für dein Projekt überhaupt Sinn machen.

In Sachen Plugins hast du aber prinzipiell zwei Optionen:

  • schlanke Plugins, die nur für das Verstecken des Login-Bereichs entwickelt wurden
  • Plugins, die das Verstecken des Login-Bereichs mitliefern, aber noch wesentlich mehr können

Umfassende Sicherheits-Plugins sind durch ihre erweiterte Funktionalität sperriger. Deshalb sind sie prinzipiell nur sinnig, wenn du weißt, was du damit erreichen möchtest: zum Beispiel ganz bestimmte IPs aussperren, die Web Application Firewall (WAF) nutzen oder vom Reporting der Plugins profitieren. Ein großes Plugin nur zu installieren, um den Adminbereich zu verstecken, ist dagegen Overkill. Deine Ladegeschwindigkeit leidet und du hast unterm Strich kaum Mehrwert. Und ein Ersatz für die Auseinandersetzung mit Sicherheitsfeatures ist das auch nicht.

Den Adminbereich mit einem Plugin zu verstecken ist also grundsätzlich nur dann ratsam, wenn du es ohne größere Performance- oder Funktionseinbußen nutzen kann – quasi als nice to have. Extra dafür ein großes Plugin wie iThemes Security oder Wordfence zu installieren, würde ich nicht empfehlen.

Hier stattdessen ein paar schlankere Alternativen, um deinen Adminbereich zu verstecken:

WP-Admin verstecken mit dem WPS Hide Login Plugin
Der WP-Admin lässt sich zum Beispiel mit dem WPS Hide Login Plugin verstecken.

WPS Hide Login

Dieses kostenlose Plugin tut genau eine Sache: Es ändert die beiden URLs /wp-admin und /wp-login.php zu von dir festgelegten Adressen. Damit ist eine Hürde für Hacker hinzugekommen und deine Seite etwas sicherer. Mit über 100.000 aktiven Installationen und einem Durchschnittsrating von 4,5 Sternen hat sich das Plugin in der Praxis bewiesen.

WP-Admin versteckenn mit dem Plugin Protect Your Admin
Optional dazu funktioniert das auch mit dem Plugin Protect Your Admin.

Protect Your Admin

Das Plugin gehört, trotz einiger weiterer Funktionen, zu den schlankeren auf dem Markt und erlaubt es dir, eine Custom-URL für /wp-admin und /wp-login.php anzugeben. Wer versucht, die beiden Seiten aufzurufen, landet stattdessen auf deiner Startseite. 20.000 Nutzer haben dieses Plugin gegenwärtig installiert, das durchschnittliche Ranking liegt bei 3,9 Sternen. Ein kostenpflichtiges Upgrade schaltet einige zusätzliche Funktionen wie einen Login Attempt Counter frei.

WP-Admin verstecken mit dem Cerber Security Plugin
Auch das Cerber Security Plugin bewacht den WP-Admin.

Cerber Security & Limit Login Attempts

Dieses Plugin versteckt unter anderem /wp-login.php und zeigt stattdessen eine 404-Fehlernachricht an. Es kann aber noch wesentlich mehr – deshalb lohnt sich die ausführliche Auseinandersetzung mit dem Tool. Das Rating liegt aktuell bei 4,9 Sternen und es gibt rund 40.000 aktive Nutzer. Das Plugin ist kostenlos.

WP-Admin verstecken mit dem WP Hide Security Enhancer Login
Eine weitere Alternative ist das etwas sperrigere Plugin WP Hide Security Enhancer.

WP Hide & Security Enhancer

Dieses kostenlose Plugin versteckt die Tatsache, dass deine Webseite mit WordPress läuft. Ob das prinzipiell sinnig ist, sei dahingestellt (mit einem Tool wie BuiltWith lässt sich das dann doch schnell wieder ans Licht bringen), ändert aber im gleichen Zug die URLs /wp-admin und /wp-login.php in eine beliebige andere URL. Über 10.000 Webmaster setzen das Plugin gegenwärtig ein, das Durchschnittsrating liegt bei 4,4 Sternen.

Keine Angst vorm bösen Code: Absichern mit der .htaccess

Wenn du verstecken möchtest, dass es sich bei deiner Seite um eine WordPress-Installation handelt, dann kannst du das über einige der gerade aufgezählten Plugins tun. Oder aber du machst dich direkt an der .htaccess-Datei zu schaffen. Sie ist eine der wichtigsten Dateien von WordPress-Installationen, die auf Apache-Servern laufen (Achtung: RAIDBOXES-Seiten laufen nicht auf Apache-Servern, die .htaccess hat somit auch keinen Einfluss auf den Webserver). In der .htaccess wird zum Beispiel definiert, welche Dateien und Verzeichnisse deiner Seite sichtbar sind und wer worauf Zugriff hat.

Mit kleinen Änderungen in dieser Datei kannst du deiner Webseite eine Extraschicht Sicherheit verpassen. Konkret fügst du dazu einzelne Codeschnipsel ein, die etwa den Zugang zu wp-config.php einschränken oder bestimmte IPs blockieren. Ich empfehle dir, vor jeder Änderung unbedingt ein Backup dieser Datei zu machen – sollte etwas schiefgehen, kannst du dann schnell und einfach zum ursprünglichen Zustand zurückkehren. Und bei der .htaccess kann schon ein kleiner Fehler im Code reichen, um deine Seite lahmzulegen.

Variante 1: Nur bestimmte IPs erlauben

Mit einer .htaccess lässt sich prinzipiell jedes Verzeichnis schützen – in diesem Fall willst du gezielt den Admin-Bereich absichern. Deshalb lädst du eine neue .htaccess im Verzeichnis wp-admin hoch. Wenn du nämlich stattdessen im Hauptverzeichnis von WordPress festlegst, dass nur bestimmte IPs Zugriff haben, schließt du alle anderen von deiner gesamten Seite aus statt nur vom Admin-Bereich.

In der .htaccess des Admin-Verzeichnisses hast du nun die Möglichkeit, spezifische IPs vom Zugriff auf ebendieses Verzeichnis zu blockieren. Wenn du selbst eine statische IP benutzt, empfiehlt es sich, alle IPs außer deiner eigenen auszuschließen. So hast nur noch du selbst Zugang zum Admin-Bereich.

Das gleiche kannst du übrigens machen, um IPs von der Seite wp-login.php auszuschließen. Nicht autorisierte IPs können so zum Beispiel zu einer 404-Seite (oder einer anderen Seite deiner Wahl) weitergeleitet werden und gelangen gar nicht mehr zur Login-Maske. Das lässt sich über das Einfügen des entsprechenden Codes bewerkstelligen.

  • Im WordPress Codex ist beschrieben wie du einzelne Verzeichnisse deiner WordPress-Installation schützen kannst
  • Die Kollegen von WP-Beginner zeigen en Detail wie du den WP-Admin über die .htaccess schützt
  • Der Pluginhersteller wpmudev zeigt in einem umfassenden Guide, wie du die .htaccess zum Schutz deiner Seiten nutzen kannst

Variante 2: Passwortschutz konfigurieren (bzw. Zwei-Faktor-Authentifizierung)

Eine weitere und sehr häufig genutzte Möglichkeit, den Adminbereich mit der .htaccess zu schützen, ist das Anlegen einer zusätzlichen HTTP-Authentifizierung. Der Server verlangt dann schon entsprechende Zugangsdaten, um überhaupt zu deiner WordPress-Loginseite zu gelangen.

Das bedeutet zwar etwas mehr Aufwand für dich beim Einloggen, aber viele Angreifer werfen an dieser Stelle die Flinte ins Korn. Brute Force Attacken werden damit schon abgeblockt, bevor sie überhaupt begonnen haben. Allerdings ist auch dieser Schutz nicht komplett narrensicher, da viele Angriffe über die XMLrpc-Schnittstelle laufen. Über diese standardmäßig implementierte Schnittstelle können Hacker DDoS-und Brute Force Angriffe laufen lassen. Die Angriffe gleichen denen auf die wp-admin-Seite, allerdings können hier hunderte von Kombinationen aus Logins und Passwörtern gleichzeitig angefragt werden. Deshalb muss an dieser Stelle gesagt werden, dass der sinnvollere Schutz nicht ein zusätzlicher Login ist, sondern eine Zwei-Faktor-Authentifizierung

Um aber einen zusätzlichen Passwortschutz einzubauen brauchst du neben der .htaccess eine weitere Datei, und zwar die sogenannte .htpasswd. Sie enthält die Zugangsdaten, die du zum Authentifizieren brauchst. Um sie anzulegen, kannst du entsprechende Online-Tools nutzen. Sie verschlüsseln dein Wunschpasswort (zum Beispiel Günterdergroße86) nach dem MD5-Format (Günterdergroße86 sieht dann so aus: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 gehört zu den fünf Passwortformaten, mit denen der Apache-Server arbeiten kann. Merken musst du dir am Ende aber nur das unverschlüsselte Passwort – den Rest übernimmt der Server automatisch.

Die so erzeugte .htpasswd wird auf die gleiche Ebene gelegt wie die .htaccess, im Regelfall die oberste Verzeichnisebene des WordPress-Verzeichnisses.

In der .htaccess definierst du nun, dass die HTTP-Authentifizierung beim Zugriff auf wp-login.php stattfinden soll, und stellst über einen Codeschnipsel eine Verknüpfung zur .htpasswd her. So kann der Server auf die vorher festgelegten Zugangsdaten in der anderen Datei zugreifen. Wie das geht wird beispielsweise hier erklärt.

Die .htaccess legt dann fest, dass für den Zugriff auf /wp-login.php eine Autorisierung notwendig ist, und wo der Server die entsprechenden Zugangsdaten findet (nämlich in der .htpasswd). Zusätzlich verbietest du damit den Zugriff auf die .htaccess, die .htpasswd und wp-config.php, um zu gewährleisten, dass niemand außer dir deine Installation neu konfigurieren kann.

Wirkt alles recht umständlich? Ist es auch. Zudem kann es passieren, dass dieser zusätzliches Passwortschutz die Kompatibilität von Plugins beeinträchtigt. Deshalb würde ich immer zu einer Zwei-Faktor-Authentifizierung raten. Diese ist schnell über ein Plugin eingerichtet und bietet zudem noch mehr Schutz vor Unerlaubtem Eindringen. Denn die Authentifizierungscodes werden über ein externes System übermitteln.

Fazit: Den WP-Admin zu verstecken kann sehr viel Arbeit sein – und bringt eher kosmetischen Nutzen

Im Idealfall schützt du deinen WP-Adminbereich auf möglichst schlanke Art. Ein großes Sicherheitsplugin solltest du dafür nur installieren, wenn du auch seine anderen Funktionen sinnvoll konfigurierst und einsetzt. Wenn es dir also nur um das Verstecken des WP-Admin geht, raten wir zu einem möglichst schlanken Plugin. Alles andere wäre Overkill.

Als eigene Sicherheitsmaßnahme ist das Verstecken des WP-Admin ohnehin vernachlässigbar wirkungsvoll. Prinzipiell gilt zudem: Kein Plugin ersetzt ein starkes Passwort und das Wissen um die wichtigsten WordPress-Sicherheitslücken. Und jedes neue Plugin birgt die Gefahr, Sicherheitslücken im Code mitzubringen. Es ist daher wichtig genau abzuwägen, welche und wie viele du installierst.

Den 100%igen Schutz gibt es für keine Webseite. Unserer Meinung nach bringt das Verstecken des wp-admin-Bereichs kein echtes Mehr an Sicherheit. Es kann aber enorm zur gefühlten Sicherheit beitragen. Vor allem wenn du im Kundenauftrag arbeitest, solltest du die Macht der Kundenwahrnehmung nicht unterschätzen. Als einzige oder zentrale Sicherheitsvorkehrung reicht es aber auf keinen Fall aus. Wenn die veränderte URL aber als eine von vielen Schichten deines Sicherheitssystems designt wird, kann sie dein Sicherheitskonzept durchaus sinnvoll ergänzen.

Erhalte kostenlos die neusten WP-News und OtB-Artikel!

Ja, ich bin mit der Datenverarbeitung einverstanden.

Wenn du fortfährst, stimmst du unserer Cookie-Richtlinie zu.