WP-Login: So kannst du Styling und Sicherheit optimieren

WP-Login: So kannst du Styling und Sicherheit optimieren

Standardmäßig ist der WordPress-Loginseite wp-admin immer gleich: Benutzername und Passwort eingeben, WordPress genießen. Doch in manchen Fällen kann es sinnvoll sein, das WP-Login-Fenster zu optimieren, abzusichern oder anzupassen.

Wenn du WordPress kennst, weißt du: Den Login findest du immer unter /wp-admin/ – und er sieht immer gleich aus. Benutzername und Passwort eintippen, schon bist du in der WordPress-Verwaltungsoberfläche. Das ist praktisch, allerdings auch alles andere als hübsch oder sicher. Und falls du etwa Kundenprojekte betreust oder selbst eine Community-Site oder einen Webshop mit WordPress erstellen willst, kann es durchaus sinnvoll sein, die Login-Seite von WordPress anzupassen und abzusichern, damit die Seite zum Beispiel nicht mehr auf den ersten Blick als WordPress erkennbar ist.

Jeder kennt es: Das Standard-Login-Fenster von WordPress.

WordPress-Login umbenennen

Die einfachste Methode, für mehr Sicherheit beim Login zu sorgen, ist, den Standardpfad des WordPress-Login-Fensters zu verschieben. Statt unter /wp-admin/ an eine andere Stelle. Dadurch ist deine Seite einerseits nicht mehr so leicht als WordPress-Installation zu erkennen. Andererseits nimmst du auch Angreifern, die versuchen, deine Site per Brute-Force-Angriff zu knacken, den offensichtlichsten Angriffspunkt.


Das kleine Plugin Change wp-admin login erlaubt dir eine sehr einfache Änderung des Login-Pfades: Nach der Installation und Aktivierung findest du in deinen WordPress-Einstellungen unter „Permalinks“ eine neue Option, in der du bequem den Pfad deiner Login-Seite einstellen kannst. Anschließend ist sie nicht mehr unter /wp-admin/, sondern unter der von dir gesetzten URL verfügbar. Und falls du die neue URL vergisst, ist das auch nicht schlimm: Sobald du das Plugin löschst oder deaktivierst, ist wieder alles beim Alten.

Per URL-Änderung verbirgst du nicht nur, dass es sich um ein WordPress handelt, sondern du verbesserst auch die Sicherheit.

Aussehen der WordPress-Loginseite ändern

Gerade wenn du Websites baust, die nicht nur von dir, sondern auch von anderen Usern per Login verwendet werden, kann es sinnvoll sein, das Aussehen der Login-Seite – etwa für mehr Markenidentität – anzupassen. Das geht zwar auch mit größerem Aufwand direkt per HTML und CSS. Deutlich einfacher ist allerdings der Einsatz eines Plugins wie Custom Login Page Customizer: Nach der Installation und Aktivierung fügt das Plugin dem WordPress-Customizer Optionen für die Individualisierung deines WordPress-Logins hinzu.

Der Login Customizer bringt einige praktische Funktionen mit.


Im neuen Customizer-Untermenü kannst du das Login-Fenster ganz nach deinem Geschmack anpassen: Du kannst hier die einzelnen Elemente ein- und ausblenden, das Logo und die Farben wechseln oder sogar eigenen CSS- und JavaScript-Code hinzufügen. Das ist vor allem im Hinblick auf die Individualisierung deiner Seite praktisch, denn du kannst auf diese Weise Sonderfunktionen einrichten, die das Plugin normalerweise nicht bietet.

Außerdem kannst du dein Login-Fenster ganz nach deinem Geschmack gestalten.

Mit einem Klick auf „Veröffentlichen“ ist dein neues Login-Fenster online. Auch dieses Plugin ändert nur etwas, solange es aktiv ist: Schaltest du es ab, verschwinden auch die Änderungen wieder. Einziger Nachteil derzeit: Das Plugin ist derzeit noch nicht komplett auf Deutsch übersetzt, du kannst aber bei der Übersetzung helfen.

Social-Login anbieten

Wenn du eine WordPress-Site mit mehreren Benutzern aufbaust – etwa eine Community-Seite oder einen Webshop – kann es sinnvoll sein, einen sogenannten Social Login anzubieten: Dabei handelt es sich um die Möglichkeit für deine Nutzer, sich einfach mit einem bereits vorhandenen Konto bei einem größeren Social-Network-Dienst wie Facebook, Google oder TikTok oder einfach einem Benutzerkonto wie Amazon, Apple oder Microsoft auf deiner Seite anzumelden. Hierbei hilft das Plugin Nextend Social Login: Es bietet Unterstützung für alle wichtigen Dienste, in der Gratis-Version sind Facebook, Google und Twitter an Bord.

Nextend Social Login unterstützt zahlreiche Dienste. Facebook, Google und Twitter kannst du in der Gratis-Version zum Login verwenden.

Um einen Social-Login für deine Website hinzuzufügen, musst du zunächst beim jeweiligen Anbieter einen API-Zugriff einrichten. Manche Anbieter nennen es API, manche App, letztlich gemeint ist aber immer das gleiche: Du richtest auf einer Entwicklerseite des jeweiligen Anbieters die Verknüpfung mit der API ein.

Die Einrichtung ist ein wenig anspruchsvoll, da du bei den jeweiligen Diensten API-Schlüssel anlegen musst und daher nur sinnvoll, wenn du viele User hast, die sich anmelden.

Den Zugang zu dieser Entwicklerseite musst du je nach Anbieter zunächst beantragen, in aller Regel ist das aber kostenlos. Nextend Social Login gibt dir detaillierte Anleitungen, wie du bei den einzelnen Diensten vorgehen musst. Am Ende geht es darum, einen OAuth-Zugang einzurichten, der aus einem langen API-Key und einem „Secret“ besteht. 

Ist das Plugin korrekt eingerichtet, können sich deine User mit Google und Co. anmelden.

Wir empfehlen, zunächst Google und Facebook einzurichten, weil diese beiden Services einerseits im Plugin kostenlos und andererseits weit verbreitet sind. 

WordPress-Login-Versuche beschränken

Grundsätzlich ist es immer sinnvoll, den WordPress-Login – neben dem Verschieben der URL – weiter abzusichern. Das größte Risiko sind automatisierte oder händische Brute-Force-Angriffe auf dein Login-Fenster, um dein Passwort zu knacken. Das kannst du nicht verhindern, aber zusätzlich deutlich erschweren: Sorge dafür, dass jeder Besucher nur eine bestimmte Zahl von Login-Versuchen hat und danach für eine Weile gesperrt wird. Das Plugin DoLogin Securitybietet Dir diese und viele andere Sicherheitsmaßnahmen für den WordPress-Login. 

Wer sein Passwort kennt, braucht keine drei Versuche. Du kannst also bei mehr als mehr Versuchen davon ausgehen, dass jemand versucht, das Passwort deiner Website zu knacken.

Nach der Installation und Aktivierung ist die Limitierung der Login-Versuche direkt aktiv: Nach sechs Fehlschlägen wird der User 10 Minuten gesperrt. Du kannst die Menge der Versuche und den Zeitraum in den Einstellungen des Plugins festlegen, wir empfehlen dir bei einer Seite mit wenigen Usern, die sich einloggen, eine strengere Regelung als in den Voreinstellungen: Drei Fehlversuche, 15 Minuten Sperre. Wenn du eine große Site mit vielen Usern, die sich einloggen hast, solltest du etwas milder sein und zum Beispiel nach fünf Fehlversuchen fünf Minuten sperren.

Neben der Beschränkung der Login-Versuche erlaubt DoLogin Security auch weitere Sicherheitsmaßnahmen, darunter die 2-Faktor-Authentifizierung, White- und Blacklists sowie das Einfügen eines Captchas und sorgt auf diese Weise für ein Maximum an Sicherheit im Login-Fenster von WordPress.

Direkt mit WordPress durchstarten:

Zu den WordPress-Paketen
Schlagworte:

Teilen

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen