Wie Sie Ihre WordPress-Login-URL finden & sie aus Sicherheitsgründen aktualisieren

Starke, einzigartige Passwörter können helfen, unbefugten Zugriff auf die WordPress-Website Ihres kleinen Unternehmens zu verhindern.

Angreifer haben jedoch mehrere clevere Methoden, um sie zu umgehen.

Genau wie unermüdliche Jugendliche, die jede Kindersicherungsmaßnahme zu überlisten scheinen, die Sie ihnen entgegenwerfen, wissen bösartige Akteure, wie man Brute-Force-Angriffe durchführt und Hintertüren durch weniger sichere Plugins findet.

Und, voilà, sie sind auf Ihrer Seite und stehlen Daten schneller als ein Kleinkind jede Schublade in Ihrer Küche herausziehen und leeren kann (sprich, unglaublich schnell).

Mit anderen Worten, Passwörter sind oft nicht ausreichend, um Ihre Website effektiv vor Angriffen zu schützen.

Glücklicherweise gibt es eine relativ einfache Maßnahme, die Sie ergreifen können, um das Risiko zu verringern, dass Hacker in Ihre Seite eindringen — das Verschieben Ihrer WordPress-Anmeldeseite auf eine neue URL. Dies wird Sie in eine bessere Position bringen, um sich gegen Hacks und Angriffe zu verteidigen.

Wenn Sie sich nicht gut mit WordPress auskennen, wird dies wahrscheinlich nicht viel Sinn machen. Deshalb wird dieser Artikel genauer darauf eingehen, warum Sie in Erwägung ziehen sollten, Ihre WordPress-Login-URL zu ändern, wie Sie Ihre Login-URL finden, wenn Sie sie aus den Augen verloren haben, und, am wichtigsten — einige Möglichkeiten, sie zu ändern, um die Sicherheit zu erhöhen.

Und wenn Sie bis zum Ende dranbleiben, fügen wir auch eine Liste mit zusätzlichen Tipps zur weiteren Verstärkung Ihrer WordPress-Sicherheit hinzu.

Lassen Sie uns sichern!

Warum Sie eine Standard-WordPress-Login-URL aktualisieren sollten

Da WordPress Ihre Anmeldeseite nicht verbirgt, kann jeder Benutzer sie finden, solange er weiß, wie WordPress seine URLs strukturiert. Wenn man bedenkt, dass WordPress fast die Hälfte aller Websites im Internet betreibt, kann man davon ausgehen, dass viele Leute — insbesondere diejenigen, die wissen, wie man Websites ausnutzt — sehr vertraut mit dem üblichen WordPress-Layout sind.

Die Standardstruktur für eine Anmeldeseite sieht normalerweise ungefähr so aus:

https://example.com/wp-login.php

Dies bedeutet, dass wenn ein Benutzer Ihre Website-URL dort eingibt, wo „https://example.com/“ steht, sollte er eine Seite in seinem Browser sehen, die ihn auffordert, sich im Backend Ihrer Website anzumelden:

Natürlich werden die meisten Hacker wahrscheinlich nicht die notwendigen Anmeldeinformationen haben. Dennoch ist diese Struktur riskant, wenn Ihr Passwort allgemein, schwach oder leicht zu erraten ist. So etwas wie 123456.

Einfach ausgedrückt, ist es eine einfache Lösung für eine unnötige Sicherheitslücke.

Aus Gründen der Einfachheit bevorzugen viele Menschen diese Standardstruktur von wp-login zum Einloggen in WordPress, aber sie so zu belassen macht es Hackern leicht, auf Ihren Anmeldebereich zuzugreifen, was so ist, als würde man ihnen die Hälfte ihrer Arbeit abnehmen.

WPScan hat festgestellt, dass WordPress im Jahr 2024 mehr als 50.000 Schwachstellen aufweist. Die überwiegende Mehrheit befindet sich in WordPress-Plugins, und jedes Jahr werden Hunderte, wenn nicht Tausende weitere entdeckt.

Kurz gesagt, es ist Zeit, die Sicherheit Ihrer Website zu verstärken.

Eine erreichbare Methode, dies zu tun, ist Ihre WordPress-Login-URL zu ändern, um unbefugten Zugriff auf Ihre Website zu verhindern und das Risiko von Brute-Force-Angriffen zu verringern.

So finden Sie die Standard-WordPress-Login-Seite

Schauen Sie, wir wissen, dass Sie viel zu tun haben. Wenn Sie als kleiner Unternehmer eine Million Dinge zu erledigen haben, ist es nicht ungewöhnlich, dass Sie die URL Ihres WordPress-Login verlieren.

Wie wir im vorherigen Abschnitt erwähnt haben, verwendet WordPress eine standardmäßige Anmelde-Linkstruktur, die ungefähr so aussieht:

https://example.com/wp-login.php

Also müssen Sie nur den Suffix (diesen Teil: wp-login.php) zu Ihrer Domain hinzufügen, und Sie sollten auf Ihrer Anmeldeseite landen.

Sie können Ihre Anmeldeseite auch finden, indem Sie versuchen, auf Ihr WordPress-Armaturenbrett zuzugreifen, während Sie abgemeldet sind. Geben Sie einfach „yourwebsite.com/admin“ oder „yourwebsite.com/login“ in die Suchleiste ein und Sie sollten auf derselben Anmeldeseite landen.

Funktioniert nicht? Keine Panik.

Einige Webhosts ändern aus Sicherheitsgründen automatisch Ihre WordPress-Anmeldeseite. Daher könnten Sie bereits eine benutzerdefinierte Anmelde-URL haben. Wenn ja, zeigen wir Ihnen jetzt, wie Sie diese finden.

Benutzerdefinierte Anmelde-URL? So finden Sie sie

Wenn Ihr Webhost Ihren Anmeldelink geändert hat, können Sie ihn normalerweise in Ihrem Control Panel finden, nachdem Sie sich in Ihrem Hosting-Konto angemeldet haben.

Sollten Sie jedoch Ihre benutzerdefinierte Anmelde-URL dort nicht finden können, können Sie sie immer noch manuell finden, indem Sie sich mit einem SFTP-Client wie FileZilla verbinden.

Sie können die Zugangsdaten dafür möglicherweise in Ihrem Hosting-Konto finden oder Ihren Website-Host nach den Details fragen.

Nach der Installation des Clients und der Verbindung mit diesen Anmeldedaten sollten Sie auf einer Seite landen, die ungefähr so aussieht:

Finden Sie den als public_html gekennzeichneten Root-Ordner (Sie können ihn oben rechts auf dem Bildschirm sehen) und klicken Sie hinein, um die wp-config.php Datei zu lokalisieren. Wenn Sie ihn nicht als public_html finden können, könnte er stattdessen unter Ihrem Domain-Namen aufgeführt sein.

Öffnen Sie diese Datei auf Ihrem Computer mit einem Texteditor wie Visual Studio Code. Es ist am besten, eine Option zu verwenden, die ein Suchen-und-Ersetzen-Tool bietet. Verwenden Sie dieses Tool, um eine Zeichenfolge zu finden, die site_url enthält — dies führt Sie zu Ihrer benutzerdefinierten Anmelde-URL.

Boom, Sie haben es gefunden! Jetzt, da das erledigt ist, aktualisieren wir diese URL für eine bessere Sicherheit.

Zwei Strategien, um Ihre WordPress-Login-URL zu ändern

Jetzt, da Sie wissen, wo Sie die WordPress-Anmelde-URL finden können, werfen wir einen Blick auf zwei einfache Methoden, wie Sie diese ändern können.

Methode 1: Aktualisieren Sie Ihre WordPress-Login-URL mit einem Plugin

Die einfachste Möglichkeit, Ihre Anmelde-URL zu ändern, ist die Verwendung eines WordPress-Plugins. Glücklicherweise gibt es davon viele, um dies zu erleichtern.

WPS Hide Login ist eine großartige Option, da es leichtgewichtig ist und Ihnen ermöglicht, Ihre WordPress-Admin-Anmeldeseite sicher in beliebiges umzuändern. Noch besser, WPS Hide Login verhindert auch den Zugang aller abgemeldeten Benutzer zum wp-admin-Verzeichnis und zu wp-login.php.

Um zu beginnen, müssen Sie das Plugin installieren und aktivieren, indem Sie in Ihren WordPress-Adminbereich gehen. Klicken Sie auf Plugins > Neues Plugin hinzufügen.

Suchen Sie nach „WPS Hide Login“ und klicken Sie auf den Install Now-Button. Bleiben Sie auf dieser Seite, bis die Installation abgeschlossen ist, dann verwenden Sie den Activate Button.

Nach der Aktivierung, im Seitenmenü Ihres WordPress-Admins, gehen Sie zu Einstellungen > WPS Hide Login.

Sie werden sehen, dass Sie eine neue Login-URL erstellen können. Geben Sie, was immer Sie möchten, ein und klicken Sie auf Änderungen speichern.

Es ist so einfach wie das.

Beachten Sie, dass sobald dieses Plugin aktiv ist und Sie Ihre Änderungen vornehmen, die Nutzung der neuen URL der einzige Weg ist, um auf den Anmeldebildschirm Ihrer Website zuzugreifen.

Verlieren Sie also nicht diese URL. Und teilen Sie sie nicht öffentlich oder mit jemandem, der sie nicht unbedingt benötigt!

Denken Sie auch daran, dass Ihre Seite wieder wp-admin und wp-login.php verwendet, wenn Sie dieses Plugin deaktivieren.

Methode 2: Aktualisieren Sie Ihre WordPress-Login-URL durch Bearbeiten Ihrer wp-login.php-Datei

Diese zweite Methode ist etwas kniffliger und wahrscheinlich am besten für erfahrene Benutzer geeignet. Deshalb ist es am besten, bevor Sie mit den folgenden Schritten beginnen, eine frische WordPress-Sicherung Ihrer Website zu erstellen, falls etwas schief geht.

Es ist auch wichtig zu wissen, dass Ihre Änderungen möglicherweise auf ihre vorherigen Einstellungen zurückgesetzt werden, wenn Sie Ihr Thema aktualisieren. Wenn Sie dieses Problem vermeiden möchten, erfahren Sie, wie Sie ein WordPress Child-Theme verwenden.

Lassen Sie uns nun eintauchen.

Sie müssen auf die Dateien Ihrer Website zugreifen, genau wie wir es zuvor getan haben, als wir Ihre benutzerdefinierte Anmelde-URL verfolgt haben. Sie können dies über das Admin-Panel Ihres Website-Hosts oder SFTP tun.

Wenn es Letzteres ist, verwenden Sie Ihre Anmeldeinformationen, um sich über Ihren bevorzugten SFTP-Client mit Ihrer Website zu verbinden und suchen Sie erneut nach der Datei public_html (es könnte auch unter Ihrem Domainnamen aufgeführt sein). Darin finden Sie den Ordner wp-login.php. Der Code hinter der Anmeldeseite Ihrer Website befindet sich hier.

Öffnen Sie die Datei erneut mit Ihrem Texteditor.

Verwenden Sie das Suchwerkzeug, um jede Instanz von wp_login_url zu finden, die so aussehen wird:

Die Zeichenketten nach dem wp_login_url enthalten Ihre aktuelle Login-URL. Ändern Sie jede in die neue Login-URL, die Sie verwenden möchten.

Denken Sie daran, Sie können es einfach halten, solange es originell ist (und sich vom Standard unterscheidet). Sie könnten beispielsweise etwas wie „access.php“ oder „wp-new-login“ bevorzugen.

Sobald Sie mit Ihren Änderungen zufrieden sind, speichern Sie sie und schließen den Editor. Benennen Sie dann die Datei nach der neuen URL, die Sie gewählt haben (wie zum Beispiel „access.php“).

Hinweis: Sie können die Datei technisch gesehen benennen, wie Sie möchten, aber es ist einfacher zu verfolgen und zu merken, wenn Sie sie nach der neuen URL benennen, die Sie verwenden möchten.

Ziehen Sie die Datei von Ihrem Desktop in die public_html Datei.

Jetzt können Sie die neue Datei mithilfe Ihres FTP-Clients oder des Dateimanagers Ihres Webhosts in Ihr Root-Verzeichnis hochladen. Wir zeigen Ihnen, wie Sie dies mithilfe des WordPress „login_url“ Filter-Hooks tun.

Beginnen Sie, indem Sie zu wp-content > themes navigieren, Ihr aktives Thema auswählen und die Datei functions.php öffnen (vorzugsweise unter einem Child-Theme). Dies teilt WordPress mit, wo die neue Login-Datei „lebt“.

Hier können Sie die folgende Zeile des Codes in die Datei einfügen:

/*
*Ändern Sie die WP-Anmelde-Datei-URL mit dem „login_url“ Filter-Hook
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-deine-neue-login-datei-name.php’, ‘login’ );
return $login_url;
}

Ersetzen Sie wp-your-new-login-file-name durch den Namen der Datei, die Sie gerade erstellt haben. Dann speichern Sie Ihre Änderungen und testen Sie Ihren neuen Login.

Sie müssen den Domainnamen Ihrer Website mit Ihrer neuen Anmelde-URL am Ende eingeben.

Zum Beispiel: „https://example.com/access.php.“

Wenn Sie auf die Anmeldeseite Ihrer WordPress-Site zugreifen können, hat es funktioniert!

Und jetzt können Sie die ursprüngliche Datei wp-login.php löschen, weil die neue hinzugefügte Datei sie ersetzt hat.

Etwas zu beachten – sobald Sie Ihre Anmeldeseite aktualisiert haben, müssen Sie die Seiten aktualisieren, die auf die Referenz der wp-login.php Datei verweisen, die wir gerade gelöscht haben. Insbesondere müssen Sie den logout_url Filter und den lostpassword_url Filter aktualisieren.

4 weitere Möglichkeiten, den WordPress-Login-Prozess zu sichern

Das Ändern Ihrer WordPress-Login-URL ist großartig, um die Sicherheit Ihrer Website zu verbessern. Es ist jedoch nicht alles, was Sie tun können.

Hier sind einige zusätzliche Möglichkeiten, um Ihren WordPress-Anmeldeprozess weiter abzusichern:

1. Loginversuche begrenzen

Wenn Sie die Anmeldeversuche begrenzen, können Sie Hacker und Bots stoppen, die versuchen, auf Ihre Website zuzugreifen, indem sie Hunderte von Benutzernamen und Passwörtern ausprobieren. Mit anderen Worten, eine Brute-Force-Attacke.

Der einfachste Weg, dies zu tun, ist die Verwendung eines Plugins wie Limit Login Attempts Reloaded.

Dieses Plugin beginnt zu arbeiten, sobald es auf Ihrer Website aktiviert wird. Standardmäßig haben Benutzer vier Versuche, sich anzumelden, bevor sie aus WordPress ausgesperrt werden.

Sie können jedoch mit den Einstellungen herumspielen, die Anzahl der Wiederholungsversuche ändern, die Dauer der Sperren und mehr. Das Admin-Armaturenbrett des Plugins kann Ihnen anzeigen, wie viele Brute-Force-Angriffe vom Plugin blockiert wurden.

Und im Register “Protokolle” können Sie sogar bestimmte IP-Adressen manuell auf die Sperrliste setzen.

2. Zwei-Faktor-Authentifizierung (2FA) implementieren

2FA ist eine der am weitesten verbreiteten Sicherheitsfunktionen, die WordPress-Benutzer einsetzen.

In diesem Prozess müssen Benutzer mehr als nur ihre Anmeldeinformationen eingeben. Vor der Anmeldung müssen Benutzer auch eine zweite Berechtigung erstellen. Dies ist oft ein Code, der per SMS, E-Mail oder einer App gesendet wird.

Da Bots und Hacker nicht in der Lage sind, die zweite erforderliche Berechtigung zu produzieren, ist dies eine großartige Möglichkeit, unbefugten Zugriff auf Ihre Website zu verhindern. Eine der besten Methoden, diese Funktionalität auf Ihrer Website hinzuzufügen, ist die Verwendung eines Plugins wie miniOrange.

Nach der Aktivierung gehen Sie zu dem neuen miniOrange Zwei-Faktor-Link in Ihrer WordPress-Admin-Seitenleiste > Mein Konto.

Hier müssen Sie sich für ein Konto registrieren. Dann erhalten Sie einen Code, der es Ihnen ermöglicht, Ihre E-Mail zu verifizieren.

Als Nächstes empfehlen wir, dem hilfreichen „Setup-Assistenten“ des Plugins zu folgen, um sicherzustellen, dass Sie 2FA vollständig für jeden eingerichtet haben, der Ihre Website benutzt.

3. Verwenden Sie CAPTCHA

CAPTCHA oder reCAPTCHA von Google bietet eine zusätzliche Sicherheitsebene für Ihre Website.

Üblicherweise wird es verwendet, um den Zugang zu sensiblen Seiten zu kontrollieren. Was gibt es noch? Dies kann verhindern, dass Bots Spam erstellen oder über Bestellformulare oder Anmeldeformulare auf persönliche Informationen auf Ihrer Website zugreifen.

Wiederum ist ein Plugin der einfachste Weg, um diese Funktionalität auf Ihrer Website zu aktivieren. In unserem Leitfaden zu reCAPTCHA zeigen wir Ihnen, wie Sie es mit einem Plugin in nur sechs Schritten einrichten und betreiben können.

Wenn Sie es lieber manuell machen möchten, ist das auch eine Möglichkeit!

4. Starke Passwörter erzwingen

Natürlich ist es eine großartige Idee, die Anmelde-URL für Ihre WordPress-Seite zu ändern, damit Sie nicht den leicht zu erratenden “admin”-Suffix verwenden. Ihre Bemühungen sind jedoch verschwendet, wenn Sie weiterhin schwache oder wiederholte Passwörter verwenden, die Ihr Konto einem größeren Angriffsrisiko aussetzen.

Nur 13% der Personen verwenden einen Passwortgenerator, um einzigartige, hochsichere Phrasen für verschiedene Websites zu erstellen. Die Mehrheit verwendet stattdessen Zahlen und Wörter, die für sie bedeutend sind, was diese für Hacker offensichtlicher macht.

Wir empfehlen die Verwendung von Solid Security, einem WordPress-Plugin, das die Benutzer dazu anregen kann, starke Passwörter zu verwenden. Wenn Sie sich Sorgen machen, dass ein Passwort Teil eines Datenverstoßes ist, können Sie auch Passwords Evolved verwenden, das eine Warnung sendet, wenn Passwörter von Benutzern kompromittiert werden

Derzeit ist es am besten, Ihr Passwort bei WordPress zurückzusetzen, wenn es wiederverwendet oder leicht zu erraten ist. Zukünftig sollten Sie sich für lange Passwörter entscheiden, die Groß- und Kleinbuchstaben zusammen mit Zahlen und Sonderzeichen kombinieren. Wir würden auch empfehlen, einen Passwort-Manager wie 1Password für zusätzliche Sicherheit zu verwenden.

Außerdem ist es wichtig, Benutzer, die Zugang zu Ihrer Website haben, zur Verwendung starker Passwörter zu ermutigen. Dies können Sie in der Willkommens-E-Mail klarstellen, die Benutzer bei der Registrierung auf Ihrer Seite erhalten.

Bonus: Noch mehr Tipps zur Verbesserung der WordPress-Sicherheit

Als das beliebteste Content-Management-System (CMS) auf dem Markt, ist WordPress verständlicherweise auch eines der am häufigsten angegriffenen.

Wir sagen das nicht, um Sie davon abzuschrecken, es zu verwenden, sondern nur, um Sie auf die Wichtigkeit aufmerksam zu machen, Ihre WordPress-Site auf allen Ebenen zu sichern.

Für die umfassende Sicherheit nach der Anmeldephase empfehlen wir ein weiteres leistungsstarkes Plugin zur Automatisierung des Prozesses: Jetpack.

Sicherstellen, dass Ihr SSL/TLS-Zertifikat aktuell ist, ist der beste Weg, um zu gewährleisten, dass Ihre wichtigen Website- und Benutzerdaten verschlüsselt sind. Dies hat oft auch einen positiven Einfluss auf die Suchmaschinenoptimierung (SEO) Ihrer Website.

Lernen Sie, wie Sie das Really Simple SSL WordPress Plugin hier verwenden.

Fühlen Sie sich bereit, tiefer in die WordPress-Sicherheit einzusteigen? Schauen Sie sich unseren Leitfaden Alles, was Sie über WordPress-Sicherheit wissen müssen an, um noch mehr Methoden zur Absicherung Ihrer Website zu erfahren.

Errichten Sie ein undurchdringliches Geschäft mit dem besten WordPress-Host

Eine letzte, aber exzellente Möglichkeit, Ihre WordPress-Sicherheit dauerhaft zu verbessern?

Mit einem erfahrenen, engagierten Webhost zusammenarbeiten.

Bei DreamHost bieten wir eine Reihe von Lösungen an, die für alle Arten von Benutzern, Websites und Sicherheitsanforderungen geeignet sind.

Unsere verwalteten WordPress-Hosting-Pakete sind ideal für kleine Unternehmer und Betreiber, die ihre Hände frei haben möchten, und unsere verwalteten VPS-Hosting-Optionen sind ideal, wenn Sie bereit sind zu skalieren.

Entdecken Sie alle unsere Hosting-Pläne, um den besten für Sie auszuwählen! Und während Sie dabei sind, schauen Sie sich DreamCare an, um professionelles Sicherheitsmonitoring, Berichterstattung und Wartung zu erhalten, sodass Sie das von Ihrer Geschäfts-To-Do-Liste streichen können.

Diese Seite enthält Affiliate-Links. Das bedeutet, dass wir eine Provision verdienen können, wenn Sie Dienstleistungen über unseren Link kaufen, ohne dass Ihnen zusätzliche Kosten entstehen.