Sie könnten sich jetzt fragen „Wen kümmert´’s?“. Doch es gibt sehr gute Gründe, warum es Sie kümmern sollte:
Es dauert nicht lange, bis wir mit herkömmlichen Werkzeugen herausgefunden haben, dass Sie WordPress benutzen. Ein Hacker braucht noch weniger Zeit, um zu ermitteln, ob eine Website mit WordPress betrieben wird oder nicht.
Alles, was es dazu braucht, findet er in den Bordmitteln unserer Browser. Damit kann man den Quellcode einer Website analysieren und findet dort Dinge wie /wp-content/themes/style.css oder /wp-content/plugins/ und so weiter. Sobald wir wissen, dass Ihre Seite auf WordPress aufgebaut ist, wissen wir auch, dass die Standard-URL zu Ihrem Login /wp-login.php lautet.
Wir wissen ausserdem, dass WordPress standardmässig einen Benutzer mit dem Namen „admin“ anlegt. Damit haben wir bereits zwei wesentliche Informationen: die URL zum Login und den Benutzernamen. Jetzt fehlt nur noch das Passwort.
Von nun an versuchen wir, Ihr Passwort zu erraten. Doch während wir irgendwann genervt aufgeben, kann man darauf bei einem Hacker nicht hoffen. Selbst wenn Sie einen anderen Benutzernamen verwenden und sich ein starkes Passwort haben einfallen lassen (und möglicherweise sogar noch einen Passwort-Manager verwenden, um Ihre Tastenanschläge nicht aufzeichnen zu lassen) – die Hacker wissen das nicht. Ihr Bot wird auf immer und ewig versuchen, sich mit generierten Passwörtern in Ihren Account einzuloggen. Dabei werden wertvolle Ressourcen des Servers verschwendet und es kann damit enden, dass Ihre Seite gar nicht mehr erreichbar ist.
Wir geben zu, dass dies nicht das spannendste Thema ist, aber es ist extrem wichtig. Hoffentlich konnte wir Ihnen so viel Angst machen, dass Sie sich auch noch durch den Rest dieser Anleitung lesen. Wir versprechen Ihnen, dass der Prozess schnell geht, super einfach ist und keinerlei Kopfschmerzen verursacht. Wenn Sie wissen, wie man ein Plugin installiert, wissen Sie schon alles, was man dafür wissen muss.
Sollte ich die URL zu meinem WordPress-Login ohne Plugin ändern?
Auf keinen Fall. Verwenden Sie ein Plugin.
Es mag sich ein wenig hart anhören, aber die URL zu Ihrem WordPress-Login ohne den Einsatz eines Plugins ändern zu wollen, ist eine schlechte Idee. Ist es technisch machbar? Ja, ist es. Sollten Sie es daher auch versuchen? Nein, das sollten Sie nicht. Es hat seinen guten Grund, warum WordPress es uns standardmässig nicht erlaubt, die URL komplett zu ändern.
Wann immer es geht, raten wir davon ab, Plugins zu verwenden. Man spart ein bisschen Speicherplatz und Bandbreite auf dem Server, verringert die laufenden Prozesse und damit die Zahl möglicher Fehlerquellen. Ausserdem kann man eine ganze Menge über die Funktionsweise eines Content Management Systems lernen, wenn man so gut es geht auf den Einsatz von Plugins verzichtet. In diesem Fall allerdings raten wir allerdings unbedingt zu einem Plugin.
Wie ändert man die URL zum WordPress-Login mit einem Plugin?
Die beste und sicherste Methode, die URL zum WordPress-Login zu ändern, ist die Verwendung eines Plugins. Es gibt mittlerweile eine ganze Reihe auf dem Markt, aber keines erledigt die Aufgabe so gut wie das extrem schlanke WPS Hide Login. Es hat nur einen Job, aber den erledigt es zur vollsten Zufriedenheit.
Nach der Installation und Aktivierung finden Sie in den allgemeinen Einstellungen eine neue Option. Dort können Sie einen Pfad eingeben, unter dem Ihre Login-Felder künftig zu finden sind. Gehen Sie entweder zu „Einstellungen > Allgemein“ (und scrollen ganz nach unten) oder zu „Einstellungen > WPS Hide Login“, das Ziel ist in beiden Fällen dasselbe.
Sie brauchen nicht mehr zu tun, als eine neue URL ins Eingabefeld zu tippen und die Eingabe zu speichern.
Das Plugin verhindert auch, dass User, die nicht eingeloggt sind, auf die Datei wp-login und wp-admin zugreifen können. Mit anderen Worten: Sie müssen eingeloggt sein, um darauf zugreifen zu können, andernfalls wird zur 404-Fehlerseite weitergeleitet.
Zwei Dinge, die es zu beachten gilt
Erstens: Mit der Aktivierung des Plugins verlieren Sie den Zugriff auf Ihre gewohnte Login-Oberfläche. WPS Hide Login leitet Sie standardmässig an /login zur Eingabe weiter. Das geschieht im Moment der Aktivierung und noch bevor Sie Ihre Eingaben in den Einstellungen machen können. Das darf man nicht vergessen. Wenn Sie dann die URL geändert haben, sollten Sie sich diese gut merken oder einen Screenshot Ihrer Eingabe in WPS Hide Login machen. Andernfalls werden Sie Schwierigkeiten haben, sich einzuloggen.
Ziel ist es, die Dinge für Hacker schwieriger zu machen und nicht Sie aus Ihrer eigenen Seite auszusperren.
Zweitens: Sobald Sie das Plugin deaktivieren, wird Ihre Seite sofort wieder wp-admin und wp-login zur Anmeldung verwenden. Daher brauchen Sie sich keine Sorgen zu machen, falls Sie sich gegen die weitere Verwendung des Plugins entscheiden sollten, die Datenbank in Unordnung zu bringen oder jemanden vom Login auszuschliessen.
Abschliessende Gedanken
Obwohl die Idee, eines der fundamentalen Elemente einer WordPress-Installation zu ändern, den einen oder anderen Schauer über den Rücken laufen lässt, erkennen Sie hoffentlich, dass es nur weniger Klicks bedarf, um sich dieser Sorge zu entledigen. Wie wir oben schon erwähnt haben, ist es technisch absolut machbar, die URL zum WordPress-Login ohne ein Plugin zu ändern, aber es ist wirklich keine gute Idee. Es gibt zu viele Faktoren innerhalb der Stammdateien zu berücksichtigen und wenn man diesen Stammdateien zu Leibe rücken möchte, ist die Verwendung eines Plugins immer die sicherere Variante.
Wenn Ihnen die Sicherheit und Stabilität Ihrer Seite am Herzen liegt, sollten Sie diese URL also auf jeden Fall ändern.