Brute-Force-Schutz (wp-login.php)

Die Datei wp-login.php ist der Standard-Login-Bereich jeder WordPress-Installation und damit zugleich eines der bekanntesten und am häufigsten angegriffenen Ziele im gesamten WordPress-Ökosystem – vergleichbar mit der Eingangstür eines Hauses, deren genaue Lage praktisch jeder potenzielle Einbrecher von vornherein kennt, einfach weil sie bei fast allen Häusern derselben Bauweise exakt an der gleichen Stelle sitzt. Automatisierte Angriffsskripte probieren an dieser bekannten Adresse systematisch unzählige Kombinationen aus Benutzernamen und Passwörtern aus, in der Hoffnung, irgendwann zufällig die richtige Kombination zu treffen – ein klassischer Brute-Force-Angriff. Da die Adresse des Login-Bereichs bei einer Standard-WordPress-Installation immer identisch ist, lässt sich dieser Angriffsvektor durch verschiedene Maßnahmen deutlich erschweren. Eine verbreitete Methode besteht darin, die Login-Adresse über ein Plugin zu individualisieren, sodass automatisierte Angriffsskripte, die gezielt nach der Standardadresse suchen, ins Leere laufen. Ergänzend dazu lässt sich die Anzahl erlaubter Login-Versuche pro Zeitraum begrenzen, ähnlich einem API Rate Limit – wird ein bestimmtes Limit an Fehlversuchen überschritten, wird die jeweilige IP-Adresse für eine gewisse Zeit vollständig blockiert. Die wirkungsvollste Einzelmaßnahme gegen Brute-Force-Angriffe bleibt jedoch die Zwei-Faktor-Authentifizierung: Selbst wenn ein Angreifer durch puren Zufall oder durch ein Datenleck tatsächlich das korrekte Passwort ermittelt, scheitert der Login trotzdem, solange der zusätzliche, zweite Faktor – etwa ein Code aus einer Authentifizierungs-App – fehlt. Viele WordPress-Sicherheits-Plugins bieten diese Schutzmaßnahmen gebündelt an, sodass sie sich auch ohne tiefere technische Kenntnisse vergleichsweise einfach aktivieren lassen.