Der WordPress-Administrationsbereich (/wp-admin) ist das Kontrollzentrum Ihrer Website – dort verwalten Sie Inhalte, Plugins, Benutzer und Einstellungen. Leider ist es auch das Hauptziel für Hacker, Brute-Force-Angriffe und Bots, die versuchen, sich unbefugten Zugriff zu verschaffen. Da automatisierte, KI-gesteuerte Bedrohungen auf dem Vormarsch sind, ist die Sicherung von /wp-admin, ohne auf Plugins angewiesen zu sein, ein intelligenter, einfacher Ansatz, der das Aufblähen reduziert und gleichzeitig einen starken Schutz bietet.
Bei Cope Business härten wir den Admin-Bereich für Kunden während unserer Zeit mit Plugin-freien Methoden ab technische SEO-Prüfungsdienste und Sicherheitsüberprüfungen – die Kombination von Code-Optimierungen, Serverkonfigurationen und Best Practices, um mehr als 90 % der häufigsten Angriffe zu blockieren, ohne Ihre Website zu verlangsamen.
In diesem Leitfaden erfahren Sie, warum die Sicherung von /wp-admin wichtig ist, und vier effektive Methoden ohne Plugins, um dies zu erreichen – von grundlegenden IP-Einschränkungen bis hin zu erweiterten .htaccess-Regeln. Testen Sie immer zuerst das Staging und sichern Sie Ihre Website.
Warum den WordPress-Admin-Bereich sichern?
- Blockieren Sie Brute-Force-Angriffe: Bots versuchen pro Stunde Tausende von Anmeldungen auf /wp-admin
- Verhindern Sie unbefugten Zugriff: Auf vertrauenswürdige IPs/Geräte beschränken
- Reduzieren Sie das Spam- und Malware-Risiko: Anmeldeseite ausblenden oder einschränken
- Verbessern Sie die Leistung: Weniger fehlerhafte Anfragen = weniger Serverlast
- SEO-Schutz: Hacks führen zu Blacklisting und Rankingverlusten
- Einhaltung: Besserer Datenschutz für DSGVO/CCPA
Standard-WordPress ist anfällig – die Härtung von /wp-admin reduziert die Risiken erheblich.
Methode 1: Zugriff nach IP-Adresse einschränken (mit .htaccess – am sichersten)
Beschränken Sie /wp-admin nur auf Ihre IP – blockiert alle anderen.
Schritte (Apache-Server – das meiste Shared Hosting)
- Greifen Sie über FTP oder den Hosting-Dateimanager auf .htaccess im Stammordner zu (zuerst sichern!).
- Fügen Sie diesen Code hinzu:
Text# Secure wp-admin by IP RewriteEngine On RewriteCond %{REQUEST_URI} ^/wp-admin [NC] RewriteCond %{REMOTE_ADDR} !^YOUR_IP_ADDRESS$ RewriteRule ^ - [F,L] - Ersetzen Sie YOUR_IP_ADDRESS durch Ihre statische IP (finden Sie unter whatismyip.com – fügen Sie mehrere mit ODER hinzu: !^IP1$ !^IP2$).
- Speichern → Testen: Von Ihrer IP aus auf /wp-admin zugreifen (funktioniert); von einem anderen (403 Verboten).
Für NGINX: Host kontaktieren oder zur Serverkonfiguration hinzufügen:
Text
Standort ~* /wp-admin/ {allow YOUR_IP_ADDRESS; alles leugnen; }Vorteile: Äußerst effektiv, keine Plugins.
Nachteile: Erfordert statische IP (verwenden Sie VPN, wenn dynamisch); blockiert den Teamzugriff (fügen Sie ihre IPs hinzu).
Methode 2: URL der Anmeldeseite ausblenden oder umbenennen
Ändern Sie /wp-login.php in etwas Benutzerdefiniertes – Bots können es nicht finden.
Schritte (mit Code)
- Verwenden Sie ein untergeordnetes Thema oder WPCode (kostenloses Plugin).
- Fügen Sie dies zu „functions.php“ oder dem WPCode-Snippet hinzu:
PHPfunction cope_rename_login_page() { $login_page = 'my-secret-login'; // Ändere dies in deinen benutzerdefinierten Slug if ( strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false && $_GET['action'] != 'logout' ) { wp_redirect( home_url( '/' . $login_page . '/' ) ); Ausfahrt; } } add_action( 'init', 'cope_rename_login_page' ); function cope_custom_login_redirect() { return home_url( '/my-secret-login/' ); // Übereinstimmung mit oben } add_filter( 'login_url', 'cope_custom_login_redirect' );- Speichern → Ihre neue Login-URL lautet yoursite.com/my-secret-login/
- Test: Ursprüngliche /wp-login.php-Weiterleitungen; Neue URL funktioniert.
Vorteile: Versteckt sich vor Bots, kein Plugin.
Nachteile: Merken Sie sich die neue URL; Teilen Sie es den Teammitgliedern mit.
Methode 3: Erfordern Sie eine HTTP-Basisauthentifizierung für /wp-admin
Fügen Sie vor der WordPress-Anmeldung eine zweite Passwortebene hinzu.
Schritte
- Im Hosting-Panel (cPanel) → Sicherheit > Verzeichnisse mit Passwort schützen → Schützen Sie /wp-admin/.
- Oder zu /wp-admin/.htaccess hinzufügen (bei Bedarf erstellen):
TextAuthType Basic AuthName „Eingeschränkter Bereich“ AuthUserFile /path/to/.htpasswd Erfordert gültigen Benutzer- Generieren Sie .htpasswd (verwenden Sie den Online-Generator) → Hochladen an einen sicheren Ort (über Root).
- Speichern → Der Browser fordert zur Eingabe von Benutzername/Passwort auf, bevor /wp-admin geladen wird.
Vorteile: Zusätzliche Sicherheitsebene, keine Plugins.
Nachteile: Zusätzlicher Schritt für legitime Anmeldungen; nicht ideal für Teams.
Methode 4: XML-RPC blockieren und Pingbacks deaktivieren (codebasiert)
XML-RPC ist ein gängiger /wp-admin-Exploit-Vektor.
Schritte
- Zu „functions.php“ oder „WPCode“ hinzufügen:
PHPadd_filter( 'xmlrpc_enabled', '__return_false' );- Pingbacks deaktivieren: Einstellungen > Diskussion → Deaktivieren Sie „Linkbenachrichtigungen von anderen Blogs zulassen“.
Vorteile: Blockiert häufige Angriffe, leicht.
Nachteile: Deaktiviert das Remote-Posten bei Bedarf (z. B. mobile App).
Best Practices zur Sicherung des WordPress-Admin-Bereichs
- Verwenden Sie 2FA — Auch ohne Plugins: Zu „functions.php“ hinzufügen oder miniOrange 2FA (kostenlos) verwenden.
- Beschränken Sie die Anmeldungen — Sehen Sie sich unsere an Führung.
- WP-Version ausblenden — Zu Functions.php hinzufügen: remove_action(‘wp_head’, ‘wp_generator’);
- Überwachen Sie Anmeldungen — Sehen Sie sich unsere an Führung.
- Sichern Sie regelmäßig — UpdraftPlus für automatisierte Backups.
- Testen Sie Änderungen – Staging-Site verwenden; Überprüfen Sie, ob /wp-admin für Sie geladen wird.
Letzte Gedanken
Die Absicherung des WordPress-Administrationsbereichs ohne Plugins ist möglich und effektiv – beginnen Sie mit IP-Einschränkungen und Änderungen der Anmelde-URL für maximalen Schutz. Kombinieren Sie diese mit sicheren Passwörtern und Überwachung für eine solide Verteidigung.
Ein sicherer Admin-Bereich schützt Ihre gesamte Website.
Benötigen Sie Hilfe bei der Sicherung Ihres /wp-admin, der Durchführung eines vollständigen Sicherheitsaudits oder der Optimierung der Leistung? Kontaktieren Sie Cope Business für eine kostenlose technische SEO-Beratung – wir härten Ihre Website und implementieren individuelle Schutzmaßnahmen, die auf Ihre Bedürfnisse zugeschnitten sind.
