in der letzten Zeit ist immer häufiger festzustellen das Attacken auf wordpress User stattfinden, mit dem Ziel über die User Domain in die wp-login.php einzubrechen
Die Domain Logs sind voll mit Zugriffen auf die Datei domainname/wp-login.php
Da die Angreifer bei jedem Angriff immer wieder eine andere IP verwenden
ist eine IP Sperre durch den Domain Provider leider erfolglos.
Deshalb raten wir allen Domainbesitzern die WordPress einsetzen, die wp-login.php umzubenennen, damit diese Domain Attacken ins Leere laufen.
Da die wp-login lediglich für das Login in die WordPress Domain Userverwaltung benötigt wird, kann der Domain Webmaster einen beliebigen Namen für die Datei vergeben.
Er muss sich diesen geänderten Namen lediglich merken und bei einem gewollten Login in WordPress, eben https://DomainName/geaenderterDateiname.php anstatt https://Domain-Name/wp-login.php verwenden.
Die Datei wp-login.php finden WP Domainuser direkt via FTP Zugriff im Hauptverzeichnis Ihrer WordPress Installation.
Eine Alternative Lösung für versierte Domainwebmaster wäre auch einen zusätzlichen Schutz der Datei wp-login.php über eine htaccess Zugangskontrolle. Denn dabei werden die IP Adressen von Angreifer die mehrfach mit falschen Zugangsdaten auf die Domain Datei zugreifen, vom Server automatisch gesperrt.
So ein Schutz mittels htaccess und htpasswd, wäre folgendermaßen umsetzbar
<FilesMatch "wp-login.php">
AuthType Basic
AuthName "Authentication required"
AuthUserFile /Domain Pfad zu Ihrer/password.htpasswd
require valid-user
</FilesMatch>
Zusätzlich empfehlenswert wäre, seinen Administrator nicht "admin" zu benennen. Und das man darauf achtet, dass der Username ein anderer ist als in den Blogposts angezeigt wird. Dann muss nämlich neben dem Passwort auch noch der Benutzername erraten werden.