Sicherheit6 Min. Lesezeit08. Juli 2026
WordPress-Login absichern: 8 Maßnahmen gegen Brute-Force
Kurz gesagt
Der WordPress-Login ist das häufigste Angriffsziel: Bots probieren automatisiert tausende Passwörter durch. Wirksam dagegen sind Login-Limitierung, starke Passwörter, 2FA, das Verstecken der wp-login.php und eine Firewall, die verdächtige IPs blockt, bevor sie überhaupt raten können.
Der Login ist die Haustür deiner WordPress-Seite – und genau dort klopfen Bots am häufigsten an. Bei einem Brute-Force-Angriff probieren sie automatisiert tausende Benutzername-/Passwort-Kombinationen durch. So machst du die Tür dicht.
Warum ist der Login das beliebteste Angriffsziel?
Weil er bei fast jeder WordPress-Seite an derselben Stelle sitzt (/wp-login.php) und ein erfolgreicher Treffer sofort volle Kontrolle gibt. Die Dimension: Sicherheitsforscher berichten von bis zu 90.000 Angriffen pro Minute auf WordPress-Installationen (Serverprofis). Die meisten davon sind automatisiert und ungezielt – sie treffen jede erreichbare Seite.
Die 8 wirksamsten Maßnahmen
- Login-Versuche limitieren: Nach z. B. 5 Fehlversuchen die IP temporär sperren – das stoppt Brute-Force im Kern.
- Starke, einzigartige Passwörter: mindestens 16 Zeichen, nie wiederverwendet. Ein sicheres Passwort erzeugen.
- Zwei-Faktor-Authentifizierung (2FA): selbst ein geratenes Passwort nützt dem Angreifer ohne den zweiten Faktor nichts.
- Benutzername „admin" vermeiden: die Hälfte der Rate-Arbeit entfällt, wenn der Name nicht trivial ist.
- Login-URL verstecken: wer /wp-login.php nicht findet, kann sie nicht angreifen.
- reCAPTCHA/Bot-Schutz am Login: hält automatisierte Skripte ab.
- XML-RPC einschränken: ein klassischer Brute-Force-Nebeneingang, der selten gebraucht wird.
- Firewall (WAF) davor: blockt verdächtige IPs, bevor die Anfrage WordPress überhaupt erreicht.
Reicht ein Plugin, oder muss ich alles einzeln machen?
Einzeln ist mühsam und fehleranfällig. Ein gutes Security-Plugin bündelt Login-Limit, 2FA, Login-Schutz und Firewall an einer Stelle. Genau das leistet F12 Security: Brute-Force-/Login-Schutz, reCAPTCHA v3, über 20 Härtungsmaßnahmen und eine intelligente Firewall – DSGVO-konform mit IP-Anonymisierung.
Fazit
Brute-Force ist kein gezielter Hackerangriff, sondern Dauerbeschuss durch Bots – und mit ein paar Maßnahmen wirksam abzuwehren. Warum eine schlanke, datensparsame Firewall die bessere Wahl ist, liest du unter Wordfence-Alternative; den Gesamtüberblick gibt WordPress-Sicherheit. Die Plugin-Lösung ist F12 Security.