Der WordPress Login ist die Login-Funktionalität für WordPress-Benutzer wie Administratoren, die standardmäßig unter der URL www.wordpresswebsite.tld/wp-login.php zugänglich ist.
Die PHP-Datei wp-login.php liegt im Hauptverzeichnis von WordPress-Installationen und wird auch durch WordPress-Themes wie Storefront oder Enfold verwendet, um einen Kundenaccount bei einer aktiven Installation des Shopsystems WooCommerce abzubilden.
Aus Sicherheitsgründen wird in der WordPress-Community oftmals empfohlen, den Loginpfad bzw. das wp-login.php umzubenennen, damit die WordPress-Webseite durch keine automatisierten Angriffe wie Brute-Force Methoden kompromittiert werden kann. Diese Maßnahme ist aber weder wirkungsvoll noch sinnvoll, weil sie zusätzliche Sicherheitslücken und Performance-Einbußen mit sich bringen kann. Zudem lässt sich die „umbenannten“ Login-URL i.d.R. mit wenigen Arbeitsschritten ermitteln und stellt daher für professionelle Hacker kein Hindernis dar.
Zur Unterbindung von Brute-Force Angriffen eignen sich Methoden wie eine Login-Limitierung oder IP-Blacklisting deutlich besser, wie in unserem WordPress Security Guide aufgeführt.