Lesefortschritt:

    Starke Passwörter erzwingen

    24. Mai 2026 | functions.php, Sicherheit, Word­Press

    Trick # 573 | Dieser Beitrag beinhaltet 770 Wörter. – Geschätzte Lesezeit: ca. 4 Minuten.

    Word­Press lässt sich recht sicher machen; aber es erlaubt Usern bisweilen auch, ziemlich einfache Passwörter zu setzen. Es gibt zwar Warnungen; aber teilweise bleibt es beim Mahnfinger. Sie können aber nachbessern und die Passwortrichtlinien verschärfen. Wir zeigen Ihnen wie’s geht.

    «Uns schwebt vor, dass Passwörter mindestens 8 Zeichen lang sind, Gross- und Kleinbuchstaben – aber auch Zahlen und Sonderzeichen enthalten. Ferner erlauben wir nicht, dass der Username und das Passwort übereinstimmende Zeichenfolgen haben. Und schliesslich checkt unsere Passwortroutine, ob nicht Folgen wie «12345» oder «abcde» oder «qwertz» vorkommen. Das erhöht den Schutz Ihrer Website schon beim Passwortsetzen.

    Die Anforderungen an Passwörter werden verschärft mit folgendem Code. Legen Sie ihn in der Datei functions.php ab – im Word­Press-Backend zu finden unter Design/Theme-Datei-Editor:

    function enforce_strong_passwords($password, $user_data) {
// Mindestanforderungen prüfen
if (strlen($password) < 8 ||
!preg_match('/[A-Z]/', $password) ||
!preg_match('/[a-z]/', $password) ||
!preg_match('/[0-9]/', $password) ||
!preg_match('/[\W]/', $password)) {
return new WP_Error('weak_password', 'Ihr Passwort muss mindestens 8 Zeichen lang sein und Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.');
}// Benutzername im Passwort überprüfen
if (!empty($user_data->user_login) && stripos($password, $user_data->user_login) !== false) {
return new WP_Error('username_in_password', 'Ihr Passwort darf keine Teile Ihres Benutzernamens enthalten.');
}// Einfache Zeichenfolgen überprüfen
$common_patterns = [
// Zahlenfolgen
'12345', '54321', '123456', '654321', '1234567', '7654321',
'111111', '222222', '333333', '444444', '555555', '666666', '777777', '888888', '999999', '000000',// Alphabetische Sequenzen
'abcdef', 'fedcba', 'abcd', 'dcba', 'abcde', 'edcba',
'qwertz', 'ztrewq', 'asdfgh', 'hgfdsa', 'yxcvbn', 'nbvcxy',// Tastaturmuster
'1q2w3e', '3e2w1q', '1qay2wsx', 'qaywsx', 'wsxcde', 'qwertz', 'tuvwxyz',// Häufige Wörter und Phrasen
'password', 'passwort', 'admin', 'welcome', 'letmein', 'freedom', 'iloveyou',
'monkey', 'dragon', 'sunshine', 'football', 'baseball', 'soccer', 'superman',// Jahreszahlen und Kombinationen
'2023', '2024', '2025', '2026', '2027', '2028', '2029', '2030', '2031', '2032', '2033', '2034', '2035', '12345678', '87654321', 'password1', '123password', 'mypassword'
];foreach ($common_patterns as $pattern) {
if (stripos($password, $pattern) !== false) {
return new WP_Error('common_pattern_in_password', 'Ihr Passwort enthält einfache Muster oder schwache Zeichenfolgen.');
}
}return true;
}add_filter('validate_password_reset', function ($errors, $user) {
$password = $_POST['pass1'] ?? '';
$result = enforce_strong_passwords($password, $user);if (is_wp_error($result)) {
$errors->add($result->get_error_code(), $result->get_error_message());
}return $errors;
}, 10, 2);

    Damit sollten die Hürde etwas höher liegen als ohne Massnahmen – simpelste Passwörter bleiben da auf der Strecke.

    Vielleicht noch dies:

    • Auf Zeile 3 des Codes sehen Sie, dass unsere Passwörter mindestens 8 Zeichen umfassen müssen. Den Wert können Sie anpassen – sollten dann aber auch die Errormessage in Zeile 8 überarbeiten.
    • Zeilen 16 bis 34: Dort sind zahlreiche Zeichenfolgen hinterlegt, die nicht akzeptiert werden. Sie können die Liste nach Ihren Bedürfnissen ganz einfach kürzen oder erweitern.

    Option: Anwendungspasswörter ausschalten

    Vielleicht auch eine Überlegung wert: Die untenstehende Zeile deaktiviert Anwendungspasswörter auf der gesamten Word­Press-Seite. Solche Anwendungspasswörter ermöglichen API-Zugriff ohne Zwei-Faktor-Authentifizierung oder andere Sicherheitsmechanismen. Wenn Ihre Website keine externen Anwendungen oder Dienste verwendet, die Anwendungspasswörter benötigen, kann die Deaktivierung von Anwendungspasswörtern das Risiko unbefugter Zugriffe reduzieren.

    Der Code lässt sich in die functions.php kopieren; im Backend unter Design/Theme-Datei-Editor:

    add_filter('wp_is_application_passwords_available', '__return_false');

    Wieder etwas für ein sichereres Word­Press gemacht …

    Werbung

    Keine Inhalte gefunden.

    Kategorien

    CSS-Stylesheet Divi-Theme Fonts & Icons functions.php header.php htaccess HTML Mediathek NAS Plugins Scripts SEO Sicherheit SocialMedia Word­Press wp-config.php

    Divi-Module

    Akkordeon-Modul Audio-Modul Bild-Modul Blog-Modul Button-Modul Code-Modul Countdown-Modul Filterbares Portfolio Galerie-Modul Handlungsaufruf-Modul Kontaktformular-Modul Login-Modul Menu-Modul Portfolio-Modul Posttitel-Modul Registerkarten-Modul Seitenleisten-Modul Slider-Modul Suche-Modul Testimonial-Modul Text-Modul Umschalter-Modul Video-Modul

    Dr.-Code-Specials

    Anker-Special Aufräum-Special Bilder-Special Blog-Modul-Special Call-To-Action-Special Dateidownload-Special Eyecatcher-Special Font-Special Icon-Special Login-Special

    Neueste Beiträge

    Starke Passwörter erzwingen
    publiziert am 24. Mai 2026

    Word­Press-Bildskalierung: Bildergrösse selber festlegen
    publiziert am 20. Mai 2026

    Schwarze Word­Press-Admin-Bar nach Login ein- und ausblenden
    publiziert am 17. Mai 2026

    Hexagon-Bildergalerie – Marke «Eigenbau»
    publiziert am 13. Mai 2026

    Divi-Such-Modul-Special – Trick #1: Text der Suchschaltfläche ausblenden und Lupe anzeigen
    publiziert am 10. Mai 2026

    sowie 568 weitere publizierte Tipps & Tricks

    Geplante Beiträge

    Word­Press: Login-Zwang für bestimmte IPs deaktivieren
    >>> erscheint am 27. Mai 2026

    RSS-Feed auf der Website anzeigen
    >>> erscheint am 31. Mai 2026

    Word­Press-Fehlermeldungsseite stylen
    >>> erscheint am 3. Juni 2026

    sowie 164 weitere geplante Themen

    Child-Theme erstellen

    Wir empfehlen Ihnen den Einsatz eines Child-Themes – damit sind Sie sicher, dass Ihre Anpassungen bei einem Theme-Update nicht überschrieben werden.

    mehr Infos

    Member-Bereich

    Dr. Code bietet Ihnen kostenlosen Zugang zu unserer umfangreichen Hack-Datenbank. Neben den bislang veröffentlichten Beiträgen und Tricks sind aberdutzende weitere Themen für Member bereits jetzt verfügbar.

    Jetzt kostenlos und spamfrei registrieren

    Themenidee?

    Können wir Ihnen zu einem ganz bestimmten Thema weiterhelfen? Unsere Leserinnen und Leser haben oft die besten Ideen.

    Themenvorschlag

    Treffen Sie Vor­sichts­mass­nah­men bei der Nutzung der Inhalte dieser Website. Auch wenn die Tipps und Tricks erprobt sind, kann mal was schiefgehen.

    Wir empfehlen, möglichst in einer Test­um­ge­bung zu arbeiten und/oder Si­che­rungs­ko­pien anzulegen, bevor Sie ans Werk gehen.

    Werbung

     

    Pin It on Pinterest

    Share This
    Überblick über den Datenschutz

    Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und dienen dazu, Sie wiederzuerkennen, wenn Sie auf unsere Website zurückkehren, und unserem Team zu helfen, zu verstehen, welche Bereiche der Website Sie am interessantesten und nützlichsten finden.