WordPress & Webwork

WordPress absichern mit Limit Login Attempts

Ich habe schon an mehreren Stellen das Plugin Login LockDown empfohlen. Zum Beispiel hier, hier und hier. Vor einigen Wochen hat ein Leser des Newsletters angemerkt, dass Login LockDown schon seit längerer Zeit nicht mehr aktualisiert wurde und zwar seit dem 17- September 2009 nicht mehr.

An sich funktioniert das Plugin weiterhin, aber es kann nicht schaden sich nach einer aktuellen Alternative umzuschauen. Nach kurzer Recherche bin ich auf Limit Login Attempts aufmerksam geworden:

WordPress: Einstellungen von Limit Login Attempts

Einstellungen von Limit Login Attempts

Die Einstellungen sind selbst erklärend, daher gehe ich nicht näher darauf ein. Wenn das Plugin aktiv ist, dann wird automatisch bei einem fehlerhaften Loginversuch verschleiert was nun falsch war:

FEHLER: Ungültiger Benutzername oder Passwort.

Es ist noch x Anmeldeversuch möglich.

Diese einfache Maßnahme erschwert die Arbeit eines potentiellen Angreifers zusätzlich. Nach dem man die Loginversuche aufgebraucht hat kann man sich mit der gleichen IP nicht mehr einloggen. Man müsste dann entweder die Zeitsperre abwarten oder sich eine neue IP "holen".

Quelle: WordPress-Newsletter Nr. 9.

25 Reaktion(en)

  1. Pingback: Wordpress sicherer machen auf Strandgucker

  2. Pingback: Liomans Blog » Wordpress Login absichern

  3. Thomas

    Ich nutze das Plugin schon relativ lange. Durch dieses Plugin wurde mir anhand der Benachrichtigungen gezeigt wie oft in Wirklichkeit versucht wird in das Backend "einzubrechen". Bis zu 8 Mal im Monat ist nicht selten, vorher hatte ich davon nie erfahren.

    Unter WP 3.2 läuft es perfekt, habe es wie schon erwähnt sehr lange im Einsatz.

    Es wird durch die Bestätigung auch gezeigt, wie oft als Benutzername "admin" verwendet wird. In nahezu 100% der Fälle ist das so. Ein Grund mehr den Benutzernamen unbedingt zu ändern.

  4. Pingback: Linkhub – Woche 24-2011 | PehBehBeh

  5. Matthias Gräfe

    Danke für den Tipp!
    Berührt das Plugin durch die IP-Behandlung etc. irgendwelche deutschen Datenschutzregelungen, oder ist es problemlos auch für dem deutschen Recht unterliegende Seiten einsetzbar?

  6. Pingback: Wordpress und Sicherheit | Wordpress | Web 2.0 Marketing | Web 2.0 Traffic | money2010.de

  7. Pingback: WordPress und Sicherheit: kleine Zusammenfassung | WordPress & Webwork

  8. Pingback: Techmec – WordPress, Plugins, Webentwicklung, Google & Facebook » WordPress und Sicherheit

  9. Pingback: Links 33 » WoWa-Webdesign Friedrichshafen, Bodensee

  10. Pingback: Wordpress Login Hacker aufdecken und sperren

  11. Marcus

    Das Problem bei diesem Plugin – zumindest bei mir – ist, das es wohl anscheinend die Loginversuche automatisch herunterzählt, wenn man das Browserfenster mit dem Admin-Bereich nicht ordnungsgemäß schließt.

    Sprich, wenn man sich nicht aus dem Backend abmeldet

  12. Pingback: WordPress-Blog hacken ? Diese Plugins machen WordPress sicherer

  13. Pingback: Vom Feind geentert – Bye bye InTrash.com - Majeres.de

  14. Pingback: WordPress Login schützen mit Limit Login Attempts | Private Homepage von Joachim Nadolny

  15. Pingback: Aufgerüstet - neue WP-Version, Hacker, Spammer und andere merkwürdige Typen | Saphira's World

  16. Pingback: WordPress und Sicherheit: "du kommst hier ned rein" | WordPress & Webwork

  17. Pingback: Gehackt und als Spamschleuder missbraucht − Erfolgreich im und mit dem Internet

  18. Sebastian

    Bekomme die gezeigte grafische Oberfläche für die Benutzereinstellungen nicht zu sehen, sondern nur den nackten Code über "Editieren". Kein "Einstellungen"-Link vorhanden. WP 3.4. Was könnte die Ursache sein?

  19. Pingback: NetzBlogR › Passwortgeschützte Artikel in WordPress und .htaccess

Die Kommentare in diesem Beitrag sind geschlossen.