perun.net – WordPress & Webwork



WordPress absichern mit Limit Login Attempts

Von am 15. 06. 2011 um 21:35

Ich habe schon an mehreren Stellen das Plugin Login LockDown empfohlen. Zum Beispiel hier, hier und hier. Vor einigen Wochen hat ein Leser des Newsletters angemerkt, dass Login LockDown schon seit längerer Zeit nicht mehr aktualisiert wurde und zwar seit dem 17- September 2009 nicht mehr.

An sich funktioniert das Plugin weiterhin, aber es kann nicht schaden sich nach einer aktuellen Alternative umzuschauen. Nach kurzer Recherche bin ich auf Limit Login Attempts aufmerksam geworden:

WordPress: Einstellungen von Limit Login Attempts

Einstellungen von Limit Login Attempts

Die Einstellungen sind selbst erklärend, daher gehe ich nicht näher darauf ein. Wenn das Plugin aktiv ist, dann wird automatisch bei einem fehlerhaften Loginversuch verschleiert was nun falsch war:

FEHLER: Ungültiger Benutzername oder Passwort.

Es ist noch x Anmeldeversuch möglich.

Diese einfache Maßnahme erschwert die Arbeit eines potentiellen Angreifers zusätzlich. Nach dem man die Loginversuche aufgebraucht hat kann man sich mit der gleichen IP nicht mehr einloggen. Man müsste dann entweder die Zeitsperre abwarten oder sich eine neue IP "holen".

Quelle: WordPress-Newsletter Nr. 9.

Diesen Artikel weiterempfehlen:

Premium WordPress Themes

Verwandte Artikel:

 — 


25 Kommentare

  1. 1. – Martin

    Kommentar vom 16.06.2011 um 07:51

    Ich setze seit einiger Zeit http://wordpress.org/extend/plugins/user-locker/ auf einigen Installationen ein. Sehr einfach gestrickt, funktioniert aber problemlos.

  2. 2.Wordpress sicherer machen auf Strandgucker

    Pingback vom 16.06.2011 um 09:43

    [...] gibt aktuell einen netten Artikel bei Perun aka Vladimir Simovic. Hier geht es um den Thema das WordPress Login abzusichern, weil das vielfach eingesetzte Pluginn [...]

  3. 3.Sebastian

    Kommentar vom 16.06.2011 um 11:31

    Danke für die Alternative. Schöner wär es aber, wenn der Fehler nicht dargestellt wird. Also wieviele Versuche es noch gibt.

  4. 4.Malte Schmidt

    Kommentar vom 16.06.2011 um 15:57

    Klingt an sich echt gut. Würde gerne wissen ob das unter 3.2 gut läuft. Hat da jemand Informationen?

    Grüße

  5. 5.Liomans Blog » Wordpress Login absichern

    Pingback vom 18.06.2011 um 18:38

    [...] und ich habe eigentlich keinen weiteren Gedanken darauf verschwendet. Durch einen Artikel bei Perun bin ich wieder auf das Problem aufmerksam geworden. Die Lösung ist eigentlich recht simpel. Da ein [...]

  6. 6.Thomas

    Kommentar vom 19.06.2011 um 09:18

    Ich nutze das Plugin schon relativ lange. Durch dieses Plugin wurde mir anhand der Benachrichtigungen gezeigt wie oft in Wirklichkeit versucht wird in das Backend "einzubrechen". Bis zu 8 Mal im Monat ist nicht selten, vorher hatte ich davon nie erfahren.

    Unter WP 3.2 läuft es perfekt, habe es wie schon erwähnt sehr lange im Einsatz.

    Es wird durch die Bestätigung auch gezeigt, wie oft als Benutzername "admin" verwendet wird. In nahezu 100% der Fälle ist das so. Ein Grund mehr den Benutzernamen unbedingt zu ändern.

  7. 7.Linkhub – Woche 24-2011 | PehBehBeh

    Pingback vom 19.06.2011 um 15:00

    [...] Absichern mit Limit Login Attempts. [...]

  8. 8.Matthias Gräfe

    Kommentar vom 22.06.2011 um 15:05

    Danke für den Tipp!
    Berührt das Plugin durch die IP-Behandlung etc. irgendwelche deutschen Datenschutzregelungen, oder ist es problemlos auch für dem deutschen Recht unterliegende Seiten einsetzbar?

  9. 9.kw

    Kommentar vom 23.06.2011 um 21:55

    Man sollte wp-login.php zusätzlich durch den Apache sichern (htpasswd).
    Dann hat man zwei logins.

  10. 10.Wordpress und Sicherheit | Wordpress | Web 2.0 Marketing | Web 2.0 Traffic | money2010.de

    Pingback vom 01.07.2011 um 08:26

    [...] Den Artikel zu diesem WordPress Plugin für die Login Sicherheit, finden Sie auf dem Blog von Perun! [...]

  11. 11.WordPress und Sicherheit: kleine Zusammenfassung | WordPress & Webwork

    Pingback vom 18.07.2011 um 14:46

    [...] ein Plugin, welches die Anzahl der Loginversuche begrenzt: Limit Login Attempts. Damit schützt du dich vor [...]

  12. 12.John

    Kommentar vom 18.07.2011 um 15:14

    Vielen Dank für den Tipp zu Limit Login Attempts. :wink:

  13. 13.Techmec – WordPress, Plugins, Webentwicklung, Google & Facebook » WordPress und Sicherheit

    Pingback vom 17.08.2011 um 08:15

    [...] Links http://www.perun.net/2011/06/15/wordpress-absichern-mit-limit-login-attempts/ [...]

  14. 14.Links 33 » WoWa-Webdesign Friedrichshafen, Bodensee

    Pingback vom 09.10.2011 um 09:36

    [...] Perun stellt ein interessantes Plugin vor, mit dem sich die Sicherheit einer WordPress-Installation erhöhren lässt. » Artikel lesen [...]

  15. 15.Wordpress Login Hacker aufdecken und sperren

    Pingback vom 17.11.2011 um 16:32

    [...] einiger Zeit habe ich bei Perun den Artikel WordPress absichern mit Limit Login Attempts gesehen und in meinen Blogs das Plugin ausprobiert. Mal sehen, wer sich so alles in meinen Admin [...]

  16. 16.Marcus

    Kommentar vom 18.11.2011 um 21:44

    Das Problem bei diesem Plugin – zumindest bei mir – ist, das es wohl anscheinend die Loginversuche automatisch herunterzählt, wenn man das Browserfenster mit dem Admin-Bereich nicht ordnungsgemäß schließt.

    Sprich, wenn man sich nicht aus dem Backend abmeldet

  17. 17.WordPress-Blog hacken ? Diese Plugins machen WordPress sicherer

    Pingback vom 12.12.2011 um 13:02

    [...] der Beiträge von Perun und Tanja zum Thema WordPress-Blog hacken und was man dagegen machen kann, bin ich auf das [...]

  18. 18.Vom Feind geentert – Bye bye InTrash.com - Majeres.de

    Pingback vom 21.12.2011 um 14:01

    [...] besser gewappnet zu sein. Das erste der Plugins ist Limit Login Attemps, über das Bone, Tanja und Perun bereits geschrieben haben. Es sichert den Loginbereich gegen unauthorisierte Loginversuche ab. [...]

  19. 19.WordPress Login schützen mit Limit Login Attempts | Private Homepage von Joachim Nadolny

    Pingback vom 25.02.2012 um 22:57

    [...] meiner Recherche im Internet stieß ich bei Perun auf einen interessanten Beitrag. Perun beschreibt in seinem Artikel eine Möglichkeit, wie man den WordPress Login-Bereich mithilfe [...]

  20. 20.Aufgerüstet - neue WP-Version, Hacker, Spammer und andere merkwürdige Typen | Saphira's World

    Pingback vom 14.06.2012 um 17:58

    [...] sich irgendwelche Pappnasen versucht haben in meinen Blog einzuloggen. Gefunden habe ich es bei perun.net, der das auch viel besser erklärt als ich*gg* Da dieses Plugin u.a. speichert, welche IP sich wie [...]

  21. 21.WordPress und Sicherheit: "du kommst hier ned rein" | WordPress & Webwork

    Pingback vom 07.07.2012 um 14:52

    [...] Die Nachrichten werden von dem WordPress-Plugin Limit Login Attempts verschickt. Diese Erweiterung habe ich bereits hier [...]

  22. 22.Thomas

    Kommentar vom 10.07.2012 um 18:11

    vielen Dank für den Hinweis im Newsletter. Super Sache und easy zu konfigurieren.

  23. 23. – Gehackt und als Spamschleuder missbraucht − Erfolgreich im und mit dem Internet

    Pingback vom 10.07.2012 um 20:44

    [...] den Beitrag "Brute-Force-Attacken auf WP-Installationen" mit dem Rat, das Plugin "Limit Login Attempts" zu installieren und für den Admin möglichst einen anderen Namen als "admin" zu [...]

  24. 24.Sebastian

    Kommentar vom 15.07.2012 um 18:02

    Bekomme die gezeigte grafische Oberfläche für die Benutzereinstellungen nicht zu sehen, sondern nur den nackten Code über "Editieren". Kein "Einstellungen"-Link vorhanden. WP 3.4. Was könnte die Ursache sein?

  25. 25.NetzBlogR › Passwortgeschützte Artikel in WordPress und .htaccess

    Pingback vom 03.08.2012 um 20:12

    [...] Dank an Vladimir, der das Plugin schon vor über einem Jahr beschrieb, was ich aber erst jetzt brauchen konnte, weil der .htaccess-Schutz eben genau jetzt gestört [...]

Hinweis:
WordPress 3.8 für Admins & Webmaster (pdf)
Ausdruckbar, Volumenlizenzen zu sehr fairen Preisen.

Tut mir Leid, aber die Kommentar-Funktion ist momentan deaktiviert.



Weblog der perun.net webwork gmbh mit Artikeln zum Thema WordPress, Webwork, und Internet.