Login LockDown richtig konfigurieren und die Sicherheit von WordPress erhöhen

Wie bereits gestern versprochen folgt eine Anleitung zu der Konfiguration von Login LockDown.

Eine äußerst sinnvolle und auch schnell eingerichtete Sicherheitsmaßnahme für WordPress, ist die Einschränkung der Login-Versuche für einen festgelegten Zeitraum. Damit erschwert man die automatisierten Angriffe auf die Installation (engl. Brute Force), mit denen der Angreifer versucht, die richtige Kombination aus Benutzernamen und Passwort zu erraten.

Um die Login-Versuche zu beschränken, gibt es mehrere Lösungen bzw. Plugins, mit denen man dies realisieren kann. Ich persönlich empfehle hierfür Login LockDown, da es sich sehr einfach einrichten lässt und gestern ein Update bekommen hat, so dass es auch offiziell mit der aktuellen WordPress-Version kompatibel ist.

Nach der Aktivierung des Plugins kannst du die Einstellungen unter EinstellungenLogin LockDown anpassen:

Login-Versuche, Karenzzeit und Dauer der Sperre

WordPress: Login LockDown konfigurieren (1/2)

In der oberen Abbildung siehst du die ersten drei Punkte, die du für dieses Plugin anpassen kannst. Der erste Wert bezieht sich auf die Anzahl der Login-Versuche, die notwendig sind, damit Login LockDown aufmerksam wird.

Der zweite Wert bezieht sich auf den ersten Wert und betrifft die Anzahl der Minuten, in denen die Anzahl der Login-Versuche zu einem Verdacht führt. In der oberen Abbildung führen vier Login-Versuche innerhalb von fünf Minuten dazu, dass das Plugin den jeweiligen Nutzer oder besser gesagt seine IP sperrt.

Wie lange die Sperrung dauert, hängt vom dritten Wert ab und dieser ist hier mit 90 Minuten angegeben.
Welchen Wert du hier wählst, bleibt dir überlassen, aber ich würde dir empfehlen, die Werte nicht zu tief und auch nicht zu hoch anzusetzen.

Wenn du die Anzahl der missglückten Login-Versuche zum Beispiel auf den Wert 2 oder 1 setzt, dann ist die Wahrscheinlichkeit hoch, dass deine Autoren sich des Öfteren bei dir melden, weil sie ausgesperrt wurden. Sind die Werte dagegen zu hoch, dann schmälern sie die Schutzwirkung des Plugins.

Schnellempfehlung für Querleser: Ein Wert von 3 bis 5 für Log-in-Versuche, 4 bis 5 Minuten für den zweiten Wert und eine Sperrzeit von 90 bis 120 Minuten sind in meinen Augen eine gute Kombination aus Sicherheit einerseits und genug Spielraum für Nutzer, die hektisch beim Eintippen der Zugangsdaten sind, andererseits.

Falscher Loginname, Fehlermeldung unterdrücken und Credit-Link

WordPress: Login LockDown konfigurieren (2/2)

In der zweiten Abbildung siehst du die letzten drei Anpassungspunkte. Der erste betrifft die Frage, ob der Login-Versuch mit einem nicht bestehenden Namen direkt abgewiesen werden soll. Meine Empfehlung wäre es hier ja bzw. Yes zu wählen.

Ebenfalls zu bejahen ist die Frage, ob demjenigen, der versucht, sich einzuloggen, verschleiert werden soll, ob bei seinem fehlgeschlagenen Login der Nutzername oder das Passwort falsch war.

Wenn du hier Yes wählst, dann wird dem Angreifer seine Arbeit noch mehr erschwert.

Der letzte Punkt betrifft die Frage, ob du es möchtest, dass im Login-Formular angezeigt wird, dass hier Login LockDown im Einsatz ist. Es ist zwar eine gute Sache, dass man sich mit einem Backlink für die Arbeit des Autors bedanken möchte, aber ich blende dennoch den Hinweis aus, da man nicht auf den ersten Blick erkennen sollte, womit man seine Installation schützt. Beim Autor kann man sich auch auf andere Art bedanken: indem man zum Beispiel das Plugin empfiehlt oder einen Beitrag darüber verfasst.

Ich habe drüben auf YouTube auch einen Screencast über die Konfiguration von Login LockDown verfasst. Vergiss auch nicht mein YouTube-Kanal zu abonnieren.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge:

11 Kommentare

  1. Hallo Vladimir,

    vielen Dank für die Erklärungen; ich bin immer sehr froh, wenn ich bei Dir Erklärungen auf Deutsch finde 🙂 Ich hatte noch das inzwischen schon vier Jahre alte Limit Login Attemps im Einsatz und habe jetzt (Dank Dir) auf Login LockDown umgestellt.

    Liebe Grüße vom Deich,

    Ursula

  2. Hallo,
    wurde am Login etwas verändert weil wenn ich jetzt von meinem Dashboard aus auf die Startseite klicke, kein Admin mehr bin. Das habe ich vorgestern festgestellt. Woran liegt das plötzlich?
    Antwort wäre sehr nett.
    Danke

  3. Hm, mal wieder keine Antwort, hätte mich auch gewundert. Als User von WordPress machst du jeden Tag neue Entdeckungen. Updates gibt´s am laufenden Band, mit viel Geschreibe drum herum, aber hast du mal ne Frage, stehst du alleine da.

    1. Liebe Persephone,

      wenn du möchtest, dass dir jemand hilft, dann musst du die Frage auch so stellen, dass sie verständlich ist. Stelle dir mal bitte vor ich fahre zu einer Tankstelle mit dem Fahrrad und rufe laut in die Menge: “mein Auto funktioniert nicht”.

      Es wären im besagten Beispiel wichtig zu wissen um welches Auto es sich handelt, was genau nicht funktioniert, was wurde geändert kurz vor dem ersten Auftauchen des Fehlers, man musste einen Blick darauf werfen UND vor allem müsste man ganz konkret den Automechaniker ansprechen.

      1. Als ob du für den Support des Plugins zuständig bist. 😉

        So ist das mit manchen Anfragen. Ich bin auch etwas in einer Theme-Community aktiv und versuche da etwas zu helfen. Bei solchen allgemeinen Anfragen versucht man es irgendwie aufzudröseln und bietet Lösungen an. Am Ende erhält man dann oft nicht mal eine Reaktion. An Dankbarkeit dafür, dass man kostenlos seine Zeit opfert, ist schon gar nicht zu denken.

        Bei dem zweiten Kommentar von Persephone kann ich echt nur mit dem Kopf schütteln.

      2. Weiß zwar nicht, wie du jetzt auf Autos und Fahrräder kommst aber ich versuche das Problem noch einmal genauer zu erklären.
        Ich logge mich also ein und befinde mich ganz normal in der Dashboard- Maske. Wenn ich aber von meinem Dashboard aus auf meine Webseite gehe, dann kann ich jetzt nicht mehr zurück auf mein Dashboard klicken. Ich sehe meine Webseite dann so, als sei ich ein Besucher der Seite, die Funktion “Dashboard” oben links fehlt.
        Verantwortlich dafür mache ich hier keinen, ich fragte nur, ob etwas am Login verändert wurde weil sich der Fehler zeitgleich mit der Veröffentlichung dieser Login Anleitung zeigte.
        Der Fehler besteht immer noch, ist nervig und macht das Arbeiten auf der Seite überaus mühsam und zeitintensiv.

        Vielen Dank und ein schönes Wochenende

        1. Hallo Persephone,

          ich will zwar nichts ausschließen, kann mir aber nur schwer vorstellen das es an Login LockDown liegt: da er dich entweder reinlässt oder nicht.

          Hast du schon mal probiert Login LockDown zu deaktivieren? Passiert das von dir geschilderte Verhalten immer noch?

  4. Vielen Dank für diesen tollen PlugIn-Tipp! Ich habe ihn direkt umgesetzt, das PlugIn installiert und die Einstellungen wie empfohlen vorgenommen.

  5. Danke für deine Erklärungen! Ich habe das ähnlich wie oben genannt gemacht. Heute bin ich auf eine Konflikt mit dem Plugin SI CAPTCHA aufmerkasm geworden, das mein Provider in der WordPress-Instanz, die er zur Verfügung stellt schon vorinstalliert hatte).
    Ich war einfach zu schnell mit der Enter-Taste (ohne Captcha Eintrag) uns wartete schon auf den Loginfehler durch SI Captcha, aber es kam nichts, ich war eingeloggt! Ich hatte momentan kein gutes Gefühl. Da ich zuletzt einiges im forum.wpde.org gelesen hatte die Frage, was habe ich zuletzt geändert? Aus einem Forumsbeitrag bin ich ja auf das Plugin Login LockDown gekommen und hatte es installiert.
    Herr Google half weiter. Auf dieser Seite – https://wordpress.org/support/topic/plugin-si-captcha-anti-spam-si-captcha-conflict-with-login-lockdown/ – war ein 6 Jahre alter Beitrag über den Konflikt. Man solls nicht glauben der Konflikt besteht immer noch oder schon wieder. Wahrscheinlich fühlt sich keiner zuständig! Wie auch immer wollte ich nur darauf hinweisen. Allerdings die damalige Empfehlung “Disabling these options with Login Lockdown allowed SI Captcha to work properly again.” klappte bei mir nicht.

  6. […] Mit diesem Plugin kann man die fehlerhaften Login-Versuche innerhalb eines festgelegten Zeitraumes begrenzen und somit automatisierte Angriffe erschweren. Obwohl es so scheint, dass mittlerweile im Hintergrund an dem Plugin gearbeitet wird ist das letzte Update einige Jahre her: "getestet mit WP 3.3.2". Bis ein neues Update erscheint, empfiehlt sich das Alternativplugin Login LockDown. […]

Kommentare sind geschlossen.