WordPress & Webwork

WordPress-Sicherheit: Limit Login Attempts Reloaded

Für alle Freunde des Sicherheitsplugins Limit Login Attempts gibt es gute Nachrichten: es gibt einen Nachfolger.

Habe vorhin im Kommentar aus dem Artikel Login LockDown für WordPress: erstes Update nach 2,5 Jahren einen interessanten Link entdeckt. Für alle Fans des uralten Plugins Limit Login Attempts gibt es einen Nachfolger der auf den Namen Limit Login Attempts Reloaded hört.

Das ursprüngliche Plugin Limit Login Attempts welches Loginversuche kontrolliert und bei Bedarf blockiert, wurde seit mehr als fünf Jahren nicht mehr aktualisiert und wenn die Informationen aus dem Kommentar stimmen, war der ursprüngliche Autor nicht bereit das Plugin abzugeben, so dass sich Leute gefunden haben, die das Plugin unter einem neuen Namen weiterführen.

An der ursprünglichen Funktionalität hat sich an sich nichts geändert. Man kann festlegen wie viele Loginversuche erlaubt sind, wie lange die erste Sperrung und dann die weitere Sperrung dauern und wie lange es dauert, bis man sich wieder einloggen kann. Auch ist die Einstellung geblieben, ob die Sperrungen protokolliert werden und ob und ab wann man als Administrator benachrichtigt wird.

Was allerdings neu ist, ist die Möglichkeit sowohl Nutzernamen als auch IPs in die White- und Blacklist einzutragen. Somit kann man dann zum Beispiel die eigene feste IP in die Whitelist und einige Standardnamen (admin, root, webmaster etc.), die es nicht gibt, direkt in die Blacklist eintragen.

Das neue Plugin übernimmt die alten Einstellungen und meldet sich im Backend bzw. unter den Einstellungen auch als Limit Login Attempts. Daher ist es wichtig, dass man das alte Limit Login Attempts entfernt, bevor man das Limit Login Attempts Reloaded aktiviert.

Ich finde es schön, dass dieses Plugin fortgeführt wird, da es mir persönlich besser zusagt als das Login LockDown.

Nachtrag: ich habe im Juni 2017 auch ein Screencast erstellt, wo man das ganze auch als Video sehen kann.

13 Reaktion(en)

  1. Markus

    So verschieden sind die Geschmäcker, und das ist das schöne an WordPress: man kann es sich aussuchen. Ich bevorzuge Wordfence Security, das mich auch über Updates für Plugins und Themes informiert und auch Warnungen ausgibt, wenn eine Theme- oder Plugindatei geändert wird. Dazu kommt noch einiges mehr, plus die Premiumversion mit noch mehr Möglichkeiten.

      1. Malte

        Ich bin auch ehemaliger Limit Login Attempt Nutzer und das neue Plugin lohnt sich sicherlich. Wie Markus und Lukas bin ich aber auch schon vor längerer Zeit auf Wordfence umgestiegen und mit der Free Version sehr zufrieden. Der Leistungsumfang ist erheblich größer. Sollte ich mal etwas negatives hören wäre die obige "Reloaded" Version eine gute Fall Back Option.

        1. Henning

          Ich habe vor langer Zeit mal LLA genutzt. Allerdings habe ich arge Probleme gehabt und wurde selbst immer mal wieder ausgesperrt. Das hatte zur Folge, dass ich das Plugin jedes Mal per FTP deaktivieren musste. Das ging mir irgendwann auf den Wecker, und so flog das Plugin raus.
          Ich würde ja gern auf WordFence umsteigen und auf meine selbst gebastelte Lösung verzichten, die nun auch schon ein wenig in die Jahre gekommen ist: http://www.henning-uhle.eu/in-eigener-sache/in-eigener-sache-diese-webseite-wurde-angegriffen-und-wird-nun-geschuetzt (sorry für den Link)
          Allerdings habe ich mal gehört, dass beim Shared Webhosting WordFence gewaltige Probleme verursacht. Ist das so?

        2. Markus

          Ich habe fünf WordPress-Instanzen (inkl. Test-Instanz) in meinem Shared Hoating Paket laufen, und in jeden Wordfence aktiv. Ich habe damit bisher keine Probleme gehabt.

  2. Jörn

    Interessant. Ich hätte nie gedacht, dass da mal eine Art Nachfolger, bzw. eine komplett neue Version kommt. Irgendwie scheint mir diese Art von Schutz trotzdem von gestern zu sein. Zumindest dann, wenn man einen mit Passwort gesicherten Verzeichnisschutz für den Admin-Bereich hat.

    1. Markus

      Verzeichnisschutz kann man natürlich machen, aber Passwörer sind eigentlich immer die schlechteste Lösung. Die dassen sich immer mit mehr oder weniger Aufwand knacken. Daher setzte ich neben Wordfence (übrigens ach kostenlos) auf reCaptcha im Loginformular und 2FA über den Authenticator von Google. Und natürlich lange Passwörter, um den Knackaufwand zu erhöhen. 😉

      Das Plugin "Edit Author Slug" lässt sich zudem noch der Slug in der URL ändern, so dass hier keine Rückschlüsse auf den verwendeten Benutzernamen möglich sind.

      Viel mehr geht glaub ich nicht.

  3. Michaela Albrecht

    Hallo, auf einer Kundenwebsite ist LLA ebenfalls installiert (hat ein Vorgänger von mir gemacht). Obwohl ich ein httaccess-Passwort und die Einstellung

    Order Deny,Allow
    Deny from all

    in die htaccess geschrieben habe, werden immer noch sehr viele Einlogversuche angezeigt. Das dürfte doch eigentlich gar nicht möglich sein?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WordPress-Schulungs­unter­lagen

Anleitung für Autoren und Redakteure
Schneller und unkomplizierter Einstieg in die redaktionelle Betreuung einer WordPress-Installation.

Handbuch für Administratoren
Schneller und unkomplizierter Einstieg in die technische Betreuung einer WordPress-Installation.

Anschauen