WordPress-Sicherheit: Limit Login Attempts Reloaded

Habe vorhin im Kommentar aus dem Artikel Login LockDown für WordPress: erstes Update nach 2,5 Jahren einen interessanten Link entdeckt. Für alle Fans des uralten Plugins Limit Login Attempts gibt es einen Nachfolger der auf den Namen Limit Login Attempts Reloaded hört.

Das ursprüngliche Plugin Limit Login Attempts welches Loginversuche kontrolliert und bei Bedarf blockiert, wurde seit mehr als fünf Jahren nicht mehr aktualisiert und wenn die Informationen aus dem Kommentar stimmen, war der ursprüngliche Autor nicht bereit das Plugin abzugeben, so dass sich Leute gefunden haben, die das Plugin unter einem neuen Namen weiterführen.

An der ursprünglichen Funktionalität hat sich an sich nichts geändert. Man kann festlegen wie viele Loginversuche erlaubt sind, wie lange die erste Sperrung und dann die weitere Sperrung dauern und wie lange es dauert, bis man sich wieder einloggen kann. Auch ist die Einstellung geblieben, ob die Sperrungen protokolliert werden und ob und ab wann man als Administrator benachrichtigt wird.

Was allerdings neu ist, ist die Möglichkeit sowohl Nutzernamen als auch IPs in die White- und Blacklist einzutragen. Somit kann man dann zum Beispiel die eigene feste IP in die Whitelist und einige Standardnamen (admin, root, webmaster etc.), die es nicht gibt, direkt in die Blacklist eintragen.

Das neue Plugin übernimmt die alten Einstellungen und meldet sich im Backend bzw. unter den Einstellungen auch als Limit Login Attempts. Daher ist es wichtig, dass man das alte Limit Login Attempts entfernt, bevor man das Limit Login Attempts Reloaded aktiviert.

Ich finde es schön, dass dieses Plugin fortgeführt wird, da es mir persönlich besser zusagt als das Login LockDown.

Nachtrag: ich habe im Juni 2017 auch ein Screencast erstellt, wo man das ganze auch als Video sehen kann.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge:

15 Kommentare

  1. So verschieden sind die Geschmäcker, und das ist das schöne an WordPress: man kann es sich aussuchen. Ich bevorzuge Wordfence Security, das mich auch über Updates für Plugins und Themes informiert und auch Warnungen ausgibt, wenn eine Theme- oder Plugindatei geändert wird. Dazu kommt noch einiges mehr, plus die Premiumversion mit noch mehr Möglichkeiten.

    1. Ich nutze ebenso seit kurzem das Plugin “Wordfence Security” und bin begeistert – sehr empfehlenswertes Plugin (auch in der kostenlosen Version).

      1. Ich bin auch ehemaliger Limit Login Attempt Nutzer und das neue Plugin lohnt sich sicherlich. Wie Markus und Lukas bin ich aber auch schon vor längerer Zeit auf Wordfence umgestiegen und mit der Free Version sehr zufrieden. Der Leistungsumfang ist erheblich größer. Sollte ich mal etwas negatives hören wäre die obige “Reloaded” Version eine gute Fall Back Option.

        1. Ich habe vor langer Zeit mal LLA genutzt. Allerdings habe ich arge Probleme gehabt und wurde selbst immer mal wieder ausgesperrt. Das hatte zur Folge, dass ich das Plugin jedes Mal per FTP deaktivieren musste. Das ging mir irgendwann auf den Wecker, und so flog das Plugin raus.
          Ich würde ja gern auf WordFence umsteigen und auf meine selbst gebastelte Lösung verzichten, die nun auch schon ein wenig in die Jahre gekommen ist: http://www.henning-uhle.eu/in-eigener-sache/in-eigener-sache-diese-webseite-wurde-angegriffen-und-wird-nun-geschuetzt (sorry für den Link)
          Allerdings habe ich mal gehört, dass beim Shared Webhosting WordFence gewaltige Probleme verursacht. Ist das so?

        2. Ich habe fünf WordPress-Instanzen (inkl. Test-Instanz) in meinem Shared Hoating Paket laufen, und in jeden Wordfence aktiv. Ich habe damit bisher keine Probleme gehabt.

  2. Interessant. Ich hätte nie gedacht, dass da mal eine Art Nachfolger, bzw. eine komplett neue Version kommt. Irgendwie scheint mir diese Art von Schutz trotzdem von gestern zu sein. Zumindest dann, wenn man einen mit Passwort gesicherten Verzeichnisschutz für den Admin-Bereich hat.

      1. Was auch immer das mit “Bloggen” zu tun haben mag. WP wird primär als CMS verwendet – und damit man seine Seiten ändern kann, muss man sich ebenfalls einloggen ^_^

        cu, w0lf.

    1. Verzeichnisschutz kann man natürlich machen, aber Passwörer sind eigentlich immer die schlechteste Lösung. Die dassen sich immer mit mehr oder weniger Aufwand knacken. Daher setzte ich neben Wordfence (übrigens ach kostenlos) auf reCaptcha im Loginformular und 2FA über den Authenticator von Google. Und natürlich lange Passwörter, um den Knackaufwand zu erhöhen. 😉

      Das Plugin “Edit Author Slug” lässt sich zudem noch der Slug in der URL ändern, so dass hier keine Rückschlüsse auf den verwendeten Benutzernamen möglich sind.

      Viel mehr geht glaub ich nicht.

  3. Das nenne ich mal gute Nachrichten. Ich bin ein großer Fan dieses Metusalems. Einfach, übersichtlich und nicht unnötig aufgeblasen.

  4. Hallo, auf einer Kundenwebsite ist LLA ebenfalls installiert (hat ein Vorgänger von mir gemacht). Obwohl ich ein httaccess-Passwort und die Einstellung

    Order Deny,Allow
    Deny from all

    in die htaccess geschrieben habe, werden immer noch sehr viele Einlogversuche angezeigt. Das dürfte doch eigentlich gar nicht möglich sein?!

  5. Habe das Limit Login Attempts Plugin nun auch verwendet und bin recht begeistert. Bin bei vielen Plugins eher skeptisch aus leidvoller Erfahrung – aber LAP ist wirklich ist weder werbe-überladen noch unnötig kompliziert. Und es macht die WordPress Webseite doch schon um Einiges sicherer.

Kommentare sind geschlossen.