Starke Login-Sicherheit mit WP Cerber
English version: Strong login security with WP Cerber
Es ist kein Geheimnis, dass böswillige Akteure innerhalb weniger Minuten mit einem Brute-Force-Angriff in ein neu installiertes WordPress eindringen können. Dies ist möglich, da WordPress keine integrierten Mechanismen zur Abwehr von Angriffen hat, die Standard-Anmelde-URL bekannt ist und der Benutzername des Administrators einer Website leicht ermittelt werden kann. WP Cerber bietet alle erforderlichen Tools, um Brute-Force-Angriffe abzuwehren und Benutzerkonten zu schützen.
Konfigurieren der Anmeldesicherheitseinstellungen von WP Cerber
Die Anmeldesicherheitseinstellungen befinden sich auf der Registerkarte „Haupteinstellungen“. Hier können Sie die Grenzwerte für Anmeldeversuche konfigurieren, den Zugriff auf wp-login.php einschränken und Fehlermeldungen konfigurieren, um die Erkennung von Benutzernamen und E-Mails bei Verwendung nicht vorhandener Benutzernamen und E-Mails zu verhindern.
Begrenzung der Anmeldeversuche zur Abwehr von Brute-Force-Angriffen
Die standardmäßigen und empfohlenen Einstellungen zur Begrenzung der Anmeldeversuche sind im Screenshot als Nr. 1 hervorgehoben. Diese Einstellungen wurden festgelegt, als Sie WP Cerber aktiviert haben. Wenn Sie viele Kunden auf der Website haben, z. B. einen WooCommerce-Shop betreiben, ist es sinnvoll, das Limit für Anmeldeversuche zu erhöhen.
Verarbeiten von wp-login.php-Authentifizierungsanforderungen
Siehe Auswahl Nr. 2. Standardmäßig verwendet WordPress wp-login.php als Website-Anmeldeseite, die alle Benutzeranmeldungen verarbeitet und das Registrierungsformular sowie das Formular zum Zurücksetzen des Passworts bereitstellt. Wenn Sie die benutzerdefinierte Anmelde-URL konfiguriert haben, wird empfohlen, wp-login.php zu deaktivieren. Sie haben zwei Möglichkeiten. Sie können den Zugriff auf wp-login.php vollständig blockieren und die Datei für jeden unzugänglich machen, oder Sie können die Benutzerauthentifizierung über wp-login.php deaktivieren, ohne den Zugriff auf die Datei zu blockieren. Sie können jede der Optionen auswählen. Beide verhindern die Benutzerauthentifizierung über wp-login.php.
Wenn die erste Option aktiviert ist, rendert und gibt WP Cerber die Fehlerseite „404 Seite nicht gefunden“ zurück, als gäbe es keine solche Datei auf der Website. Somit haben böswillige Akteure keine Angriffsfläche.
Wenn die zweite Option aktiviert ist, verhindert WP Cerber jede Benutzerauthentifizierung, selbst mit korrekten Benutzernamen und Passwörtern. Das bedeutet, dass sich niemand mit wp-login.php anmelden kann. Nach einem Anmeldeversuch über wp-login.php zeigt WP Cerber die standardmäßige Fehlermeldung „falsches Passwort“ an, die den standardmäßigen WordPress-Authentifizierungsprozess nachahmt. Dieser Ansatz hilft WP Cerber dabei, langsame Brute-Force-Angriffe zu erkennen, indem wp-login.php als Erkennungs-Honeypot verwendet wird. Alle Anmeldeversuche über wp-login.php werden im Aktivitätsprotokoll von WP Cerber protokolliert, wie im Screenshot unten gezeigt.
Verhindern Sie, dass böswillige Akteure echte Benutzernamen und E-Mail-Adressen von Kunden herausfinden
Die von WordPress generierten Standardfehlermeldungen zum Anmelden und Zurücksetzen des Passworts sind recht ausführlich und helfen Hackern dabei, echte Benutzernamen und E-Mails zu erkennen und diese für Brute-Force- oder Social-Engineering-Angriffe zu verwenden.
Deaktivieren der Standard-Anmeldefehlermeldung
Wenn diese Option aktiviert ist, werden in den Anmeldefehlermeldungen keine ungültigen Benutzernamen und E-Mails angezeigt, wenn versucht wird, sich mit nicht vorhandenen Benutzernamen und E-Mails anzumelden. Stattdessen zeigt WP Cerber die standardmäßige WordPress-Fehlermeldung an, die verwendet wird, wenn ein Benutzer ein falsches Passwort eingibt. Dies verhindert, dass böswillige Akteure gültige Benutzernamen und E-Mails erraten. Dieser Ansatz wird auch als Deaktivieren von Anmeldehinweisen bezeichnet.
Mit der professionellen Version von WP Cerber können Sie im Einstellungsfeld „Benutzerdefinierte Anmeldefehlermeldung“ Ihre eigene Anmeldefehlermeldung angeben.
Deaktivieren der standardmäßigen Fehlermeldung zum Zurücksetzen des Kennworts
Wenn diese Option aktiviert ist, werden in den Fehlermeldungen zum Zurücksetzen des Passworts keine ungültigen Benutzernamen und E-Mails angezeigt, wenn versucht wird, das Passwort für einen nicht vorhandenen Benutzernamen oder eine nicht vorhandene E-Mail zurückzusetzen. Stattdessen ahmt WP Cerber den Standardprozess zum Zurücksetzen von Passwörtern nach und zeigt die folgende Meldung an, wenn Benutzer gültige oder nicht vorhandene Benutzernamen und E-Mails eingeben.
Dieser Ansatz trägt dazu bei, zu verhindern, dass böswillige Akteure gültige Benutzernamen erraten, und wird als Deaktivieren von Hinweisen zum Zurücksetzen des Passworts bezeichnet.
Mit der professionellen Version von WP Cerber können Sie im Einstellungsfeld „Benutzerdefinierte Fehlermeldung bei der Anmeldung“ Ihre eigene Fehlermeldung beim Zurücksetzen des Kennworts angeben.
Beachten Sie, dass die oben beschriebenen Funktionen nicht für die IP-Adressen in der White IP Access List gelten.