Anmeldeversuche ohne Plugin begrenzen?
So schützen Sie die WordPress-Anmeldeseite ohne Verwendung eines Plugins
English version: Limit login attempts without a plugin?
Im Internet finden Sie zahlreiche Kommentare und Ratschläge dazu. Aber stimmt das auch?
Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche über das Anmeldeformular, sendet spezielle Cookies, verwendet XML-RPC-Aufrufe und REST-API-Aufrufe. Dadurch können Passwörter relativ einfach per Brute-Force-Angriff geknackt werden. Heutzutage versuchen Hacker und Bots ständig, sich bei Ihrer WordPress-Site anzumelden, indem sie Ihr Administratorkennwort und die Kennwörter anderer auf der Site registrierter Benutzer erraten. Wenn Sie Ihre Site also ohne Plugin schützen möchten, benötigen Sie:
- Kennen Sie PHP gut.
- Wissen Sie genug über Authentifizierungsfilter und -aktionen (in WordPress integriert), um sie einzubinden. Ich empfehle, mit Hooks wie „authenticate“ und „wp_login_failed“ zu beginnen.
- Verfolgen Sie Autorisierungsanforderungen per Post-Login-Formular, XML RPC und REST-API, und vergessen Sie nicht die Autorisierungs-Cookies (sind sie gültig?).
- Speichern Sie irgendwo alle Versuche mit allen Anmeldeversuchen und allen IP-Adressen, um zu berechnen, wann und welche IP Sie blockieren müssen. Ich empfehle die Verwendung der Transient API. Im Ernst. Das ist der einfachste Weg. Natürlich können Sie es nicht kontrollieren, aber wenn Sie es verwenden, können Sie etwas tun, ohne SQL-Kenntnisse zu haben.
- Berechnen Sie die Zeit zwischen erfolglosen Anmeldeversuchen für eine bestimmte IP.
- Besitzen Sie ein Tool oder einen PHP-Code, um diese Zähler und blockierten Kunden-IPs zurückzusetzen. Was passiert, wenn ein legitimer Kunde zufällig blockiert wird?
Sieht verrückt aus? Sie haben eine zweite Möglichkeit. Sie können googeln und sich einige Code-Schnipsel aus irgendeinem Blog im Internet holen, ohne jegliche Garantie und Support.
Fazit: Im Internet finden Sie zahlreiche Ratschläge, wie Sie Anmeldeversuche ohne Plugin einschränken können. Aber alle Ratschläge werden von Personen gegeben, die nicht einmal genau wissen, wie der WordPress-Authentifizierungsalgorithmus funktioniert, einschließlich der netten Leute von Stackoverflow. Aber Sie können das trotzdem tun, wenn Sie sich wirklich keine Sorgen um die Sicherheit Ihrer Site machen, denn ohne PHP-Codierungskenntnisse und Kenntnisse des WordPress-Authentifizierungsmechanismus gibt es keine Möglichkeit, es richtig zu machen.
Wen rufen Sie an, wenn auf Ihrer Site etwas Seltsames passiert?
WordPress 5.4.1. Ein Sicherheitsupdate behebt sieben XSS-Schwachstellen
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.