Security Blog
Security Blog

Anmeldeversuche ohne Plugin begrenzen?

So schützen Sie die WordPress-Anmeldeseite ohne Verwendung eines Plugins


English version: Limit login attempts without a plugin?


Im Internet finden Sie zahlreiche Kommentare und Ratschläge dazu. Aber stimmt das?

WordPress erlaubt standardmäßig unbegrenzte Anmeldeversuche über das Anmeldeformular, das Senden spezieller Cookies, XML-RPC-Aufrufe und REST-API-Aufrufe. Dadurch lassen sich Passwörter relativ einfach per Brute-Force-Angriff knacken. Hacker und Bots versuchen heutzutage ständig, sich bei Ihrer WordPress-Site anzumelden, indem sie Ihr Administratorkennwort und die Passwörter anderer registrierter Benutzer erraten. Wenn Sie Ihre Site also ohne Plugin schützen möchten, benötigen Sie:

  1. Kennen Sie PHP gut.
  2. Wissen Sie genug über Authentifizierungsfilter und -aktionen (in WordPress integriert), um sie einzubinden. Ich empfehle, mit Hooks wie „authenticate“ und „wp_login_failed“ zu beginnen.
  3. Verfolgen Sie Post-Login-Formulare, XML RPC und REST-API-Autorisierungsanfragen, und vergessen Sie nicht die Autorisierungscookies (sind sie gültig?).
  4. Speichern Sie alle Anmeldeversuche mit allen IP-Adressen, um zu berechnen, wann und welche IP-Adresse blockiert werden muss. Ich empfehle die Verwendung der Transient API. Im Ernst. Das ist der einfachste Weg. Natürlich können Sie es nicht kontrollieren, aber die Verwendung ermöglicht es Ihnen, ohne SQL-Kenntnisse etwas zu tun.
  5. Berechnen Sie die Zeit zwischen erfolglosen Anmeldeversuchen für eine bestimmte IP.
  6. Verfügen Sie über ein Tool oder einen PHP-Code, um diese Zähler und die blockierte Kunden-IP zurückzusetzen? Was passiert, wenn ein legitimer Kunde versehentlich blockiert wird?

Sieht das verrückt aus? Sie haben eine zweite Möglichkeit. Sie können googeln und sich Code-Schnipsel aus einem Blog im Internet holen, ohne Garantie und Support.

Fazit: Im Internet finden Sie zahlreiche Tipps, wie Sie Anmeldeversuche ohne Plugin einschränken können. Allerdings stammen alle Tipps von Leuten, die nicht einmal genau wissen, wie der WordPress-Authentifizierungsalgorithmus funktioniert, darunter auch die netten Leute von Stackoverflow. Sie können das aber trotzdem tun, wenn Sie sich keine Sorgen um die Sicherheit Ihrer Website machen, denn ohne PHP-Programmierkenntnisse und Kenntnisse des WordPress-Authentifizierungsmechanismus ist dies nicht möglich.

Wen rufen Sie an, wenn auf Ihrer Site etwas Seltsames passiert?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.