Security Blog
Security Blog
Posted By Gregory

Begrenzen Sie Login-Versuche ohne ein Plugin?

So schützen Sie die WordPress-Anmeldeseite, ohne ein Plugin zu verwenden


English version: Limit login attempts without a plugin?


Im Internet finden Sie dazu zahlreiche Kommentare und Ratschläge. Aber ist das wirklich so?

Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche über das Anmeldeformular, das Senden spezieller Cookies, die Verwendung von XML-RPC-Aufrufen und REST-API-Aufrufen. Dadurch können Kennwörter relativ leicht durch Brute-Force-Angriffe geknackt werden. Hacker und Bots versuchen heutzutage ständig, sich bei Ihrer WordPress-Site anzumelden, indem Sie Ihr Administratorpasswort und die Passwörter anderer auf der Site registrierten Benutzer erraten. Wenn Sie Ihre Site ohne Plugin schützen möchten, benötigen Sie:

  1. PHP gut kennen.
  2. Informieren Sie sich über Authentifizierungsfilter und -aktionen (in WordPress integriert), um sie anzuschließen. Ich empfehle, von Hooks wie 'authenticate' und 'wp_login_failed' auszugehen.
  3. Verfolgen Sie das Anmeldeformular nach dem Anmeldeformular, die XML-RPC- und REST-API-Autorisierungsanfragen, und vergessen Sie nicht, Autorisierungs-Cookies zu vergessen (sind sie gültig?).
  4. Speichern Sie irgendwo alle Versuche mit allen Anmeldeversuchen und allen IP-Adressen, um zu berechnen, wann und welche IP-Adresse Sie blockieren müssen. Ich empfehle die Verwendung von Transient API. Ernst. Dies ist der einfachste Weg. Natürlich können Sie es nicht steuern, aber wenn Sie es verwenden, können Sie etwas ohne SQL-Kenntnisse tun.
  5. Berechnen Sie die Zeit zwischen erfolglosen Anmeldeversuchen für eine bestimmte IP-Adresse.
  6. Besitzen Sie ein Tool oder PHP-Code, um diese Zähler zurückzusetzen und die Kunden-IP zu blockieren. Was ist, wenn ein legitimer Kunde durch Zufall blockiert wird?

Sieht verrückt aus? Sie haben eine zweite Option. Sie können google und einige Code-Snippets von einigen Blogs im Internet abrufen, ohne Garantie und Unterstützung.

Fazit: Sie finden zahlreiche Hinweise, wie Sie Anmeldeversuche ohne Plugin im Internet begrenzen können. Alle Ratschläge werden jedoch von Personen gegeben, die nicht wissen, wie der Authentifizierungsalgorithmus von WordPress genau funktioniert, einschließlich der netten Jungs von stackoverflow. Sie können dies jedoch auch tun, wenn Sie sich wirklich keine Sorgen um die Sicherheit Ihrer Website machen, da es keine Möglichkeit gibt, dies ohne PHP-Codierkenntnisse und das Wissen über den WordPress-Authentifizierungsmechanismus richtig zu machen.

Wenn es auf Ihrer Website etwas Seltsames gibt, das Sie anrufen werden?

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.