Security Blog
Security Blog

Anmeldeversuche ohne Plugin begrenzen?

So schützen Sie die WordPress-Anmeldeseite ohne Verwendung eines Plugins


English version: Limit login attempts without a plugin?


Im Internet findet man viele Kommentare und Ratschläge dazu. Aber ist es echt?

Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche über das Anmeldeformular, das Senden spezieller Cookies, die Verwendung von XML-RPC-Aufrufen und REST-API-Aufrufen. Dadurch können Passwörter relativ einfach per Brute-Force-Angriff geknackt werden. Heutzutage versuchen Hacker und Bots ständig, sich bei Ihrer WordPress-Site anzumelden, indem sie Ihr Admin-Passwort und die Passwörter anderer auf der Site registrierter Benutzer erraten. Wenn Sie also Ihre Website schützen möchten, ohne ein Plugin zu verwenden, benötigen Sie:

  1. Kenne PHP gut.
  2. Wissen Sie genug über Authentifizierungsfilter und -aktionen (in WordPress integriert), um sie zu binden. Ich empfehle, mit Hooks wie „authenticate“ und „wp_login_failed“ zu beginnen.
  3. Verfolgen Sie Post-Login-Formulare, XML-RPC- und REST-API-Autorisierungsanforderungen und ja, vergessen Sie nicht Autorisierungs-Cookies (sind sie gültig?).
  4. Speichern Sie irgendwo alle Versuche mit allen versuchten Anmeldungen und allen IP-Adressen, um zu berechnen, wann und welche IP Sie sperren müssen. Ich empfehle die Verwendung der Transient-API. Ernsthaft. Dies ist der einfachste Weg. Natürlich können Sie es nicht steuern, aber wenn Sie es verwenden, können Sie etwas tun, ohne SQL-Kenntnisse zu haben.
  5. Berechnen Sie die Zeit zwischen erfolglosen Anmeldeversuchen für eine bestimmte IP.
  6. Haben Sie ein Tool oder einen PHP-Code, um einen dieser Zähler zurückzusetzen und die Kunden-IP zu blockieren. Was ist, wenn ein legitimer Kunde zufällig blockiert wird?

Sieht verrückt aus? Sie haben eine zweite Option. Sie können einige Codeschnipsel von einigen Blogs im Internet googeln und ohne jegliche Garantie und Unterstützung abrufen.

Fazit: Im Internet findet man jede Menge Tipps, wie man Anmeldeversuche ohne Plugin einschränkt. Aber alle Ratschläge werden von Personen gegeben, die nicht einmal wissen, wie der WordPress-Authentifizierungsalgorithmus genau funktioniert, einschließlich dieser netten Jungs von Stackoverflow. Aber wie auch immer, Sie können das tun, wenn Sie sich wirklich keine Sorgen um die Sicherheit Ihrer Website machen, da es ohne PHP-Programmierkenntnisse und Kenntnisse des WordPress-Authentifizierungsmechanismus keine Möglichkeit gibt, es richtig zu machen.

Wen rufst du an, wenn auf deiner Website etwas Seltsames vorkommt?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.