Anmeldeversuche ohne Plugin beschränken?
So schützen Sie die WordPress-Anmeldeseite ohne Verwendung eines Plugins
English version: Limit login attempts without a plugin?
Im Internet findet man dazu zahlreiche Kommentare und Ratschläge. Aber stimmt das wirklich?
Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche über das Anmeldeformular, das Senden spezieller Cookies, XML-RPC-Aufrufe und REST-API-Aufrufe. Dadurch lassen sich Passwörter relativ einfach per Brute-Force-Angriff knacken. Heutzutage versuchen Hacker und Bots ständig, sich in Ihre WordPress-Website einzuloggen, indem sie Ihr Administratorpasswort und die Passwörter anderer registrierter Benutzer erraten. Wenn Sie Ihre Website also ohne Plugin schützen möchten, benötigen Sie Folgendes:
- Ich besitze gute PHP- Kenntnisse.
- Sie sollten über ausreichend Kenntnisse der Authentifizierungsfilter und -aktionen (die in WordPress integriert sind) verfügen, um diese einzubinden. Ich empfehle, mit Hooks wie „authenticate“ und „wp_login_failed“ zu beginnen.
- Protokollieren Sie das Anmeldeformular, XML-RPC- und REST-API-Autorisierungsanfragen, und ja, vergessen Sie nicht die Autorisierungs-Cookies (sind sie gültig?).
- Speichern Sie alle Anmeldeversuche und IP-Adressen, um zu berechnen, wann und welche IPs Sie blockieren müssen. Ich empfehle die Transient API. Wirklich. Das ist der einfachste Weg. Natürlich haben Sie damit keine Kontrolle, aber sie ermöglicht Ihnen Aktionen ohne SQL-Kenntnisse.
- Berechne die Zeit zwischen erfolglosen Anmeldeversuchen für eine bestimmte IP-Adresse.
- Gibt es ein Tool oder PHP-Code, mit dem sich diese Zähler und die IP-Adressen gesperrter Kunden zurücksetzen lassen? Was passiert, wenn versehentlich ein legitimer Kunde gesperrt wird?
Klingt verrückt? Es gibt eine zweite Möglichkeit. Sie können im Internet nach Code-Schnipseln suchen und diese aus irgendeinem Blog herunterladen – ohne jegliche Gewährleistung oder Support.
Fazit: Im Internet findet man zahlreiche Tipps, wie man Anmeldeversuche ohne Plugin begrenzen kann. Allerdings stammen diese Ratschläge oft von Personen, die den WordPress-Authentifizierungsalgorithmus nicht genau verstehen – selbst die netten Leute von Stack Overflow nicht. Wenn Ihnen die Sicherheit Ihrer Website wirklich egal ist, können Sie das natürlich versuchen, denn ohne PHP-Kenntnisse und ein tiefes Verständnis des WordPress-Authentifizierungsmechanismus ist eine korrekte Umsetzung nicht möglich.
Wenn auf Ihrer Website etwas Ungewöhnliches passiert, wen rufen Sie dann an?
WP Cerber Security 7.9.7
Development version 7.9.9
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.