Starke Login-Sicherheit mit WP Cerber
English version: Strong login security with WP Cerber
Es ist kein Geheimnis, dass Angreifer innerhalb weniger Minuten mit einem Brute-Force-Angriff in ein neu installiertes WordPress eindringen können. Dies ist möglich, da WordPress keine integrierten Mechanismen zur Angriffsabwehr bietet, die Standard-Anmelde-URL bekannt ist und der Benutzername des Website-Administrators leicht ermittelt werden kann. WP Cerber bietet alle notwendigen Tools, um Brute-Force-Angriffe abzuwehren und Benutzerkonten zu schützen.
Konfigurieren der Anmeldesicherheitseinstellungen von WP Cerber
Die Anmeldesicherheitseinstellungen befinden sich auf der Registerkarte „Haupteinstellungen“. Hier können Sie die Anzahl der Anmeldeversuche begrenzen, den Zugriff auf wp-login.php einschränken und Fehlermeldungen konfigurieren, um die Erkennung von Benutzernamen und E-Mail-Adressen bei Verwendung nicht vorhandener Benutzernamen und E-Mail-Adressen zu verhindern.
Begrenzung der Anmeldeversuche zur Abwehr von Brute-Force-Angriffen
Die Standardeinstellungen und empfohlenen Einstellungen zur Begrenzung der Anmeldeversuche sind im Screenshot mit Nr. 1 markiert. Diese Einstellungen wurden bei der Aktivierung von WP Cerber festgelegt. Wenn Sie viele Kunden auf Ihrer Website haben, beispielsweise einen WooCommerce-Shop betreiben, ist es sinnvoll, das Limit für Anmeldeversuche zu erhöhen.
Verarbeiten von wp-login.php-Authentifizierungsanfragen
Siehe Auswahl Nr. 2. Standardmäßig verwendet WordPress wp-login.php als Anmeldeseite. Diese Seite verarbeitet alle Benutzeranmeldungen und stellt das Registrierungsformular sowie das Formular zum Zurücksetzen des Passworts bereit. Wenn Sie die benutzerdefinierte Anmelde-URL konfiguriert haben, empfiehlt es sich, wp-login.php zu deaktivieren. Sie haben zwei Möglichkeiten: Sie können den Zugriff auf wp-login.php vollständig blockieren und die Datei für alle unzugänglich machen oder die Benutzerauthentifizierung über wp-login.php deaktivieren, ohne den Zugriff auf die Datei zu blockieren. Sie können eine der beiden Optionen wählen. Beide verhindern die Benutzerauthentifizierung über wp-login.php.
Wenn die erste Option aktiviert ist, rendert WP Cerber die Fehlerseite „404 Seite nicht gefunden“ und gibt sie zurück, als ob die entsprechende Datei auf der Website nicht vorhanden wäre. Somit haben böswillige Akteure keine Angriffsfläche.
Ist die zweite Option aktiviert, verhindert WP Cerber jegliche Benutzerauthentifizierung, selbst mit korrekten Benutzernamen und Passwörtern. Das bedeutet, dass sich niemand über wp-login.php anmelden kann. Nach einem Anmeldeversuch über wp-login.php zeigt WP Cerber die standardmäßige Fehlermeldung „falsches Passwort“ an, die den Standard-Authentifizierungsprozess von WordPress nachahmt. Dieser Ansatz hilft WP Cerber, langsame Brute-Force-Angriffe zu erkennen, indem wp-login.php als Erkennungs-Honeypot verwendet wird. Alle Anmeldeversuche über wp-login.php werden im Aktivitätsprotokoll von WP Cerber protokolliert, wie im folgenden Screenshot dargestellt.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Verhindern Sie, dass böswillige Akteure echte Benutzernamen und E-Mail-Adressen von Kunden herausfinden
Die von WordPress generierten Standardfehlermeldungen zum Anmelden und Zurücksetzen des Passworts sind recht ausführlich und helfen Hackern dabei, echte Benutzernamen und E-Mails zu erkennen und diese für Brute-Force- oder Social-Engineering-Angriffe zu verwenden.
Deaktivieren der Standard-Anmeldefehlermeldung
Wenn diese Option aktiviert ist, werden in den Anmeldefehlermeldungen keine ungültigen Benutzernamen und E-Mails angezeigt, wenn versucht wird, sich mit nicht vorhandenen anzumelden. Stattdessen zeigt WP Cerber die standardmäßige WordPress-Fehlermeldung an, die verwendet wird, wenn ein Benutzer ein falsches Passwort eingibt. Dies verhindert, dass böswillige Akteure gültige Benutzernamen und E-Mails erraten. Dieser Ansatz wird auch als Deaktivieren von Anmeldehinweisen bezeichnet.
Mit der professionellen Version von WP Cerber können Sie im Einstellungsfeld „Benutzerdefinierte Anmeldefehlermeldung“ Ihre eigene Anmeldefehlermeldung angeben.
Deaktivieren der Standardfehlermeldung zum Zurücksetzen des Kennworts
Wenn diese Option aktiviert ist, werden in den Fehlermeldungen zum Zurücksetzen des Passworts keine ungültigen Benutzernamen und E-Mails angezeigt, wenn versucht wird, das Passwort für einen nicht vorhandenen Benutzernamen oder eine nicht vorhandene E-Mail-Adresse zurückzusetzen. Stattdessen ahmt WP Cerber den Standardprozess zum Zurücksetzen von Passwörtern nach und zeigt die folgende Meldung an, wenn Benutzer gültige oder nicht vorhandene Benutzernamen und E-Mails eingeben.
Dieser Ansatz trägt dazu bei, zu verhindern, dass böswillige Akteure gültige Benutzernamen erraten. Er wird als Deaktivieren von Hinweisen zum Zurücksetzen von Passwörtern bezeichnet.
Mit der professionellen Version von WP Cerber können Sie im Einstellungsfeld „Benutzerdefinierte Fehlermeldung bei der Anmeldung“ Ihre eigene Fehlermeldung zum Zurücksetzen des Kennworts angeben.
Beachten Sie, dass alle oben beschriebenen Funktionen nicht für die IP-Adressen in der White IP Access List gelten.