WordPress Security How To
Posted By Gregory

Starke Login-Sicherheit mit WP Cerber


English version: Strong login security with WP Cerber


Es ist kein Geheimnis, dass schlechte Schauspieler innerhalb weniger Minuten durch einen Brute-Force-Angriff in ein neu installiertes WordPress eindringen können. Dies ist möglich, da in WordPress keine Mechanismen zur Abwehr von Angriffen integriert sind, die Standard-Anmelde-URL bekannt ist und der Benutzername des Administrators einer Website problemlos ermittelt werden kann. WP Cerber bietet alle erforderlichen Tools, um Brute-Force-Angriffe abzuschwächen und Benutzerkonten zu schützen.

Konfigurieren der Anmeldesicherheitseinstellungen von WP Cerber

Die Anmeldesicherheitseinstellungen befinden sich auf der Registerkarte Haupteinstellungen. Hier können Sie die Grenzen für Anmeldeversuche konfigurieren, den Zugriff auf wp-login.php einschränken und Fehlermeldungen konfigurieren, um zu verhindern, dass Benutzernamen und E-Mails erkannt werden, wenn nicht vorhandene Benutzernamen und E-Mails verwendet werden.

Begrenzung der Anmeldeversuche zur Abschwächung von Brute-Force-Angriffen

Die Standardeinstellungen und empfohlenen Einstellungen zur Begrenzung von Anmeldeversuchen werden im Screenshot als Satz 1 angezeigt. Diese Einstellungen werden festgelegt, wenn Sie WP Cerber aktiviert haben. Wenn Sie beispielsweise viele Kunden auf der Website haben und einen WooCommerce-Shop betreiben, ist es sinnvoll, das Limit für Anmeldeversuche zu erhöhen.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Verarbeitung von wp-login.php-Authentifizierungsanforderungen

Siehe Auswahl Nr. 2. Standardmäßig verwendet WordPress wp-login.php als Website-Anmeldeseite, die alle Benutzeranmeldungen verarbeitet sowie das Registrierungsformular und das Formular zum Zurücksetzen des Kennworts bereitstellt. Wenn Sie eine benutzerdefinierte Anmelde-URL aktiviert haben, wird empfohlen, wp-login.php zu deaktivieren. Sie haben zwei Möglichkeiten. Sie können den Zugriff auf wp-login.php vollständig blockieren und die Datei für jedermann unzugänglich machen, oder Sie können die Authentifizierung über wp-login.php deaktivieren. Wenn die letzte Option aktiviert ist, verhindert WP Cerber die Benutzerauthentifizierung auch bei korrekten Benutzernamen und Kennwörtern. Nach dem Versuch, sich über wp-login.php anzumelden, zeigt WP Cerber die Standardfehlermeldung mit falschem Kennwort an, die den Standard-WordPress-Authentifizierungsprozess nachahmt. Die Verwendung dieses Ansatzes hilft WP Cerber, langsame Brute-Force-Angriffe zu erkennen, indem wp-login.php als Erkennungs-Honeypot verwendet wird.

Verhindern Sie, dass schlechte Schauspieler gültige Benutzernamen und E-Mails erraten.

Standardmäßig sind die Fehlermeldungen zum Anmelden und Zurücksetzen von WordPress-Wörtern recht ausführlich und ermöglichen die Erkennung gültiger und nicht vorhandener Benutzernamen und E-Mails.

Deaktivieren Sie die Standardanmeldefehlermeldung

Wenn diese Option aktiviert ist, werden in den Anmeldefehlermeldungen keine ungültigen Benutzernamen und E-Mails angezeigt, wenn versucht wird, sich mit nicht vorhandenen anzumelden. Stattdessen zeigt WP Cerber die Standard-WordPress-Fehlermeldung an, die verwendet wird, wenn ein Benutzer ein falsches Kennwort eingibt. Dies verhindert, dass schlechte Schauspieler gültige Benutzernamen und E-Mails erraten. Dieser Ansatz wird auch als Deaktivieren von Anmeldehinweisen bezeichnet.

Deaktivieren Sie die Standardfehlermeldung zum Zurücksetzen des Kennworts

Wenn diese Option aktiviert ist, werden in den Fehlermeldungen zum Zurücksetzen des Kennworts keine ungültigen Benutzernamen und E-Mails angezeigt, wenn versucht wird, das Kennwort für einen nicht vorhandenen Benutzernamen oder eine nicht vorhandene E-Mail zurückzusetzen. Stattdessen ahmt WP Cerber den Standardprozess zum Zurücksetzen von Kennwörtern nach und zeigt die folgende Meldung an, wenn Benutzer gültige oder nicht vorhandene Benutzernamen und E-Mails eingeben.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Dieser Ansatz verhindert, dass schlechte Akteure gültige Benutzernamen erraten, und wird als Deaktivieren von Hinweisen zum Zurücksetzen von Passwörtern bezeichnet.

Beachten Sie, dass alle oben beschriebenen Funktionen nicht für die IP-Adressen in der White IP Access List gelten .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.