Starke Anmeldesicherheit mit WP Cerber
English version: Strong login security with WP Cerber
Es ist kein Geheimnis, dass Angreifer innerhalb weniger Minuten durch einen Brute-Force-Angriff in eine neu installierte WordPress-Website eindringen können. Dies ist möglich, da WordPress keine integrierten Schutzmechanismen gegen solche Angriffe besitzt, die Standard-Login-URL bekannt ist und der Benutzername des Website-Administrators leicht ermittelt werden kann. WP Cerber bietet alle notwendigen Tools, um Brute-Force-Angriffe abzuwehren und Benutzerkonten zu schützen.
Konfigurieren der Anmeldesicherheitseinstellungen von WP Cerber
Die Anmeldesicherheitseinstellungen befinden sich auf der Registerkarte „Haupteinstellungen“. Hier können Sie die Anzahl der Anmeldeversuche begrenzen, den Zugriff auf wp-login.php einschränken und Fehlermeldungen konfigurieren, um zu verhindern, dass Benutzernamen und E-Mail-Adressen ermittelt werden, wenn nicht existierende Benutzernamen und E-Mail-Adressen verwendet werden.
Begrenzung der Anmeldeversuche zur Eindämmung von Brute-Force-Angriffen
Die Standardeinstellungen und die empfohlenen Einstellungen zur Begrenzung der Anmeldeversuche sind im Screenshot mit Nr. 1 hervorgehoben. Diese Einstellungen wurden bei der Aktivierung von WP Cerber festgelegt. Wenn Sie viele Kunden auf Ihrer Website haben, beispielsweise einen WooCommerce-Shop betreiben, ist es sinnvoll, das Limit für die Anmeldeversuche zu erhöhen.
WordPress Login Security – WP Cerber Settings
Verarbeitung von Authentifizierungsanfragen an wp-login.php
Siehe Auswahl Nr. 2. Standardmäßig verwendet WordPress die Datei wp-login.php als Anmeldeseite, die alle Benutzeranmeldungen verarbeitet und das Registrierungsformular sowie das Formular zum Zurücksetzen des Passworts bereitstellt. Wenn Sie eine benutzerdefinierte Anmelde-URL konfiguriert haben, wird empfohlen, wp-login.php zu deaktivieren. Sie haben zwei Möglichkeiten: Sie können den Zugriff auf wp-login.php vollständig blockieren und die Datei für alle unzugänglich machen, oder Sie können die Benutzerauthentifizierung über wp-login.php deaktivieren, ohne den Zugriff auf die Datei zu blockieren. Sie können eine der beiden Optionen wählen. Beide verhindern die Benutzerauthentifizierung über wp-login.php.
Wenn die erste Option aktiviert ist, rendert und gibt WP Cerber die Fehlerseite „404 Seite nicht gefunden“ zurück, als ob die betreffende Datei auf der Website nicht vorhanden wäre. Dadurch haben Angreifer keine Angriffsfläche.
Wenn die zweite Option aktiviert ist, verhindert WP Cerber jegliche Benutzerauthentifizierung, selbst bei korrekten Benutzernamen und Passwörtern. Das bedeutet, dass sich niemand über wp-login.php anmelden kann. Nach einem Anmeldeversuch über wp-login.php zeigt WP Cerber die standardmäßige Fehlermeldung „Falsches Passwort“ an, die dem Standard-WordPress-Authentifizierungsprozess entspricht. Dieser Ansatz hilft WP Cerber, langsame Brute-Force-Angriffe zu erkennen, indem wp-login.php als Honeypot dient. Alle Anmeldeversuche über wp-login.php werden im WP-Cerber-Aktivitätsprotokoll protokolliert, wie im Screenshot unten dargestellt.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Verhindern Sie, dass Betrüger echte Benutzernamen und E-Mail-Adressen von Kunden herausfinden.
Die von WordPress generierten Standard-Fehlermeldungen für Login und Passwortzurücksetzung sind recht ausführlich und helfen Hackern, echte Benutzernamen und E-Mail-Adressen zu ermitteln, um diese für Brute-Force- oder Social-Engineering-Angriffe zu verwenden.
Standardmäßige Anmeldefehlermeldung deaktivieren
Wenn diese Funktion aktiviert ist, werden beim Anmeldeversuch mit nicht existierenden Benutzernamen und E-Mail-Adressen keine ungültigen Anmeldefehler angezeigt. Stattdessen zeigt WP Cerber die standardmäßige WordPress-Fehlermeldung an, die bei Eingabe eines falschen Passworts verwendet wird. Dies verhindert, dass Angreifer gültige Benutzernamen und E-Mail-Adressen erraten. Diese Vorgehensweise wird auch als Deaktivierung von Anmeldehinweisen bezeichnet.
Die professionelle Version von WP Cerber ermöglicht es Ihnen, mithilfe des Einstellungsfelds „Benutzerdefinierte Anmeldefehlermeldung“ Ihre eigene Anmeldefehlermeldung festzulegen.
Standardmäßige Fehlermeldung zum Zurücksetzen des Passworts deaktivieren
Wenn diese Funktion aktiviert ist, werden bei dem Versuch, das Passwort für einen nicht existierenden Benutzernamen oder eine nicht existierende E-Mail-Adresse zurückzusetzen, keine ungültigen Benutzernamen oder E-Mail-Adressen angezeigt. Stattdessen ahmt WP Cerber den Standardvorgang zum Zurücksetzen von Passwörtern nach und zeigt die folgende Meldung an, unabhängig davon, ob ein gültiger oder ein nicht existierender Benutzername oder eine E-Mail-Adresse eingegeben wird.
The new WordPress password reset message generated by WP Cerber Security
Dieser Ansatz hilft, zu verhindern, dass Angreifer gültige Benutzernamen erraten, und wird als Deaktivierung von Hinweisen zum Zurücksetzen des Passworts bezeichnet.
Die professionelle Version von WP Cerber ermöglicht es Ihnen, mithilfe des Einstellungsfelds „Benutzerdefinierte Anmeldefehlermeldung“ Ihre eigene Fehlermeldung für das Zurücksetzen des Passworts festzulegen.
Beachten Sie, dass alle oben beschriebenen Funktionen nicht für die IP-Adressen in der White IP Access List gelten.
WP Cerber Security 8.5.8
Behebung von Problemen mit Malware-Scannern
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.