WordPress Security How To

Starke Login-Sicherheit mit WP Cerber


English version: Strong login security with WP Cerber


Es ist kein Geheimnis, dass Angreifer innerhalb weniger Minuten in ein neu installiertes WordPress einbrechen können, indem sie einen Brute-Force-Angriff durchführen. Das ist möglich, weil WordPress keine eingebauten Mechanismen zur Abwehr von Angriffen hat, die Standard-Anmelde-URL bekannt ist und der Benutzername des Administrators einer Website leicht ermittelt werden kann. WP Cerber bringt alle notwendigen Tools mit, um Brute-Force-Angriffe abzuschwächen und Benutzerkonten zu schützen.

Konfigurieren der Anmeldesicherheitseinstellungen von WP Cerber

Die Anmeldesicherheitseinstellungen befinden sich auf der Registerkarte Haupteinstellungen. Hier können Sie die Beschränkungen für Anmeldeversuche konfigurieren, den Zugriff auf wp-login.php einschränken und Fehlermeldungen konfigurieren, um zu verhindern, dass Benutzernamen und E-Mails entdeckt werden, wenn nicht vorhandene Benutzernamen und E-Mails verwendet werden.

Anmeldeversuche einschränken, um Brute-Force-Angriffe abzuwehren

Die standardmäßigen und empfohlenen Einstellungen zur Begrenzung der Anmeldeversuche sind auf dem Screenshot als Nr. 1 hervorgehoben. Diese Einstellungen wurden festgelegt, als Sie WP Cerber aktiviert haben. Wenn Sie viele Kunden auf der Website haben, beispielsweise einen WooCommerce-Shop betreiben, ist es sinnvoll, das Limit für Anmeldeversuche zu erhöhen.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Verarbeitung von wp-login.php-Authentifizierungsanfragen

Siehe Auswahl Nr. 2. Standardmäßig verwendet WordPress wp-login.php als Website-Anmeldeseite, die alle Benutzeranmeldungen verarbeitet und das Registrierungsformular und das Formular zum Zurücksetzen des Passworts bereitstellt. Wenn Sie die benutzerdefinierte Anmelde-URL konfiguriert haben, wird empfohlen, wp-login.php zu deaktivieren. Sie haben zwei Möglichkeiten. Sie können den Zugriff auf wp-login.php vollständig blockieren und die Datei für niemanden zugänglich machen, oder Sie können die Benutzerauthentifizierung über wp-login.php deaktivieren, ohne den Zugriff auf die Datei zu blockieren. Sie können eine der Optionen auswählen. Beide verhindern die Benutzerauthentifizierung über wp-login.php.

Wenn die erste Option aktiviert ist, rendert WP Cerber die Fehlerseite „404 Seite nicht gefunden“ und gibt sie zurück, als gäbe es keine solche Datei auf der Website. Schlechte Schauspieler haben also nichts zu attackieren.

Wenn die zweite Option aktiviert ist, verhindert WP Cerber jede Benutzerauthentifizierung, selbst mit korrekten Benutzernamen und Passwörtern. Das bedeutet, dass sich niemand mit wp-login.php anmelden kann. Nach einem Versuch, sich über wp-login.php anzumelden, zeigt WP Cerber die standardmäßige Fehlermeldung „Falsches Passwort“, die den standardmäßigen WordPress-Authentifizierungsprozess nachahmt. Die Verwendung dieses Ansatzes hilft WP Cerber, langsame Brute-Force-Angriffe zu erkennen, indem wp-login.php als Erkennungs-Honeypot verwendet wird. Alle Versuche, sich über wp-login.php anzumelden, werden im Aktivitätsprotokoll von WP Cerber protokolliert, wie im folgenden Screenshot gezeigt.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Verhindern Sie, dass Angreifer echte Benutzernamen und E-Mail-Adressen von Kunden entdecken

Die von WordPress generierten Standard-Login- und Passwort-Reset-Fehlermeldungen sind ziemlich ausführlich und helfen Hackern, echte Benutzernamen und E-Mails zu erkennen, um sie für Brute-Force- oder Social-Engineering-Angriffe zu verwenden.

Deaktivieren Sie die standardmäßige Anmeldefehlermeldung

Wenn diese Option aktiviert ist, zeigen die Anmeldefehlermeldungen keine ungültigen Benutzernamen und E-Mail-Adressen an, wenn versucht wird, sich mit nicht vorhandenen anzumelden . Stattdessen zeigt WP Cerber die standardmäßige WordPress-Fehlermeldung an, die verwendet wird, wenn ein Benutzer ein falsches Passwort eingibt. Dies verhindert, dass Angreifer gültige Benutzernamen und E-Mail-Adressen erraten. Dieser Ansatz wird auch als Deaktivierung von Anmeldehinweisen bezeichnet.

Die professionelle Version von WP Cerber ermöglicht es Ihnen, Ihre eigene Anmeldefehlermeldung mithilfe des Einstellungsfelds Benutzerdefinierte Anmeldefehlermeldung festzulegen.

Deaktivieren Sie die standardmäßige Fehlermeldung zum Zurücksetzen des Kennworts

Wenn diese Option aktiviert ist, weisen die Fehlermeldungen zum Zurücksetzen des Passworts nicht auf ungültige Benutzernamen und E-Mail-Adressen hin, wenn versucht wird, das Passwort für einen nicht vorhandenen Benutzernamen oder eine nicht vorhandene E-Mail-Adresse zurückzusetzen. Stattdessen ahmt WP Cerber den Standardprozess zum Zurücksetzen von Passwörtern nach und zeigt die folgende Meldung an, wenn Benutzer gültige oder nicht vorhandene Benutzernamen und E-Mail-Adressen eingeben.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Dieser Ansatz verhindert, dass Angreifer gültige Benutzernamen erraten, und wird als Deaktivierung von Hinweisen zum Zurücksetzen von Passwörtern bezeichnet.

Die professionelle Version von WP Cerber ermöglicht es Ihnen, Ihre eigene Fehlermeldung zum Zurücksetzen des Passworts festzulegen, indem Sie das Einstellungsfeld Benutzerdefinierte Anmeldefehlermeldung verwenden.

Beachten Sie, dass alle oben beschriebenen Funktionen nicht für die IP-Adressen in der White IP Access List gelten.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.