Plugins
Schreibe einen Kommentar

WordPress – unerlaubte Anmeldeversuche blockieren

Anmeldeversuche blokieren

WordPress ist bei Bloggern eine sehr beliebte Sotfware und wird zunehmend auch zum Erstellen von Websites verwendet. Aktuell werden 29 % aller Websites im Internet mit WordPress erstellt. Damit wird WordPress ein beliebtes Ziel für Hackerangriffe. Das Thema Sicherheit wird oft von Bloggern vernachlässigt.

Wie kann ich meinen Blog vor Hackerangriffen schützen? Ein Zusammenspiel diverser Maßnahmen, mit und ohne Plugins, schließt mögliche Sicherheitslücken. Mit dem Thema Sicherheit beschäftigt sich der Beitrag Sicherheit und WordPress. In diesem Beitrag geht es um das Plugin Limit Login Attempts reloaded, das unerlaubte Anmeldeversuche blockiert und die Sicherheit deines Blogs erhöht.


Anmeldeversuche blockieren – wie arbeitet das Plugin?

WordPress erlaubt standardmäßig unbegrenzt viele Anmeldeversuche. Im Klartext: die Angreifer probieren so lange eine Kombination aus Benutzernamen und Passwort, bis sie die richtige Kombination gefunden haben und sich einloggen können. Das kostenlose Plugin Limit Login Attempts kontrolliert die Anmeldeversuche und blockiert die IP-Adresse der Angreifer für eine bestimmte Zeit, wenn ein falscher Benutzername oder falsches Passwort eingegeben wurde.

Eine 100% Sicherheit gibt es nicht. Das Plugin schützt jedoch gut vor automatisch ablaufenden Angriffen auf beliebte Benutzernamen und erhöht die Sicherheit der WordPress Installation. Benutzernamen, wie admin, test, demo, wordpress etc. sind daher tabu genauso, wie Wörter aus dem Domainnamen oder dem Titel des Blogs.

Das Plugin Limit Login Attempts gehört zu den 5 wichtigsten Plugins, die in einem Blog nicht fehlen dürfen. Der Beitrag Die wichtigsten Plugins beschäftigt sich ebenfalls mit Plugins.

Die Kontrolle der Anmeldeversuche ist in einigen umfangreichen Sicherheitsplugins (z,B. in iThemes Security) bereits enthalten.

Das Plugin Limit Login Attempts reloaded

Das ursprüngliche Plugin Limit Login Attempts wurde seit mehr als fünf Jahren nicht mehr aktualisiert. Basierend auf dem Originalcode wurde das Plugin Limit Login Attempts reloaded weiter entwickelt und wird bei Bedarf aktualisiert.

Die Funktionen des alten Plugins wurden übernommen und einige neue hinzugefügt. Welche Funktionen das sind, steht auf der Pluginseite von wordpress.org.

Wichtig: Das alte Plugin muss vollständig entfernt werden, bevor das neue Plugin installiert wird.

Nicht irritieren lassen, im Backend erscheint der alte Name Limit Login Attempts

Das Plugin installieren

  1. Als Admin einloggen
  2. Altes Plugin Limit Login Attempts deaktivieren und löschen
  3. Neues Plugin Limit Login Attemps reloaded installieren und aktivieren
    Plugin installieren

    Neues Plugin installieren und akltivieren

     

Einstellungen vornehmen

Das Plugin schlägt Standardwerte vor, die sich jederzeit ändern lassen.

Einstellungen Plugin

Meine Einstellungen

Mir sind die Standardeinstellungen mit 45 Minuten Aussperrung und 48 Stunden Aussperrzeit nicht streng genug. Ich habe meine eigenen Werte eingetragen. Außerdem lasse ich mich bereits nach der ersten Aussperrung benachrichtigen. Du kannst hier eigene Erfahrungswerte einstellen.

Ein eingebauter Zähler zeigt die Anzahl der Anmeldeversuche. Der Zähler kann zurückgesetzt werden.

Optionen: Whitelist und Blacklist

Anmeldeversuche blockieren

Mit der Blacklist Anmeldeversuche blockieren

Die Whitelist und Blacklist sind sehr nützliche Optionen. Ich schätze vor allem die Whitelist, denn hier kann ich meine eigene IP-Adresse und Benutzernamen eintragen, um nicht ausgesperrt zu werden. Mir ist das nämlich schon ein paarmal passiert, ich habe mich selber ausgesperrt. Nach dem Eintrag in die Whitelist gehört das der Vergangenheit an.

Die Blacklist sperrt dagegen die eingetragenen IP’s und Benutzernamen. Bei massiven Angriffen lohnt es sich nicht, die IP’s in die Blacklist einzutragen. Die Angreifer arbeiten meist mit wechselnden IP-Adressen.

Protokoll der Anmeldeversuche

Das Plugin liefert ein Protokoll der Anmeldeversuche. Anhand der Liste ist zu sehen, mit welchen Benutzernamen die Angreifer ihre Versuche starten. Ist dein Benutzername in der Liste enthalten, solltest du ihn schleunigst ändern. Wie du das machen kannst, erkläre ich dir in dem Beitrag Benutzernamen admin ändern.

Die im Protokoll enthaltenen IP-Adressen kannst du in die Blacklist eintragen. Ich mache das nur, wenn eine IP-Adresse wiederholt auftaucht.

Protokoll

Protokoll der Aussperrungen

Enthält das Protokoll zu viele Einträge, kannst du sie löschen.

Fazit

Das Plugin Limit Login Attempts reloaded kontrolliert und blockiert unerwünschte Anmeldeversuche. Das Plugin arbeitet zuverlässig, ich möchte es nicht mehr missen. Die Angreifer müssen einige Hürden mehr überwinden, um zum Ziel zu kommen. Trotzdem: eine 100% Sicherheit gibt es nicht.

Kategorie: Plugins

von

Kristina hat mehrere Blogs mit WordPress aufgebaut und viele Erfahrungen als Blogger gesammelt. In diesem Blog gibt sie Tipps für erfolgreiches Bloggen mit WordPress. Hat dir der Beitrag gefallen? Dann verpasse keinen Artikel und abonniere den Newsletter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.