Beschreibung
Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche. Das ermöglicht es Angreifern Zugangsdaten durch simple Wiederholung zu erraten. Diese Art von Angriff nennt man auch Brute-Force-Attacke. Protect Login entschärft dieses Problem dadurch, dass es Anmeldeversuche nach einer Serie fehlgeschlagener Versuche verlangsamt.
Aber das war uns noch nicht genug. Wir arbeiten außerdem an Möglichkeiten, Passwörter für WordPress-Benutzer sicherer zu machen. Aktuell haben wir dafür schon die Möglichkeit eingebaut, Passwort-Regeln durchzusetzen, damit Benutzer keine schwachen Passwörter für ihre Konten nutzen können.
Installation
- Lade die Plugin-Dateien in das Verzeichnis
/wp-content/plugins/protect-loginhoch oder installiere das Plugin direkt über die WordPress Plugin-Ansicht. - Aktiviere das Plugin unter dem Menüpunkt „Plugins“ in WordPress.
- Die Standard-Einstellungen werden nach Aktivierung automatisch angewendet. Navigiere zu Einstellungen > Protect Login um sie zu ändern
FAQ
-
Wer seid ihr eigentlich?
-
Wir sind Thomas und Simon, zwei WordPress-Enthusiasten. Und wir haben die verrückte Idee, ein gutes Plugin anzubieten, ohne dafür nach Geld oder Aufmerksamkeit zu fragen.
Der Anfang unserer Arbeit an Protect Login wurde von group.one unterstützt.
-
Warum habt ihr dieses Plugin entwickelt?
-
Uns liegt WordPress am Herzen und wir möchten mithelfen, WordPress-Websites sicher zu halten. Daher haben wir beschlossen, auf dem originalen Limit Login Attempts plugin aufzubauen und ein neues kleines Sicherheits-Plugin zu entwickeln.
Wir tun das für alle WordPress-Benutzer. Protect Login ist 100% kostenfrei und wird dich nie mit Upsells oder Angst-Marketing belästigen. Du hast besseres zu tun, oder? -
Warum werden fehlgeschlagene Anmeldeversuche nach einer erfolgreichen Anmeldung nicht zurückgesetzt?
-
Das war tatsächlich Absicht. Sonst könnte ein Benutzer mit weniger Berechtigungen einfach das Passwort eines Admin-Benutzers erraten, in dem er sich zwischen den Fehlversuchen regelmäßig mit dem eigenen Konto anmeldet.
-
Woher weiß ich, ob meine Website hinter einem Reverse-Proxy steht?
-
Wenn du dir da nicht sicher bist, stehen die Chancen recht hoch, dass deine Website sich nicht hinter einem Reverse-Proxy befindet. Aber die Einstellungen von Protect Login bieten dir die Möglichkeit, einen Proxy-Modus zu aktivieren.
Ein Reverse-Proxy ist ein Server, der zwischen deiner Website und dem Internet steht (um zum Beispiel Coaching oder Load-Balancing zu übernehmen). Dieses Setup macht es etwas schwieriger die richtige IP-Adresse eines Besuchers zu ermitteln, um sie zu blockieren. -
Kann ich meine IP-Adresse auf eine Allow-Liste packen, damit ich nicht ausgesperrt werde?
-
Ja, es gibt einen Tab für die Allow-List in den Protect-Login-Einstellungen.
-
Ich habe mich selbst ausgesperrt, während ich das Plugin getestet habe – was jetzt?
-
Du kannst entweder warten, bis dein Konto/IP-Adresse wieder entlockt sind, oder du kannst mit (S)FTP- oder SSH-Zugang zur Seite das Verzeichnis „Wp-content/plugins/protect-login“ umbenennen um das Plugin zu deaktivieren.
-
Werden IPv6-Adressen unterstützt?
-
Ja, wenn der Webserver eine IPv6-Adresse an die WordPress-Installation weitergibt, kann das Plugin (ab Version 1.2.0) mit IPv6 umgehen.
Rezensionen
Mitwirkende und Entwickler
„Protect Login“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:
Mitwirkende
„Protect Login“ wurde in 1 Sprache übersetzt. Danke an die Übersetzer für ihre Mitwirkung.
Übersetze „Protect Login“ in deine Sprache.
Interessiert an der Entwicklung?
Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.
Änderungsprotokoll
1.4.7
- Bugfix: Fixed Bug in at-a-glance widget
1.4.6
- Migration path of password strength rules
- Tested with WordPress 6.8
- Improvement: Added description texts to blocklist, allowlist and blocked-addresses list
- Improvement: Added Copy-to-Clipboard for Remote API settings
- Improvement: One-Click auto-generate for Remote API key
1.4.5
- Bugfix: Error message „Invalid credentials“ was displayed, when wp-login.php ist called directly or hidden by renaming of Admin Login URL
1.4.4
- Bugfix: Fixed issue an invalid login was recognize on logging out from WP
- Bugfix: Fixes issue error message always was „too many failed login attempts“ even when it was the first trial
1.4.3
- Bugfix: Fixed button „Add IP address to allowlist and release“
- Bugfix: Fixed displaying setting in „At a glance widget“
1.4.2
- Removed „Your IP address“ on blocklist tab
- Added headlines on allowlist, blocklist and blocked ip addresses
- Removed .github dir
1.4.1
- Bugfix: Fixed issue that prevented „Add own ip address to allowlist“ from working
- Auto re-create WP sessions on activating plugin
- Bugfix: Fixed issue on creating session cookie on multisite
1.4.0
- Automatically clean up the locked-out list a week after IP addresses have been cleared
- Improve the design of empty IP lists
- Add own IP v6 / IPv6 – Address to allowlist
- Check for blocked IP on XML-RPC
- Bugfix: Fixed issues that prevented the plugin from discovering that it runs on a multisite
- Bugfix: Compatibility fixes to PHP 7.4
- Bugfix: Removed ending slashes from Rest API namespaces
1.3.1
- Bugfix: Improved error handling if non-numeric value is stored in wp_options
- Cleanup: Removed leading whitespace in translation file for widget
- Bugfix: Settings visible on multisite if name of the plugin directory is not „protect-login“
- Bugfix: An error occurred on WP multisites with enabled WP_DEBUG, because of too early load of translation files
- Moved „settings“ sections to admin_init – action
- WP 6.7 compatibility
1.3.0
- Count of currently locked-out address visible in „At a glance“ Widget
- Fixed bug on activation plugin through wp-cli in a multisite environment
- Remote API support
- Improved multisite support
1.2.0
- IPv6-Unterstützung
- Endpunkte für WP-CLI
- Filter für die Passwortstärke hinzugefügt
- Link zu den Einstellungen in der Plugin-Übersicht
- Fehlerbehebung: Die Zeichenfolge „Passwort zu kurz“ entfernt. Es erschien fälschlicherweise im „Schneller Entwurf“-Widget.
1.1.1
- Ungenutzte Zeichenfolgen entfernt
- Kommentare für Übersetzer*innen hinzugefügt
- Umstrukturierung einiger Zeichenfolgen für einfachere Übersetzungen
1.1.0
- Mit WordPress 6.6 getestet
- Multisite-Unterstützung hinzugefügt
- Filter zum programmatischen Setzen von Protection Levels hinzugefügt
- Fehler mit Zeitstempeln, die immer nur UTC angezeigt haben, behoben
1.0.1
- Kleine Fehlerkorrekturen
1.0
- Erste Version
- basiert auf Limit Login Attempts 1.7. von Johan Eenfeldt