Beschreibung
Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche. Das ermöglicht es Angreifern Zugangsdaten durch simple Wiederholung zu erraten. Diese Art von Angriff nennt man auch Brute-Force-Attacke. Protect Login entschärft dieses Problem dadurch, dass es Anmeldeversuche nach einer Serie fehlgeschlagener Versuche verlangsamt.
Aber das war uns noch nicht genug. Wir arbeiten außerdem an Möglichkeiten, Passwörter für WordPress-Benutzer sicherer zu machen. Aktuell haben wir dafür schon die Möglichkeit eingebaut, Passwort-Regeln durchzusetzen, damit Benutzer keine schwachen Passwörter für ihre Konten nutzen können.
Installation
- Lade die Plugin-Dateien in das Verzeichnis
/wp-content/plugins/protect-loginhoch oder installiere das Plugin direkt über die WordPress Plugin-Ansicht. - Aktiviere das Plugin über die Ansicht „Plugins“ in WordPress.
- Die Standard-Einstellungen werden nach Aktivierung automatisch angewendet. Navigiere zu Einstellungen > Protect Login um sie zu ändern
FAQ
-
Wer seid ihr eigentlich?
-
Wir sind Thomas und Simon, zwei WordPress-Enthusiasten. Und wir haben die verrückte Idee, ein gutes Plugin anzubieten, ohne dafür nach Geld oder Aufmerksamkeit zu fragen.
Der Anfang unserer Arbeit an Protect Login wurde von group.one unterstützt.
-
Warum habt ihr dieses Plugin entwickelt?
-
Uns liegt WordPress am Herzen und wir möchten mithelfen, WordPress-Websites sicher zu halten. Daher haben wir beschlossen, auf dem originalen Limit Login Attempts plugin aufzubauen und ein neues kleines Sicherheits-Plugin zu entwickeln.
Wir tun das für alle WordPress-Benutzer. Protect Login ist 100% kostenfrei und wird dich nie mit Upsells oder Angst-Marketing belästigen. Du hast besseres zu tun, oder? -
Warum werden fehlgeschlagene Anmeldeversuche nach einer erfolgreichen Anmeldung nicht zurückgesetzt?
-
Das war tatsächlich Absicht. Sonst könnte ein Benutzer mit weniger Berechtigungen einfach das Passwort eines Admin-Benutzers erraten, in dem er sich zwischen den Fehlversuchen regelmäßig mit dem eigenen Konto anmeldet.
-
Woher weiß ich, ob meine Website hinter einem Reverse-Proxy steht?
-
Wenn du dir da nicht sicher bist, stehen die Chancen recht hoch, dass deine Website sich nicht hinter einem Reverse-Proxy befindet. Aber die Einstellungen von Protect Login bieten dir die Möglichkeit, einen Proxy-Modus zu aktivieren.
Ein Reverse-Proxy ist ein Server, der zwischen deiner Website und dem Internet steht (um zum Beispiel Coaching oder Load-Balancing zu übernehmen). Dieses Setup macht es etwas schwieriger die richtige IP-Adresse eines Besuchers zu ermitteln, um sie zu blockieren. -
Kann ich meine IP-Adresse auf eine Allow-Liste packen, damit ich nicht ausgesperrt werde?
-
Ja, es gibt einen Tab für die Allow-List in den Protect-Login-Einstellungen.
-
Ich habe mich selbst ausgesperrt, während ich das Plugin getestet habe – was jetzt?
-
Du kannst entweder warten, bis dein Konto/IP-Adresse wieder entlockt sind, oder du kannst mit (S)FTP- oder SSH-Zugang zur Seite das Verzeichnis „Wp-content/plugins/protect-login“ umbenennen um das Plugin zu deaktivieren.
-
Werden IPv6-Adressen unterstützt?
-
Ja, wenn der Webserver eine IPv6-Adresse an die WordPress-Installation weitergibt, kann das Plugin (ab Version 1.2.0) mit IPv6 umgehen.
Rezensionen
Mitwirkende und Entwickler
„Protect Login“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:
Mitwirkende
„Protect Login“ wurde in 1 Sprache übersetzt. Danke an die Übersetzer für ihre Mitwirkung.
Übersetze „Protect Login“ in deine Sprache.
Interessiert an der Entwicklung?
Durchstöbere den Code, sieh dir das SVN-Repository an oder abonniere das Entwicklungsprotokoll per RSS.
Änderungsprotokoll
1.4.7
- Bugfix: Fixed Bug in at-a-glance widget
1.4.6
- Migration path of password strength rules
- Tested with WordPress 6.8
- Improvement: Added description texts to blocklist, allowlist and blocked-addresses list
- Improvement: Added Copy-to-Clipboard for Remote API settings
- Improvement: One-Click auto-generate for Remote API key
1.4.5
- Bugfix: Error message „Invalid credentials“ was displayed, when wp-login.php ist called directly or hidden by renaming of Admin Login URL
1.4.4
- Bugfix: Fixed issue an invalid login was recognize on logging out from WP
- Bugfix: Fixes issue error message always was „too many failed login attempts“ even when it was the first trial
1.4.3
- Bugfix: Fixed button „Add IP address to allowlist and release“
- Bugfix: Fixed displaying setting in „At a glance widget“
1.4.2
- Removed „Your IP address“ on blocklist tab
- Added headlines on allowlist, blocklist and blocked ip addresses
- Removed .github dir
1.4.1
- Bugfix: Fixed issue that prevented „Add own ip address to allowlist“ from working
- Auto re-create WP sessions on activating plugin
- Bugfix: Fixed issue on creating session cookie on multisite
1.4.0
- Automatically clean up the locked-out list a week after IP addresses have been cleared
- Improve the design of empty IP lists
- Add own IP v6 / IPv6 – Address to allowlist
- Check for blocked IP on XML-RPC
- Bugfix: Fixed issues that prevented the plugin from discovering that it runs on a multisite
- Bugfix: Compatibility fixes to PHP 7.4
- Bugfix: Removed ending slashes from Rest API namespaces
1.3.1
- Bugfix: Improved error handling if non-numeric value is stored in wp_options
- Cleanup: Removed leading whitespace in translation file for widget
- Bugfix: Settings visible on multisite if name of the plugin directory is not „protect-login“
- Bugfix: An error occurred on WP multisites with enabled WP_DEBUG, because of too early load of translation files
- Moved „settings“ sections to admin_init – action
- WP 6.7 compatibility
1.3.0
- Count of currently locked-out address visible in „At a glance“ Widget
- Fixed bug on activation plugin through wp-cli in a multisite environment
- Remote API support
- Improved multisite support
1.2.0
- IPv6-Unterstützung
- Endpunkte für WP-CLI
- Filter für die Passwortstärke hinzugefügt
- Link zu den Einstellungen in der Plugin-Übersicht
- Fehlerbehebung: Die Zeichenfolge „Passwort zu kurz“ entfernt. Es erschien fälschlicherweise im „Schneller Entwurf“-Widget.
1.1.1
- Ungenutzte Zeichenfolgen entfernt
- Kommentare für Übersetzer*innen hinzugefügt
- Umstrukturierung einiger Zeichenfolgen für einfachere Übersetzungen
1.1.0
- Mit WordPress 6.6 getestet
- Multisite-Unterstützung hinzugefügt
- Filter zum programmatischen Setzen von Protection Levels hinzugefügt
- Fehler mit Zeitstempeln, die immer nur UTC angezeigt haben, behoben
1.0.1
- Kleine Fehlerkorrekturen
1.0
- Erste Version
- basiert auf Limit Login Attempts 1.7. von Johan Eenfeldt