Support » Allgemeine Fragen » 403 bei wp-login

  • Gelöst stef1964

    (@stef1964)


    Hallo Support,

    ich habe ein sehr merkwürdiges Phänomen bei einer Website, die ich gestern online gestellt habe: https://haramita.de/

    Ich baue die Website für eine Freund. Der sagte mir heute morgen, dass er beim Aufruf von https://haramita.de/login einen 403 Error bekommt. Dasselbe Problem hat er, wenn er die Website neu in der WordPress-App einrichten will (damit bearbeitet er normalerweise die Seiten).

    Ich bekomme diesen 403-Error aber nicht. Ich sehe ganz normal den WP Anmelde-Screen. Das kann ich mir überhaupt nicht erklären (warum er den 403 sieht und ich nicht.)

    Zur Info: der Domain-Transfer hat gestern erst stattgefunden. Die Domain wurde zuvor von einem anderen Hoster verwaltet. Kann es damit etwas zu tun haben?

    Das Problem ist halt jetzt, dass er sich aufgrund dieses Fehlers nicht einloggen kann, um die Seiten weiter zu bearbeiten.

    Hat jemand eine Idee?

    Danke!!

    • Dieses Thema wurde geändert vor 6 Tage, 9 Stunden von stef1964.
    • Dieses Thema wurde geändert vor 6 Tage, 9 Stunden von stef1964.
Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • Der Fehler 403–Forbidden kann auftauchen, wenn du z.B. einen Verzeichnisnamen aufrufst, aber keinen Dokumentennamen angibst. Der Webserver wird üblicherweise so eingestellt, dass dann eine index.php oder index.html in diesem Verzeichnis abgerufen wird. Gibt es diese Dateien nicht, kann je nach Einstellung des Webservers ein Inhaltsverzeichnis des Verzeichnisses ausgegeben werden. Davon wird aber abgeraten, weil es sonst Angreifer bei der Suche nach möglichen Sicherheitslücken unterstützt. Deshalb wird der Zugriff auf ein Verzeichnis ohne index.*-Datei verboten – du bekommst eine Fehlermeldung 404-Forbidden.

    Nun stellt sich grundsätzlich die Frage, was ihr mit dem in einer WordPress-Installation gar nicht vorhandenen Verzeichnis login anfangen wollt. WordPress erkennt, dass es dieses Verzeichnis nicht gibt, sucht nach einer Seite „login“, die es auch nicht gibt und leitet dann als „nächstbester Treffer“ auf die Anmeldeseite https://example.com/wp-login.php (natürlich mit deiner Domain) weiter.

    Wieso das nun bei einem klappt, beim anderen aber nicht, kann ich nicht sagen. Ich empfehle aber, die richtige Anmeldeseite wp-login.php aufzurufen. Dann sollte es auch keine Probleme geben.

    Da der Name des Anmeldeformulars allgemein bekannt ist, gibt es übrigens Sicherheits-Plugins, die eine Umbenennung zum Beispiel in https://example.com/mein-login ermöglichen. Damit soll verhindert werden, dass Angreifer die Adresse des Anmeldeformulars für BruteForce-Angriffe („Passwort raten“) missbrauchen. Wirkungsvoller (und ein kleines bisschen mühsamer) ist die Verwendung eines Plugins zur Zwei-Faktor-Authentifikation (z.B. Two Factor).

    Thread-Starter stef1964

    (@stef1964)

    Hallo @pixolin,

    Danke für Deine schnelle Antwort!

    Verrückterweise hatte sich das Problem dann zwei Stunden später von selbst erledigt. Ich vermute daher, dass es wohl doch mit dem Domain-Transfer zu tun hatte, der gestern erst stattgefunden hat. Womöglich hatte sein Internet-Provider das „Telefonbuch“ noch nicht so schnell aktualisiert? Wie auch immer, nun passt es.

    Aber Danke für den Hinweis mit den Plugins, die die Login-URL umbenennen. Ich hatte bisher immer darauf vertraut, dass eine supersichere Username/Passwort-Kombination in Verbindung mit dem Plugin „Limit Login Attempts“ (welches ich in jeder WP-Installation drin habe) den BruteForce-Angreifern keine Chance geben. Und bisher hatte ich auch immer Glück (klopf auf Holz!)

    Viele Grüße

    OK. Dann markiere ich den Thread noch als „gelöst“.

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)