Support » Plugins » AIOS > Brute force > Rename login page

  • Gelöst Carsten Lippert

    (@falconcrest)


    Hi,

    vorab, ich beschäftige mich erst seit kurzem mit WordPress und den jeweiligen Plugins.

    Hier meine Frage: Nachdem ich eine neue Login-Seite (beispielhaft …/xyz-login) für das Dashboard mittels dem Plugin erstellt habe, habe ich ein Verständnisproblem damit. Der neue Aufruf funktioniert, aber eben auch noch immer …/wp-login. Ist es nicht Ziel dieser Anpassung, den bekannten Aufruf von …/wp-login zu unterbinden und durch einen, nur dem Admin bekannten Aufruf …/xyz-login zu ersetzen? Was kann ich falsch gemacht haben bzw. sind noch weitere Anpassung nötig oder habe ich den Zweck dieser Umbenennung völlig falsch interpretiert. Für einen Lösungsansatz wäre dankbar.

    Gruß Carsten

Ansicht von 8 Antworten - 1 bis 8 (von insgesamt 8)
  • Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    woher sollen wir wissen, welches Plugin du dafür verwendet hast, welche WordPress-Version du hast, … etc.?

    Außerdem halte ich nichts davon – siehe als Beispiel auch dieser Beitrag.

    Leider mal wieder: bei einem Blick in unsere FAQ hättest du gesehen, dass wir ohne weitere Infos nur Kaffeesatzleserei betreiben können.

    Wenn du dann noch die URL oben einträgst, dann können wir uns das auch zunächst im Frontend ansehen und dir sicher besser helfen.

    Du findest unter Werkzeuge > Websitezustand > Info einen Bericht zur Website. Warte bitte einen Moment bis die Ladeanzeige ganz oben abgeschlossen ist und kopiere dann per Button den Website-Bericht in deine Zwischenablage. Über den Button „Bericht in die Zwischenablage kopieren“ kannst du den Bericht unverändert (bitte mit den Akzentzeichen am Anfang und Ende) einfügen und anschließend hier posten. Evtl. ergeben sich dann weitere Anhaltspunkte, ob und wo das Problem liegt.

    Viele Grüße
    Hans-Gerd

    Thread-Starter Carsten Lippert

    (@falconcrest)

    Hallo Hans-Gerd,

    zu Recht kritisierst Du meine etwas plumpe Art der Fragestellung hier. Ehrlich gesagt, die FAQ habe ich auch nicht gelesen.

    Versuchen wir es noch einmal auf’s Neue:

    Der Link zum Beitrag war sehr hilfreich, hat aber auch meine getätigten Einstellungen im Plugin „All in One WP Secutity“ unter WordPress 6.2.2 bestätigt.

    Ich habe nicht nur die Login page URL angepasst, sondern auch den Admin-Namen verändert, ein komplexes PW eingerichtet und obendrein noch die Zwei-Faktor-Authentifizierung.

    Also ich verlasse mich nicht nur auf die veränderte Login page URL.Es funktioniert soweit auch alles bestens, bis auf den Zustand, dass ich die Login Seite nicht nur noch mit der veränderten Login URL erreiche, sondern seltsamer Weise auch mit wp-login.

    Ich habe also durch die Anpassung nichts erreicht, sondern eher verschlechtert, da es nun sogar 2 Möglichkeiten gibt, sich einzuloggen. Zumindest verstehe ich es so.

    Da ich das Problem nicht in den Griff bekommen habe und mir, wie anfangs erwähnt, auch noch das notwendige Hintergrundwissen fehlt, habe ich mich folgendermaßen beholfen:

    Ich habe im oberhalb genannten Plugin die Funktion „Rename login page“ wieder deaktiviert und ein weiteres Plugin installiert (WPS Hide Login).

    Dort habe ich die Anmelde-URL angepasst und siehe da, es funktioniert nur noch diese Anmeldung. Nicht fein, aber als Workaround geht’s.

    Dennoch würde mich interessieren, warum ich es mit dem ersten Plugin nicht hinbekomme.

    Anfänglich hatte ich ein etwas mulmiges Gefühl mit dem Preisgeben der URL, aber der Link mit dem Hinweis auf die FAQ und den darin enthaltenen Aussagen, hat es zumindest ein wenig zerstreut.

    Gruß Carsten

    PS: Die URL ist erkennbar? Ich habe auf die Schnelle nicht gefunden, wo ich sie nachträglich eintragen kann.

    Moderator Bego Mario Garde

    (@pixolin)

    zu Recht kritisierst Du meine etwas plumpe Art der Fragestellung hier. Ehrlich gesagt, die FAQ habe ich auch nicht gelesen.

    Dazu hattest du doch jetzt Gelegenheit? Wieso bekommen wir dann immer noch keinen Website-Bericht? – Ohne Informationen zur Website können wir bestenfalls raten, aber keine qualifizierten Antworten geben.

    meine getätigten Einstellungen im Plugin „All in One WP Secutity“ …

    So wie deine Gesundheit nicht davon abhängt, ob du eine Multivitamin-Tablette einwirfst, ist die Sicherheit deiner Website nicht alleine mit Installation eines Plugins erledigt. All-in-One-Sicherheitsplugins, die alle möglichen Einstellungen anbieten, machen eine Website nicht alleine dadurch sicher, dass man wahllos alles anklickt.

    Dennoch würde mich interessieren, warum ich es mit dem ersten Plugin nicht hinbekomme.

    Jedes Plugin im WordPress-Verzeichnis hat ein eigenes Supportforum, über das du dich bei Problemen direkt mit dem Entwickler austauschen kannst. Der kann dir eher sagen, warum ein Problem auftaucht oder er nimmt es zum Anlass, das Plugin zu ändern.

    Anfänglich hatte ich ein etwas mulmiges Gefühl mit dem Preisgeben der URL,

    hier im Forum? Du kannst die URL zu deiner Website auch mit einem URL-Kürzer wie z.B. bitly.com kürzen. Was wir nicht sehen, können wir auch kaum beurteilen.

    Thread-Starter Carsten Lippert

    (@falconcrest)

    Ich muss schon sagen, harter Tobak hier, von allen Seiten gibt es Feuer. Aber gut, ich benötige Hilfe, dann muss ich diese Pille wohl oder übel schlucken…

    wp-core
    
    version: 6.2.2
    site_language: de_DE
    user_language: de_DE
    timezone: Europe/Berlin
    permalink: /%year%/%monthnum%/%day%/%postname%/
    https_status: true
    multisite: false
    user_registration: 0
    blog_public: 1
    default_comment_status: open
    environment_type: production
    user_count: 1
    dotorg_communication: true wp-paths-sizes wordpress_path: /homepages/18/d638640389/htdocs/Wordpress
    wordpress_size: 172,38 MB (180756888 bytes)
    uploads_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/uploads
    uploads_size: 99,63 MB (104471467 bytes)
    themes_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes
    themes_size: 2,51 MB (2630071 bytes)
    plugins_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
    plugins_size: 166,18 MB (174253955 bytes)
    database_size: 56,94 MB (59703296 bytes)
    total_size: 497,64 MB (521815677 bytes) wp-dropins (1) advanced-cache.php: true wp-active-theme name: Twenty Twenty-Three (twentytwentythree)
    version: 1.1
    author: Das WordPress-Team
    author_website: https://de.wordpress.org
    parent_theme: none
    theme_features: core-block-patterns, post-thumbnails, responsive-embeds, editor-styles, html5, automatic-feed-links, block-templates, widgets-block-editor
    theme_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes/twentytwentythree
    auto_update: Deaktiviert wp-mu-plugins (1) aios-firewall-loader.php: author: (undefined), version: (undefined) wp-plugins-active (15) All-in-One WP Migration: version: 7.75, author: ServMask, Automatische Aktualisierungen aktiviert
    All in One SEO: version: 4.3.8, author: All in One SEO Team, Automatische Aktualisierungen aktiviert
    All In One WP Security: version: 5.1.9, author: All In One WP Security & Firewall Team, Automatische Aktualisierungen aktiviert
    Complianz | GDPR/CCPA Cookie Consent: version: 6.4.6, author: Really Simple Plugins, Automatische Aktualisierungen aktiviert
    Elementor: version: 3.13.4, author: Elementor.com, Automatische Aktualisierungen aktiviert
    Independent Analytics: version: 1.24.0, author: Independent Analytics, Automatische Aktualisierungen aktiviert
    LightStart - Maintenance Mode, Coming Soon and Landing Page Builder: version: 2.6.7, author: Themeisle, Automatische Aktualisierungen aktiviert
    Local Google Fonts: version: 0.21.0, author: EverPress, Automatische Aktualisierungen aktiviert
    Ocean Extra: version: 2.1.7, author: OceanWP, Automatische Aktualisierungen aktiviert
    Ocean Stick Anything: version: 2.0.6, author: OceanWP, Automatische Aktualisierungen aktiviert
    Otter – Page Builder Blocks & Extensions for Gutenberg: version: 2.3.0, author: ThemeIsle, Automatische Aktualisierungen aktiviert
    Redirection: version: 5.3.10, author: John Godley, Automatische Aktualisierungen aktiviert
    UpdraftPlus - Backup/Restore: version: 1.23.4, author: UpdraftPlus.Com, DavidAnderson, Automatische Aktualisierungen aktiviert
    WP-Optimize - Clean, Compress, Cache: version: 3.2.15, author: David Anderson, Ruhani Rabin, Team Updraft, Automatische Aktualisierungen aktiviert
    WP Last Modified Info: version: 1.8.7, author: Sayan Datta, Automatische Aktualisierungen aktiviert wp-plugins-inactive (1) WPS Hide Login: version: 1.9.8, author: WPServeur, NicolasKulka, wpformation, Automatische Aktualisierungen aktiviert wp-media image_editor: WP_Image_Editor_GD
    imagick_module_version: Nicht verfügbar
    imagemagick_version: Nicht verfügbar
    imagick_version: Nicht verfügbar
    file_uploads: File uploads is turned off
    post_max_size: 64M
    upload_max_filesize: 64M
    max_effective_size: 64 MB
    max_file_uploads: 20
    gd_version: 2.2.5
    gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
    ghostscript_version: 9.27 wp-server server_architecture: Linux 4.4.302-icpu-092 x86_64
    httpd_software: Apache
    php_version: 8.1.19 64bit
    php_sapi: cgi-fcgi
    max_input_variables: 5000
    time_limit: 50000
    memory_limit: -1
    max_input_time: -1
    upload_max_filesize: 64M
    php_post_max_size: 64M
    curl_version: 7.64.0 OpenSSL/1.1.1n
    suhosin: false
    imagick_availability: false
    pretty_permalinks: true
    htaccess_extra_rules: true wp-database extension: mysqli
    server_version: 5.7.41-log
    client_version: mysqlnd 8.1.19
    max_allowed_packet: 67108864
    max_connections: 3000 wp-constants WP_HOME: undefined
    WP_SITEURL: undefined
    WP_CONTENT_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content
    WP_PLUGIN_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
    WP_MEMORY_LIMIT: 40M
    WP_MAX_MEMORY_LIMIT: -1
    WP_DEBUG: false
    WP_DEBUG_DISPLAY: true
    WP_DEBUG_LOG: false
    SCRIPT_DEBUG: false
    WP_CACHE: true
    CONCATENATE_SCRIPTS: undefined
    COMPRESS_SCRIPTS: undefined
    COMPRESS_CSS: undefined
    WP_ENVIRONMENT_TYPE: Nicht definiert
    DB_CHARSET: utf8mb4
    DB_COLLATE: undefined wp-filesystem wordpress: writable
    wp-content: writable
    uploads: writable
    plugins: writable
    themes: writable
    mu-plugins: writable aioseo (1) noindexed: Suchseite

    Moderator Bego Mario Garde

    (@pixolin)

    … harter Tobak hier, von allen Seiten gibt es Feuer.

    Schade, dass der Eindruck bei dir entsteht. Vielleicht überfliegst du unsere Antworten nochmal – die Antworten waren alle sachlich und nicht als „Feuer von allen Seiten“ gemeint.

    Wir helfen gerne, können aber nur helfen, wenn wir Informationen bekommen. Alles andere ist unseriöse Kaffesatzleserei, die dir noch viel weniger hilft.

    Allerdings ist es für uns mühsam, mehrmals am Tag auf die notwendigen Informationen hinzuweisen, obwohl wir das in angehefteten Beiträgen bereits sehr ausführlich dokumentiert haben. Darunter leidet dann auch ein wenig die Bereitschaft der wenigen Helfenden hier, immer wieder auf Selbstverständlichkeiten hinzuweisen. Dann auch noch, trotz sachlichen Hinweisen, einen rauhen Umgangston vorgeworfen zu bekommen, macht es nicht leichter. Wir machen das in unserer freien Zeit, um anderen zu helfen.

    wp-plugins-inactive (1): WPS Hide Login

    entspricht nicht deiner Aussage „Ich habe […] ein weiteres Plugin installiert (WPS Hide Login).“ – zumindest ist es nicht aktiviert und kann deshalb auch aktuell nicht die Anmeldeadresse ändern.

    Wie Hans-Gerd bereits schrieb, ist „Security by Obfuscation“ (Sicherheit durch Verschleierung) kein geeignetes Mittel, um die Website sicherer zu machen. Zusätzliche Sicherheit gegen Brute-Force-Angriffe schaffen Plugins zur Zwei-Faktor-Authentifizierung, z.B. Two Factor. Immerhin beruhigt es aber die Nerven, wenn simpele Angriffsskripte, die auf wp-login.php abzielen, ins Leere laufen.

    Dass du nach Installation eines Plugins zur Änderung der URL des Anmeldenformulars weiterhin unter wp-login.php ein Anmeldeformular angezeigt bekommst, kann auch daran liegen, dass du das Cache-Plugin falsch konfiguriert hast.

    Ich finde das Mantra hilfreich, in welcher Reihenfolge eine Website/Anwendung aufgebaut werden sollte:

    Make It Work, Make It Right (Save), Make It Fast.

    Thread-Starter Carsten Lippert

    (@falconcrest)

    Es ist überhaupt nicht als Angriff meinerseits gemeint, also nicht falsch versehen. Ich habe meine Worte bewusst gewählt, aber mehr oder weniger mit Augenzwinkern. Wir kochen mal alle etwas runter. 😉

    Mir ist nur so durch den Kopf gegangen, das wenn ich meine Support-Kunden so direkt auf Fehler Ihrerseits hinweise würde, wären die meisten Leute not amused. Allerdings besteht da ein großer Unterschied, Ihr macht das freiwillig und ich bekomme dafür Geld auf der Arbeit. Also nichts für ungut, Ihr habt ja Recht!

    Das Plugin „WPS Hide Login“ hatte ich bewusst deaktiviert, um den Zustand meines Problems wieder herzustellen. Ich hatte es doch, wie oberhalb beschrieben, als Workaround installiert.

    Durch das Lesen eines Buches zu WordPress wurde ich auf diverse Plugins aufmerksam, sicherlich lässt sich über die Sinnhaftigkeit mancher Plugins trefflich streiten, wie überall im Leben. Da ich kein Programmierer bin, muss ich mich erst einmal auf solche Dinge verlassen, denn das eigenständige Editieren einer .htaccess würde ich mir noch nicht unbedingt zutrauen.

    Ich schaue mir einmal die Konfiguration des Cache-Plugins an, vielleicht finde ich da ja etwas. Bis hierher erst einmal vielen Dank für Eure Bereitschaft zur Hilfe!

    Ach ja, ich hatte auch im englischen Forum bereits Fragen dazu gestellt und wenn es mich nicht täuscht, ist der Beantworter womöglich ein Supporter vom Hersteller des All in one WP Security – Plugins, aber irgendwie habe ich mich wohl extrem unverständlich ausgedrückt oder es bisher einfach nur nicht verstanden, was er mir mitteilen wollte. Deshalb versuchte ich es noch einmal im deutschsprachigen Forum.

    Gruß Carsten

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,

    Mir ist nur so durch den Kopf gegangen, das wenn ich meine Support-Kunden so direkt auf Fehler Ihrerseits hinweise würde, wären die meisten Leute not amused.

    Na ja, wenn aber ein Kunde dir über dein Forum z. B. schreiben würde: Das Gerät funktioniert nicht – dann würdest du wahrscheinlich auch nicht anders reagieren. Der einzige Hinweis bestand nun mal darin, dass es sich um ein Plugin „AIOS“ handelt. Sorry, aber bei aktuell 60.523 Plugins im WordPress Repository kenne ich wirklich nicht jede Abkürzung. 😉

    Ach ja, ich hatte auch im englischen Forum bereits Fragen dazu gestellt und wenn es mich nicht täuscht, ist der Beantworter womöglich ein Supporter vom Hersteller des All in one WP Security – Plugins

    Auch das ist eine Information, die für uns wichtig ist und zumindest der Link wäre sinnvoll, damit wir uns das ggfs. ansehen können.

    Das nur kurz zur Erklärung. Aber nichts für ungut. 😊

    Genau wie Bego halte ich allerdings nicht viel von solchen „Allzweckwaffen“. Das ist aber meine persönliche Meinung. In der Regel verwende ich bei WordPress-Instanzen das Plugin Two Factor und das Plugin NinjaFirewall. Dazu gibt es hier eine wunderbare Grundeinstellung.

    NinjaFirewall hat den Vorteil, dass die Einstellungen relativ übersichtlich sind und es sich nicht um die eierlegende Wollmilchsau handelt. Das Plugin verwende ich seit Jahren ohne Probleme in irgendeiner Form.

    Bezogen auf die Problematik mit All in one WP Security solltest du dich am besten direkt an den Support wenden.

    Viele Grüße
    Hans-Gerd

    Thread-Starter Carsten Lippert

    (@falconcrest)

    Ich nehme Eure Kritik zur Kenntnis und gelobe Besserung. 👍

    https://wordpress.org/support/topic/aios-brute-force-rename-login-page/

    Ich werde mir Deine Empfehlungen ansehen und für mich bewerten.

    Danke nochmals, für Eure Zeit, bis dann einmal.

    Gruß Carsten

Ansicht von 8 Antworten - 1 bis 8 (von insgesamt 8)
  • Das Thema „AIOS > Brute force > Rename login page“ ist für neue Antworten geschlossen.