AIOS > Brute force > Rename login page
-
Hi,
vorab, ich beschäftige mich erst seit kurzem mit WordPress und den jeweiligen Plugins.
Hier meine Frage: Nachdem ich eine neue Login-Seite (beispielhaft …/xyz-login) für das Dashboard mittels dem Plugin erstellt habe, habe ich ein Verständnisproblem damit. Der neue Aufruf funktioniert, aber eben auch noch immer …/wp-login. Ist es nicht Ziel dieser Anpassung, den bekannten Aufruf von …/wp-login zu unterbinden und durch einen, nur dem Admin bekannten Aufruf …/xyz-login zu ersetzen? Was kann ich falsch gemacht haben bzw. sind noch weitere Anpassung nötig oder habe ich den Zweck dieser Umbenennung völlig falsch interpretiert. Für einen Lösungsansatz wäre dankbar.
Gruß Carsten
-
Hallo,
woher sollen wir wissen, welches Plugin du dafür verwendet hast, welche WordPress-Version du hast, … etc.?Außerdem halte ich nichts davon – siehe als Beispiel auch dieser Beitrag.
Leider mal wieder: bei einem Blick in unsere FAQ hättest du gesehen, dass wir ohne weitere Infos nur Kaffeesatzleserei betreiben können.
Wenn du dann noch die URL oben einträgst, dann können wir uns das auch zunächst im Frontend ansehen und dir sicher besser helfen.
Du findest unter Werkzeuge > Websitezustand > Info einen Bericht zur Website. Warte bitte einen Moment bis die Ladeanzeige ganz oben abgeschlossen ist und kopiere dann per Button den Website-Bericht in deine Zwischenablage. Über den Button „Bericht in die Zwischenablage kopieren“ kannst du den Bericht unverändert (bitte mit den Akzentzeichen am Anfang und Ende) einfügen und anschließend hier posten. Evtl. ergeben sich dann weitere Anhaltspunkte, ob und wo das Problem liegt.
Viele Grüße
Hans-Gerd- Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von Hans-Gerd Gerhards. Grund: Tippfehler
Hallo Hans-Gerd,
zu Recht kritisierst Du meine etwas plumpe Art der Fragestellung hier. Ehrlich gesagt, die FAQ habe ich auch nicht gelesen.
Versuchen wir es noch einmal auf’s Neue:Der Link zum Beitrag war sehr hilfreich, hat aber auch meine getätigten Einstellungen im Plugin „All in One WP Secutity“ unter WordPress 6.2.2 bestätigt.
Ich habe nicht nur die Login page URL angepasst, sondern auch den Admin-Namen verändert, ein komplexes PW eingerichtet und obendrein noch die Zwei-Faktor-Authentifizierung.
Also ich verlasse mich nicht nur auf die veränderte Login page URL.Es funktioniert soweit auch alles bestens, bis auf den Zustand, dass ich die Login Seite nicht nur noch mit der veränderten Login URL erreiche, sondern seltsamer Weise auch mit wp-login.
Ich habe also durch die Anpassung nichts erreicht, sondern eher verschlechtert, da es nun sogar 2 Möglichkeiten gibt, sich einzuloggen. Zumindest verstehe ich es so.
Da ich das Problem nicht in den Griff bekommen habe und mir, wie anfangs erwähnt, auch noch das notwendige Hintergrundwissen fehlt, habe ich mich folgendermaßen beholfen:
Ich habe im oberhalb genannten Plugin die Funktion „Rename login page“ wieder deaktiviert und ein weiteres Plugin installiert (WPS Hide Login).
Dort habe ich die Anmelde-URL angepasst und siehe da, es funktioniert nur noch diese Anmeldung. Nicht fein, aber als Workaround geht’s.
Dennoch würde mich interessieren, warum ich es mit dem ersten Plugin nicht hinbekomme.
Anfänglich hatte ich ein etwas mulmiges Gefühl mit dem Preisgeben der URL, aber der Link mit dem Hinweis auf die FAQ und den darin enthaltenen Aussagen, hat es zumindest ein wenig zerstreut.
Gruß Carsten
PS: Die URL ist erkennbar? Ich habe auf die Schnelle nicht gefunden, wo ich sie nachträglich eintragen kann.- Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von Carsten Lippert.
- Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von Bego Mario Garde. Grund: Antwort war als Code-Block formatiert
zu Recht kritisierst Du meine etwas plumpe Art der Fragestellung hier. Ehrlich gesagt, die FAQ habe ich auch nicht gelesen.
Dazu hattest du doch jetzt Gelegenheit? Wieso bekommen wir dann immer noch keinen Website-Bericht? – Ohne Informationen zur Website können wir bestenfalls raten, aber keine qualifizierten Antworten geben.
meine getätigten Einstellungen im Plugin „All in One WP Secutity“ …
So wie deine Gesundheit nicht davon abhängt, ob du eine Multivitamin-Tablette einwirfst, ist die Sicherheit deiner Website nicht alleine mit Installation eines Plugins erledigt. All-in-One-Sicherheitsplugins, die alle möglichen Einstellungen anbieten, machen eine Website nicht alleine dadurch sicher, dass man wahllos alles anklickt.
Dennoch würde mich interessieren, warum ich es mit dem ersten Plugin nicht hinbekomme.
Jedes Plugin im WordPress-Verzeichnis hat ein eigenes Supportforum, über das du dich bei Problemen direkt mit dem Entwickler austauschen kannst. Der kann dir eher sagen, warum ein Problem auftaucht oder er nimmt es zum Anlass, das Plugin zu ändern.
Anfänglich hatte ich ein etwas mulmiges Gefühl mit dem Preisgeben der URL,
hier im Forum? Du kannst die URL zu deiner Website auch mit einem URL-Kürzer wie z.B. bitly.com kürzen. Was wir nicht sehen, können wir auch kaum beurteilen.
Ich muss schon sagen, harter Tobak hier, von allen Seiten gibt es Feuer. Aber gut, ich benötige Hilfe, dann muss ich diese Pille wohl oder übel schlucken…
wp-core version: 6.2.2
site_language: de_DE
user_language: de_DE
timezone: Europe/Berlin
permalink: /%year%/%monthnum%/%day%/%postname%/
https_status: true
multisite: false
user_registration: 0
blog_public: 1
default_comment_status: open
environment_type: production
user_count: 1
dotorg_communication: true wp-paths-sizes wordpress_path: /homepages/18/d638640389/htdocs/Wordpress
wordpress_size: 172,38 MB (180756888 bytes)
uploads_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/uploads
uploads_size: 99,63 MB (104471467 bytes)
themes_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes
themes_size: 2,51 MB (2630071 bytes)
plugins_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
plugins_size: 166,18 MB (174253955 bytes)
database_size: 56,94 MB (59703296 bytes)
total_size: 497,64 MB (521815677 bytes) wp-dropins (1) advanced-cache.php: true wp-active-theme name: Twenty Twenty-Three (twentytwentythree)
version: 1.1
author: Das WordPress-Team
author_website: https://de.wordpress.org
parent_theme: none
theme_features: core-block-patterns, post-thumbnails, responsive-embeds, editor-styles, html5, automatic-feed-links, block-templates, widgets-block-editor
theme_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes/twentytwentythree
auto_update: Deaktiviert wp-mu-plugins (1) aios-firewall-loader.php: author: (undefined), version: (undefined) wp-plugins-active (15) All-in-One WP Migration: version: 7.75, author: ServMask, Automatische Aktualisierungen aktiviert
All in One SEO: version: 4.3.8, author: All in One SEO Team, Automatische Aktualisierungen aktiviert
All In One WP Security: version: 5.1.9, author: All In One WP Security & Firewall Team, Automatische Aktualisierungen aktiviert
Complianz | GDPR/CCPA Cookie Consent: version: 6.4.6, author: Really Simple Plugins, Automatische Aktualisierungen aktiviert
Elementor: version: 3.13.4, author: Elementor.com, Automatische Aktualisierungen aktiviert
Independent Analytics: version: 1.24.0, author: Independent Analytics, Automatische Aktualisierungen aktiviert
LightStart - Maintenance Mode, Coming Soon and Landing Page Builder: version: 2.6.7, author: Themeisle, Automatische Aktualisierungen aktiviert
Local Google Fonts: version: 0.21.0, author: EverPress, Automatische Aktualisierungen aktiviert
Ocean Extra: version: 2.1.7, author: OceanWP, Automatische Aktualisierungen aktiviert
Ocean Stick Anything: version: 2.0.6, author: OceanWP, Automatische Aktualisierungen aktiviert
Otter – Page Builder Blocks & Extensions for Gutenberg: version: 2.3.0, author: ThemeIsle, Automatische Aktualisierungen aktiviert
Redirection: version: 5.3.10, author: John Godley, Automatische Aktualisierungen aktiviert
UpdraftPlus - Backup/Restore: version: 1.23.4, author: UpdraftPlus.Com, DavidAnderson, Automatische Aktualisierungen aktiviert
WP-Optimize - Clean, Compress, Cache: version: 3.2.15, author: David Anderson, Ruhani Rabin, Team Updraft, Automatische Aktualisierungen aktiviert
WP Last Modified Info: version: 1.8.7, author: Sayan Datta, Automatische Aktualisierungen aktiviert wp-plugins-inactive (1) WPS Hide Login: version: 1.9.8, author: WPServeur, NicolasKulka, wpformation, Automatische Aktualisierungen aktiviert wp-media image_editor: WP_Image_Editor_GD
imagick_module_version: Nicht verfügbar
imagemagick_version: Nicht verfügbar
imagick_version: Nicht verfügbar
file_uploads: File uploads is turned off
post_max_size: 64M
upload_max_filesize: 64M
max_effective_size: 64 MB
max_file_uploads: 20
gd_version: 2.2.5
gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
ghostscript_version: 9.27 wp-server server_architecture: Linux 4.4.302-icpu-092 x86_64
httpd_software: Apache
php_version: 8.1.19 64bit
php_sapi: cgi-fcgi
max_input_variables: 5000
time_limit: 50000
memory_limit: -1
max_input_time: -1
upload_max_filesize: 64M
php_post_max_size: 64M
curl_version: 7.64.0 OpenSSL/1.1.1n
suhosin: false
imagick_availability: false
pretty_permalinks: true
htaccess_extra_rules: true wp-database extension: mysqli
server_version: 5.7.41-log
client_version: mysqlnd 8.1.19
max_allowed_packet: 67108864
max_connections: 3000 wp-constants WP_HOME: undefined
WP_SITEURL: undefined
WP_CONTENT_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content
WP_PLUGIN_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
WP_MEMORY_LIMIT: 40M
WP_MAX_MEMORY_LIMIT: -1
WP_DEBUG: false
WP_DEBUG_DISPLAY: true
WP_DEBUG_LOG: false
SCRIPT_DEBUG: false
WP_CACHE: true
CONCATENATE_SCRIPTS: undefined
COMPRESS_SCRIPTS: undefined
COMPRESS_CSS: undefined
WP_ENVIRONMENT_TYPE: Nicht definiert
DB_CHARSET: utf8mb4
DB_COLLATE: undefined wp-filesystem wordpress: writable
wp-content: writable
uploads: writable
plugins: writable
themes: writable
mu-plugins: writable aioseo (1) noindexed: Suchseite… harter Tobak hier, von allen Seiten gibt es Feuer.
Schade, dass der Eindruck bei dir entsteht. Vielleicht überfliegst du unsere Antworten nochmal – die Antworten waren alle sachlich und nicht als „Feuer von allen Seiten“ gemeint.
Wir helfen gerne, können aber nur helfen, wenn wir Informationen bekommen. Alles andere ist unseriöse Kaffesatzleserei, die dir noch viel weniger hilft.
Allerdings ist es für uns mühsam, mehrmals am Tag auf die notwendigen Informationen hinzuweisen, obwohl wir das in angehefteten Beiträgen bereits sehr ausführlich dokumentiert haben. Darunter leidet dann auch ein wenig die Bereitschaft der wenigen Helfenden hier, immer wieder auf Selbstverständlichkeiten hinzuweisen. Dann auch noch, trotz sachlichen Hinweisen, einen rauhen Umgangston vorgeworfen zu bekommen, macht es nicht leichter. Wir machen das in unserer freien Zeit, um anderen zu helfen.
wp-plugins-inactive (1): WPS Hide Login
entspricht nicht deiner Aussage „Ich habe […] ein weiteres Plugin installiert (WPS Hide Login).“ – zumindest ist es nicht aktiviert und kann deshalb auch aktuell nicht die Anmeldeadresse ändern.
Wie Hans-Gerd bereits schrieb, ist „Security by Obfuscation“ (Sicherheit durch Verschleierung) kein geeignetes Mittel, um die Website sicherer zu machen. Zusätzliche Sicherheit gegen Brute-Force-Angriffe schaffen Plugins zur Zwei-Faktor-Authentifizierung, z.B. Two Factor. Immerhin beruhigt es aber die Nerven, wenn simpele Angriffsskripte, die auf
wp-login.php
abzielen, ins Leere laufen.Dass du nach Installation eines Plugins zur Änderung der URL des Anmeldenformulars weiterhin unter
wp-login.php
ein Anmeldeformular angezeigt bekommst, kann auch daran liegen, dass du das Cache-Plugin falsch konfiguriert hast.Ich finde das Mantra hilfreich, in welcher Reihenfolge eine Website/Anwendung aufgebaut werden sollte:
Make It Work, Make It Right (Save), Make It Fast.
Es ist überhaupt nicht als Angriff meinerseits gemeint, also nicht falsch versehen. Ich habe meine Worte bewusst gewählt, aber mehr oder weniger mit Augenzwinkern. Wir kochen mal alle etwas runter. 😉
Mir ist nur so durch den Kopf gegangen, das wenn ich meine Support-Kunden so direkt auf Fehler Ihrerseits hinweise würde, wären die meisten Leute not amused. Allerdings besteht da ein großer Unterschied, Ihr macht das freiwillig und ich bekomme dafür Geld auf der Arbeit. Also nichts für ungut, Ihr habt ja Recht!
Das Plugin „WPS Hide Login“ hatte ich bewusst deaktiviert, um den Zustand meines Problems wieder herzustellen. Ich hatte es doch, wie oberhalb beschrieben, als Workaround installiert.
Durch das Lesen eines Buches zu WordPress wurde ich auf diverse Plugins aufmerksam, sicherlich lässt sich über die Sinnhaftigkeit mancher Plugins trefflich streiten, wie überall im Leben. Da ich kein Programmierer bin, muss ich mich erst einmal auf solche Dinge verlassen, denn das eigenständige Editieren einer .htaccess würde ich mir noch nicht unbedingt zutrauen.
Ich schaue mir einmal die Konfiguration des Cache-Plugins an, vielleicht finde ich da ja etwas. Bis hierher erst einmal vielen Dank für Eure Bereitschaft zur Hilfe!
Ach ja, ich hatte auch im englischen Forum bereits Fragen dazu gestellt und wenn es mich nicht täuscht, ist der Beantworter womöglich ein Supporter vom Hersteller des All in one WP Security – Plugins, aber irgendwie habe ich mich wohl extrem unverständlich ausgedrückt oder es bisher einfach nur nicht verstanden, was er mir mitteilen wollte. Deshalb versuchte ich es noch einmal im deutschsprachigen Forum.
Gruß Carsten
Hallo,
Mir ist nur so durch den Kopf gegangen, das wenn ich meine Support-Kunden so direkt auf Fehler Ihrerseits hinweise würde, wären die meisten Leute not amused.
Na ja, wenn aber ein Kunde dir über dein Forum z. B. schreiben würde: Das Gerät funktioniert nicht – dann würdest du wahrscheinlich auch nicht anders reagieren. Der einzige Hinweis bestand nun mal darin, dass es sich um ein Plugin „AIOS“ handelt. Sorry, aber bei aktuell 60.523 Plugins im WordPress Repository kenne ich wirklich nicht jede Abkürzung. 😉
Ach ja, ich hatte auch im englischen Forum bereits Fragen dazu gestellt und wenn es mich nicht täuscht, ist der Beantworter womöglich ein Supporter vom Hersteller des All in one WP Security – Plugins
Auch das ist eine Information, die für uns wichtig ist und zumindest der Link wäre sinnvoll, damit wir uns das ggfs. ansehen können.
Das nur kurz zur Erklärung. Aber nichts für ungut. 😊
Genau wie Bego halte ich allerdings nicht viel von solchen „Allzweckwaffen“. Das ist aber meine persönliche Meinung. In der Regel verwende ich bei WordPress-Instanzen das Plugin Two Factor und das Plugin NinjaFirewall. Dazu gibt es hier eine wunderbare Grundeinstellung.
NinjaFirewall hat den Vorteil, dass die Einstellungen relativ übersichtlich sind und es sich nicht um die eierlegende Wollmilchsau handelt. Das Plugin verwende ich seit Jahren ohne Probleme in irgendeiner Form.
Bezogen auf die Problematik mit All in one WP Security solltest du dich am besten direkt an den Support wenden.
Viele Grüße
Hans-GerdIch nehme Eure Kritik zur Kenntnis und gelobe Besserung. 👍
https://wordpress.org/support/topic/aios-brute-force-rename-login-page/
Ich werde mir Deine Empfehlungen ansehen und für mich bewerten.
Danke nochmals, für Eure Zeit, bis dann einmal.
Gruß Carsten
- Das Thema „AIOS > Brute force > Rename login page“ ist für neue Antworten geschlossen.