• Gelöst mundm

    (@mundm)


    Hallo, ich habe seit mehren Wochen abgewehrte Angriffsversuche/ Loginversuche die von einem Plugin (Limit Login Attempts Reloaded) gezählt werden. Es werden IP Adressen in einer Mail an mich gesendet, mit der Anzahl der fehlgeschlagenen Loginversuche und die Sperrzeit. Mir wird vorgeschlagen ein besseres Plugin im Abo zu kaufen. Ich weiß aber nicht auf welcher Seite diese Loginversuche sind, denn die Webseite an sich ist frei zugänglich. Vielleicht kennt hier jemand das Thema und kann mir weiterhelfen. Vielen Dank

Ansicht von 7 Antworten – 1 bis 7 (von insgesamt 7)
  • Hallo @mundm !

    Sogenannte Brute Force Login Versuche sind ganz normal bei WordPress Webseiten. Jede WordPress Seite, die öffentlich zugänglich ist, kriegt täglich viele davon.

    Das hört sich für einen Laien gefährlich an und das nutzt dieses Plugin aus um dir Angst zu machen und die Geld aus der Tasche zu ziehen.

    Du brauchst dir überhaupt keine Sorgen machen, viele Login Versuche sind ganz normal! Hauptsache du hast ein sicheres Passwort, dann können diese Brute Force Versuche gar nichts, die probieren einfach Passwörter aus bis sie reinkommen, deshalb nutze ein gutes Passwort!

    hupe13

    (@hupe13)

    Ich hatte eigentlich WP Armour – HoneyPot Anti Spam installiert, um Spam über das Kontaktformular abzuwehren. „Nebenbei“ überwacht das Plugin auch wp-login.php. Dort gibt es (bei mir jedenfalls) doppelt so viel Angriffe wie über das Kontaktformular. Installier das Plugin und du hast Ruhe.

    • Diese Antwort wurde geändert vor 1 Monat von hupe13.
    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    evtl. solltest du auch statt „Limit Login Attempts Reloaded“ ein anderes Plugin wie z. B. Protect Login einsetzen.
    Hier findest du einen aktuellen Beitrag zu dem Thema.

    Viele Grüße
    Hans-Gerd

    Thread-Starter mundm

    (@mundm)

    Vielen Dank für die hilfreichen Antworten. Ich bin jetzt beruhigter, das es eigentlich „harmlos“ ist. Werde mein Passwort nochmal überarbeiten.

    Moderator Hans-Gerd Gerhards

    (@hage)

    Danke für „Gelöst“-Markieren.
    Solltest du exakt zu dem Thema noch Fragen haben, kannst du diese ja immer noch in diesem Thread stellen.

    Mit dem Plugin All-in-One Security (AIOS) , das ich für das beste Sicherheitsplugin halte, kannst du Loginversuche auf eine Zeit sperren. Also wer nicht registriert ist und versucht sich anzumelden wird automatisch (ip) auf deine eingestellte Zeit gesperrt.

    Moderator Angelika Reisiger

    (@la-geek)

    Bei Websites, wo nur ein kleines Team oder nur der Admin Zugriff auf das Backend haben soll, setze ich immer einen .htaccess-/.htpasswd-Schutz ein.

    Dafür benötigt man 1.) den absoluten Pfad (siehe Anleitung)

    In die .htaccess-Datei (Original vorher auf dem eigenen Rechner speichern/sichern) fügt man folgendes Snippet ein:

    <Files wp-login.php>
    AuthType Basic
    AuthName "My Protected Area"
    AuthUserFile /absoluter-pfad/.htpasswd
    Require valid-user
    </Files>

    Und den Code für die Passwortdatei .htpasswd
    lässt man sich am besten von einem Htaccess-Passwort-Generator generieren, zum Beispiel diesen: https://www.htaccessredirect.net/htpasswd-generator

    Den Code, den man nach Eingabe von Benutzername sowie einem guten! Passwort erhält, trägt man in die neu zu erstellende Datei ein, die man unter dem Namen .htpasswd (mit Punkt am Anfang) speichert. (Benutzername und Passwort natürlich notieren, die braucht man für den Zugriff auf die /wp-login.php-Seite.)

    Für die Bearbeitung beider Dateien verwendet man einen Texteditor, der in UTF-8 ohne Bom speichert, zum Beispiel Notepad++ (nicht WordPress-Notepad).

    Die veränderte .htaccess-Datei lädt man wieder in das WordPress-Stammverzeichnis hoch und die Datei .htpasswd ebenfalls in das Stammverzeichnis.

    Und keine Panik, wenn man nun beim Aufruf der WP-Login-Seite eine weiße Seite angezeigt bekommt, dann hat man irgendeinen Fehler gemacht. Einfach den Code aus der .htaccess-Datei wieder löschen oder man versucht es so lange, zum Beispiel mit einem anderen Generator oder einer anderen Verschlüsselungsmethode (die stehen bei einigen Htpasswd-Generatoren zur Auswahl) oder man prüft, ob man einen geeigneten Text-Editor verwenden hatte.

    Hört sich jetzt vielleicht kompliziert an, ist aber im Grund ruckzuck erledigt und bietet Brutforce-Attacken keine Angriffsfläche.

Ansicht von 7 Antworten – 1 bis 7 (von insgesamt 7)