Mit den in WordPress 5.6 eingeführten Anwendungspasswörtern kannst du dich nicht nur über das Anmeldeformular wp-login.php anmelden, sondern über Apps (WordPress-App für iOS und Android, andere Apps wie iA Writer) auch eine Anmeldung über die XML-RPC-Schnittstelle vornehmen. Wichtig war das wohl auch zur besseren Nutzung der REST API, die eine Bedienung von WordPress ohne Zugriff auf das Backend ermöglicht.
Wenn du keine spezielle App verwendest und auch keine Software hast, die per REST API WordPress „headless“ verwendet, kannst du das einfach ignorieren.
okay danke.
Also hat das nichts damit zu tun, dass irgendwer in meinem WordPress einfach so einsteigen kann?
MfG
Tela
Da jeder weiß, wo das Anmeldeformular bei einer WordPress-Website liegt (wp-login.php), sind Brute-Force-Angriffe („Passwort raten“) an der Tagesordnung. Du kannst das Anmeldeformular mit verschiedenen Methoden dagegen absichern, aber dann wird von Angreifern gerne die XML-RPC-Schnittestelle verwendet, um munter weiter Passwörter zu raten. Besser ist es, diese Schnittstelle ebenfalls zu schließen, z.B. mit dem Plugin Disable XML-RPC.
Als zusätzliche Absicherung halte ich es für sehr sinnvoll, ein Plugin zur 2-Faktor-Authentifikation (z.B. Two Factor) einzurichten. Du wirst dann zusätzlich zum (leicht herauszufindenden) Benutzernamen und Passwort auch noch nach einem Zahlenschlüssel gefragt, den dein Smartphone alle 20 Sekunden neu berechnet. Jedem Nutzer ist freigestellt, ob er diese zusätzliche Absicherung nutzen möchte, aber für Administratoren/-innen ist das sicher sinnvoll.
Wenn du kein Anwendungspasswort hast, brauchst du dir darum wie gesagt auch keine Gedanken machen. WordPress wird dadurch nicht unsicherer.
Hallo okay,
ne habe kein Anwendungspasswort angelegt. Da der Programmierer auch derzeit als Administrator angelegt ist, kann er diese natürlich auch anlegen, kann ich es irgendwo prüfen ob hier was angelegt worden ist ohne das ich was davon weiss?
Danke
MfG
Tela
Wenn du Administrator/-in bist, kannst du einen Blick in das Profil des Entwicklers werfen. Ich höre da ein gewisses Misstrauen heraus – ein Entwickler kann auch Hintertüren einbauen, die du auf diese Weise gar nicht mitbekommst. Das abzugleichen wäre aufwendiger, weil du einen Vergleich der vorhandenen Dateien mit den Original-Dateien vornehmen müsstest.
Denkst du bitte noch daran, den Thread als „gelöst“ zu markieren, wenn deine Frage beantwortet wurde?
Zudem ist die Seite derzeit ja eh von außen „nicht erreichbar“, weil du schreibst:
Deine Website scheint die Basis-Authentifizierung zu verwenden, die derzeit nicht mit den Anwendungspasswörtern kompatibel ist.“
Die Anwendungspasswörter können out of the box nicht mit htaccess-Absicherung.
(FTR: Gehen tuts – wir haben Anwendungspasswörter als JWT-Ersatz kombiniert HTACCESS-PW im Produktivbetrieb umgesetzt!)
