• Hallo,

    ich räume zur Zeit meine Plugins auf und merke dabei, dass einige schon länger nicht mehr aktualisiert wurden. Anlass ist die Umstellung meines Hosters auf php 8 als Standard. Aktuell läuft die Homepage noch auf php 7.4, aber das geht nur noch bis Jahresende gut.

    Ich habe das Plugin Rename wp-login.php installiert, um den Anmeldepfad fürs Backend anders zu benennen, weil es einige Anmeldeversuche durch Roboter gab. das Plugin wurde aber seit drei Jahren nicht mehr aktualisiert, weshalb ich es gerne ersetzen möchte. Weiß jemand eine gute Alternative?

    Ich habe WordPress 5.9.2, alle WP- und Plugin-Updates werden automatisch installiert.

    Gruß
    Rolf

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 6 Antworten – 1 bis 6 (von insgesamt 6)
  • Hallo,

    Aktuell läuft die Homepage noch auf php 7.4, aber das geht nur noch bis Jahresende gut.

    Da einige Plugins und/oder Themes noch Probleme mit PHP 8.x haben, würde ich zumindest z. Zt. noch nicht umstellen.

    Ich setze als Sicherheitsplugin lediglich NinjaFirewall ein.

    Lies doch bitte mal den folgenden Beitrag. Vielleicht hat sich das Thema dann auch erledigt: „Hinter der Idee, den WP-Adminbereich zu verstecken, steht das Prinzip security through obscurity (“Sicherheit durch Obskurität/Unklarheit”) … Ein versteckter Adminbereich hält Angreifer nicht von einer Attacke ab, sondern verlängert nur die Arbeitszeit, die aufgewendet werden muss, um die Attacke durchzuführen. Leider ist es aber unmöglich komplett zu verschleiern, dass es sich bei deinen WordPress-Projekten um WordPress-Seiten handelt.“ Quelle: WP-Admin verstecken: Beliebt, aufwändig und nicht sonderlich effektiv

    Wichtiger als solche Dinge sind für mich z. B. : Vernünftige Passwörter, Aktualisierte Plugins und Themes, aktualisiertes WordPress …

    Wichtiger finde ich in dem Zusammenhang die Two factor Authentifizierung, z. B. mit dem folgenden Plugin. Auch dieses Plugin setzen wir in der Regel ein.

    Viele Grüße
    Hans-Gerd

    Thread-Starter Rolf

    (@rolinux)

    2FA ist natürlich reizvoll. Auf die Idee bin ich noch nicht gekommen.

    Aber ich verstehe nicht ganz, wie das Plugin funktioniert. E-Mail-Code ist, glaube ich, klar. Da wird einfach nur eine E-Mail mit einem Einmalcode verschickt. Was allerdings auch nicht ganz so sicher ist, meine ich, denn eine E-Mail kann abgefangen werden. Aber wo wird der QR-Code angezeigt? Denn direkt beim Login scheint mir das nicht sehr sinnvoll zu sein. Aber wenn woanders, brauche ich ja drei Geräte: Den Rechner, über den ich mich anmelden will, ein Gerät, wo der QR-Code angezeigt wird und ein Gerät, mit dem ich den QR-Code scanne.

    Macht das Plugin das dann nur fürs Backend oder auch für die User, die sich im Mitgliederbereich der Homepage anmelden? Kann man das steuern?

    Gruß
    Rolf

    Hallo,
    auch wenn der Vortrag schon ein wenig zurückliegt, kann ich dir diesen Vortrag von Matthias Kurz auf WordPress.tv empfehlen.
    Empfehlenswert ist auch der folgende Beitrag.
    Ich denke, wenn du dir den Vortrag und den Beitrag ansiehst, werden deine Fragen geklärt sein.
    Ich nutze in der Regel bei unseren Projekten die eMail-Variante.
    Viele Grüße
    Hans-Gerd

    Anmeldeformular verschieben, Login-Versuche begrenzen, CAPTCHAS und 2FA-Plugins nutzen und die Sicherheit von WordPress ganz allgemein sind ein spannendes Thema und ich habe mir etwas Zeit genommen, auf die in diesem Thread verwendeten Begriffe nochmal näher einzugehen, weil es wahrscheinlich mehrere Teilnehmende hier interessieren wird. Zusätzlich zu den völlig korrekten Antworten von Hans-Gerd also ein paar Zeilen von mir:

    Wenn du WordPress installierst, wirst du um einen Benutzernamen und Passwort für den künftigen Administrator gefragt. Hierbei wird geprüft, ob du ein schwaches Passwort verwendest – z.B. password, 12345 oder qwertzu, was du ggf. gesondert bestätigen musst. Zur Sicherheit wird das Passwort nicht im Klartext in der Datenbank abgelegt, sondern mit einem Algorithmus in einen Hashwert übersetzt. Der Algorithmus funktioniert nur ein eine Richtung: ein Passwort erzeugt immer den gleiche Hash, aber du kannst aus einem Hash nicht das Passwort erstellen. (Allerdings gibt es so genannte „Rainbow-Tables“, Tabellen in denen häufig genutzte Passwörter und ihre Hashwerte aufgeführt werden. Die Hashwerte werden dann für Bruteforce-Angriffe, umgangssprachlich: Passwort-Raten, verwendet. Um Angriffe mit Rainbow-Tables zu erschweren, werden die Passwörter mehrfach gehasht, wofür die so genannten individuellen SALT-Keys in der wp-config.php verwendet werden.)

    Sobald du aber ein Passwort mit ausreichender Entropie (die du z.B. hier berechnen kannst) verwendest, schlägt ein Bruteforce-Angriff fehl – die 50k Passwörter sind nichts im Vergleich zu Milliarden möglicher Zeichenkombinationen. Aber viele Angriffe dieser Art verzögern die Auslieferung der Webseiten an andere Webseitenbesucher und erzeugen auch unnötigen Traffic (das nicht bei jedem Webhosting unbegrenzt ist). Es kann also sinnvoll sein, das Anmeldeformular auf eine andere Adresse zu verschieben, um zumindest automatisierte Angriffe zu vermeiden. Dazu gibt es zahlreiche Plugins, unter anderem das leider nicht weiter gepflegte Rename wp-login.php, aber auch das aktuelle WPS Hide Login.

    Grundsätzlich ist Security by obscurity ein schlechtes Konzept, weil du die Sicherheit deiner Website davon abhängig machst, dass der Angreifer zu doof ist. Es wäre eine schlechte Idee, das Anmeldeformular zu verschieben und trotzdem ein schwaches Passwort zu verwenden.

    Um zusätzliche Sicherheit zu erlangen, solltest du deine Website-Installation auf mögliche Schwachstellen prüfen. Die Schnittstelle XML-RPC bietet zwar die Möglichkeit, WordPress mit einer App zu bedienen, schafft aber Angreifern eine neue Möglichkeit für Bruteforce-Angriffe. Eine allzu auskunftsfreudiger Server, der eine (vielleicht sogar veraltete?) PHP-Version im Dokumenten-Header mitliefert kann auch ein Sicherheitsproblem erzeugen. In der WordPress-Dokumentation gibt es unter Hardening WordPress einen ausführlichen Beitrag, der auf das Thema eingeht.

    Zusätzliche Maßnahmen zur Absicherung des Anmeldeformulars können sinnvoll sein, werden aber auch schnell als lästig empfunden und sind bei Verwendung eines Passworts mit ausreichender Entropie eigentlich auch nicht unbedingt nötig.

    Ich mag persönlich keine CAPTCHA-Plugins, bei denen ich auf unscharfen Fotos Hydranten erkennen oder Rechenaufgaben für Grundschüler lösen soll. Automatisierte Angriffe werden dadurch sicher ausgebremst und wer das Anmeldeformular nicht verschieben kann, weil er WordPress z.B. als Forum oder Webshop verwendet, hat hier zumindest die Möglichkeit wenigsten etwas für die Sicherheit zu tun.
    Sinnvoller finde ich Plugins, die die Anzahl an Fehlversuchen begrenzt und die IP-Adresse des schusseligen Anwenders für fünf Minuten sperrt. Intelligentere Angriffe laufen aber ohnehin über Proxies mit laufend wechselnder IP-Adresse.

    Ein wirklich guter Schutz ist die so genannte 2-Faktor-Authentifiaktion, die inzwischen bei sehr vielen Web-Diensten angeboten wird. Die Idee ist, dass du neben einem Passwort noch eine weitere Authentifiaktion durchlaufen musst – idealerweise musst du etwas wissen (Passwort) und etwas haben (einen Schlüssel mit einem Sicherheits-Chip [z.B. Yubi.-Key], eine Handy-App in der ein Geheim-Schlüssel hinterlegt ist oder eine Adresse, an die per E-Mail oder SMS ein Sicherheits-Schlüssel geschickt wird.

    Verwendest du als zweiten Authentifikations-Faktor E-Mail, reicht es nicht, wenn ich dein WordPress-Passwort kenne (z.B. weil ich dir in der Bahn über die Schulter geschaut oder das Passwort in einer ungesicherten W-LAN-Verbindung im Klartext mitgelesen habe), ich muss auch noch Zugriff auf dein E-Mail-Account haben, für das du hoffentlich ein anderes Passwort verwendest.

    Am häufigsten werden so genannte Time-based One-time Passwords verwendet. Wenn du die Einstellung z.B. mit dem Plugin Two Factor in WordPress aktivierst, bekommst du einen alphanumerischen Sicherheitsschlüssel angezeigt, den du per Copy/Paste in eine Passwortdatenbank wie z.B. Bitwarden übernehmen kannst oder mit dem QR-Code direkt mit einer „Authenticator“-App (z.B. andOTP, FreeOTP) im Handy scannst. Aus diesem Sicherheitsschlüssel wird dann alle zwanzig Sekunden ein neuer sechsstelliger, zeitbasierter Token errechnet. Um mich in deine Website einzuloggen brauche ich also nicht nur das Passwort (in der Bahn über die Schulter schauen reicht nicht), sondern auch dein Smartphone, das ich erst mit anderen Zugangsdaten freischalten muss.

    Wenn dich jemand unter Androhung von Gewalt zwingt, Passwort und 2FA-Schlüssel herauszugeben, nützt dir auch das 2FA-Plugin nichts. Das gleiche gilt, wenn ein Angreifer die Anmeldung übergeht und eine Sicherheitslücke ausnutzt, um sich Zutritt zu einer WordPress-Installation zu verschaffen. Deshalb raten wir hier immer wieder, zusätzlich zu sicheren Passwörtern und verschlüsselten Verbindungen per https, regelmäßig WordPress, Themes und Plugins zu aktualisieren, weil nur so Sicherheitslücken geschlossen werden können. Außerdem solltest du regelmäßig Backups machen und auf einem anderen Server oder einem externen Datenträger sichern, damit du im Falle eines Falles die Website in wenigen Minuten wiederherstellen kannst. Die Säuberung einer einmal kompromittierten Website ist ausgesprochen mühsam (bzw. kostspielig), während die Wiederherstellung eines Backups kaum Mühe und Kosten bereitet.

    Ich hatte bereits erwähnt, dass ein ausreichend komplexes Passwort bereits viel Sicherheit mitbringt und zusätzliche Maßnahmen die Sicherheit erhöhen können. Dabei sollte aber Nutzen und Aufwand abgewogen werden. Das Anmeldformular zu verschieben und mit einem htpassword gegen unbefugte Zugriffe zu schützen, ein CAPTCHA-Plugin, eine Begrenzung der Anmeldeversuche und ein 2FA-Plugin zu verwenden ist dann wahrscheinlich etwas zu viel des Guten. Ein paar sinnvolle Tipps zur Verbesserung der Sicherheit deiner Website findest du in diesem Beitrag: WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website.

    Thread-Starter Rolf

    (@rolinux)

    Vielen Dank für Eure Antworten, Hinweise und Tipps.

    Ich habe das 2FA-Plugin Two Factor auch schon installiert und nutze es jetzt.
    Mein Passwort ist natürlich nicht einfach nur 1234asdf oder sowas.
    Das Plugin zum Umleiten des Plugin-Pfades habe ich ausgetauscht. WPS Hide Login ist zwar lt. Plugin-Liste noch ungetestet mit WP 5.9.2, aber es ist zumindest neuer als mein bisher verwendetes Plugin und ich hege die Hoffnung, dass das Plugin demnächst ein entsprechendes Update erfährt.

    Im Moment nutze ich zusätzlich noch reCaptcha für die Absicherung des Backend-Login. Aber ich denke, dass ich das abschalten werde. Das wird dann doch eher lästig mit den Bildchen, vor allem, wenn bereits bestätigte Bildchen durch neue Bildchen ersetzt werden. Außerdem kann man es mit der Sicherheit auch übertreiben. Wenn die Anmeldung mal länger dauert als die Pflege der Homepage…

    Gruß
    Rolf

    WPS Hide Login ist zwar lt. Plugin-Liste noch ungetestet mit WP 5.9.2

    Wenn du als Entwickler der Community kostenlos ein Plugin zur Verfügung stellst, wird das Plugin nicht nur vorab geprüft sonder du bekommst dann auch zu jeder neuen WordPress-Version die Aufforderung, das Plugin erneut zu prüfen. Das bedeutet, das Plugin in einer Test zu installieren und erneut ausgiebig die Funktionalität zu testen, die Readme-Datei anzupassen und das Plugin über ein Versionskontrollprogramm (SVN) wieder in das Plugin-Verzeichnis hochzuladen. Vielen Programmierern ist das für eine unbezahlten Leistung zu aufwendig und sie kümmern sich nur unregelmäßig (oder manchmal auch gar nicht) um die regelmäßige Pflege, was dann zum Hinweis „nicht mit deiner WordPress-Version geprüft“ führt.

    Es gab mal die Möglichkeit, dass Benutzer das Feedback „läuft bei mir“ geben konnten. Das wurde aber so wenig genutzt, dass man diese Möglichkeit wieder eingestellt hat.

    Bei dem genannten Plugin gehe ich davon aus, dass es auf Fuktionalität zurückgreift, die seit Jahren nicht mehr geändert wurde. Wenn das Plugin dann auch noch kompatibel mit PHP 8.0 ist, sehe ich keinen Grund, es nicht einzusetzen. Die letzte Aktualisierung liegt auch gerade einmal 2 Monate zurück.
    Selbst das Plugin Rename wp-login.php würde ich heute noch bedenkenlos einsetzen, weil das Plugin sehr gründlich programmiert wurde und die Funktionalität unverändert ist. Weil es aber eine aktuellere Alternative gibt, habe ich das nicht empfohlen. Aber die Entscheidung sollte sicher jeder für sich treffen.

Ansicht von 6 Antworten – 1 bis 6 (von insgesamt 6)
  • Das Thema „Ersatz für Plugin Rename wp-login.php“ ist für neue Antworten geschlossen.