Support » Installation » Flexibler Passwortschutz per htaccesss

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Thread-Starter oliverding1973

    (@oliverding1973)

    Ach ja, unter http://www.altenheim-wahlscheid.de/interna/ habe ich den Loginschutz in WordPress derzeit deaktiviert, damit die Kollegen überhaupt an die Daten kommen.

    Dass es Versuche gibt, mit Kombinationen auf häufig verwendeten Benutzernamen und Passwörtern Zugang zu deiner Website zu erlangen ist lästig, aber nicht ungewöhnlich und schon gar nicht bedrohlich, wenn du/ihr starke (vor allem ausreichend lange) Passwörter verwendet. Ob dein Passwort stark ist, bekommst du bei der Eingabe im WordPress-Backend angezeigt. Als zusätzlicher Schutz ist die Installation eines Plugins sinnvoll, dass noch ein zusätzliches Hindernis einbaut. Das Plugin Login Lockdonw sperrt lediglich nach einer vorgegebenen Anzahl von Fehlversuchen IP-Adressen aus, diverse CAPTCHA-Plugins verlangen die Eingabe von Zeichen, die von Skripten nicht ausgelesen werden können und Zwei-Faktor-Authorisierungs-Plugins (z.B. Two Factor) fragen nach einem Software-Token, den du z.B. mit der Smartphone App Google Authenticator laufend neu generierst.

    Weil die automatisierten Angriffe nerven, kannst du das Login-Formular auch verlagern. Mit dem Plugin Theme My Login kannst du die Seite wp-login.php abschalten, sodass nur noch Anmeldungen über ein Anmeldeformular auf einer anderen Webseite möglich sind.

    Bei allen Versuchen sollte der Schutz immer so angelegt werden, dass er die tägliche Arbeit nicht zu sehr behindert. (Deshalb mag ich diesen Passwortschutz über die .htaccess persönlich nicht so gerne.) Die Wahrscheinlichkeit, dass ein sicheres Passwort gehackt wird, ist eher gering. Statistiken zeigen, dass es meist andere Ursachen gibt, u.a. fehlende regelmäßige Aktualisierungen, Sicherheitslücken in Plugins, fehlerhafte Konfiguration des Webservers, Malware auf dem Computer eines Nutzers und ungesicherte Anmeldung in einem öffentlich zugänglichen W-LAN.

    Achte bitte darauf, auch die XML-RPC-Schnittstelle zu blockieren, falls du sie nicht zwingend benötigst. Viele Angriffe laufen über diese Schnittstelle.

    (Fun-Fact: Auf dem Platz vor diesem Altenheim fand jährlich die Kirmes statt, auf der ich als Kind Karussell gefahren bin.😍)

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Das Thema „Flexibler Passwortschutz per htaccesss“ ist für neue Antworten geschlossen.