Support » Plugins » Kennt jemand das Login Problem mit WP All in one Internet Security?

  • Gelöst ilbarone

    (@ilbarone)


    Hallo Liebe Supporter,

    ich schon wieder.
    Seit ich das „WP all in One Internet Security“ Plugin installiert habe, erkennt WP meine Login Daten nicht mehr und ein einloggen ist nicht mehr möglich. Über den FTP habe ich den Ordner mit dem Plugin umbenannt und konnte mich wieder dann problemlos einloggen. Das verzeichniss mit dem Plugin habe ich wieder in original umbenannt, Browser neu geladen und alles geht wieder. Sobald ich mich abmelde und wieder anmelden möchte, erkennt WP meine Login Daten nicht mehr und ich muss wieder über FTP das Plugin kurz deaktivieren. Kennt jemand das Phänomen oder hat erfahrung damit? Ich verstehe nicht warum durch das Plugin mein Login gesperrt wird, in den Einstellungen kann ich nichts finden.

    Vielen lieben Dank für eure Hilfe

    Beste Grüße Giovanni

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • All-in-One-Sicherheits-Lösungen sind so eine Sache. Einerseits sind sie unter Umständen besser als gar nichts, andererseits verleiten sie auch zu einem falschen Sicherheitsgefühl, „alles getan“ zu haben. Das Plugin WP all in One WP Security bietet sehr viele Einstellungsoptionen. Ob die alle sinnvoll sind, muss jede/r AnwenderIn für sich entscheiden.

    Für alle WordPress-Installationen ist das Anmeldeformular zunächst unter wp-login.php zugänglich. Der Benutzername ist meistens relativ leicht herauszufinden. Fehlt dann nur noch das Passwort – was zu Angriffen mit „Passwort-Raten“ (Brute-Force) einlädt. Das Plugin bietet dazu verschiedene Mechanismen, die das Risiko verringern sollen: Die Adresse für das Anmeldeformular kann unter WP Sicherheit > Brute Force umbenannt werden, das Formular kann mit einem zusätzlichen Passwort oder CAPTCHA versehen werden, usw. Vermutlich hast du dich hier für eine Einstellung entschieden und vergessen, den neuen Link zum Anmeldeformular zu verwenden?

    Hallo Mario,
    wie immer vielen Dank für den tollen Support. Genau so war es, ich hatte den reCaptcha aktiviert und vergessen den link meiner Homepage beim anmelden einzugeben. Kannst du mir etwas über die WP-XML-RPC-Funktionalität sagen? ich habe gelesen das wenn andere Plugins diese nicht benötigen, man es deaktivieren kann. Wie kann ich herausfinden ob ich diese Funktionalität brauche? Meinst du ein security Plugin und ein paar Security Header reichen aus um ein klein wenig sicher zu sein? Gibt es von Worpress vielleicht empfehlungen?

    Ich wünsche dir ein schönes Wochenende

    Das ist ja eigentlich schon wieder eine Frage für einen neuen Thread, aber … egal. 🙂

    XML-RPC ist stark vereinfacht eine Schnittstelle, um mit externen Programmen Beiträge und Seiten in deiner WordPress-Website veröffentlichen zu können. Schreibst du Beiträge und Seiten sowieso nur in WordPress, brauchst du die Schnittstelle nicht und kannst sie deaktivieren.

    WordPress ist weit verbreitet und wird entsprechend häufig angegriffen, wobei Angreifer in den meisten Fällen versuchen, eine Kombination aus (leicht herauszufindendem) Benutzernamen und (schwieriger) Passwort zu erraten (so genannte Brute-Force-Angriffe) oder Schwachstellen in Themes und Plugins auszunutzen. Gegen automatisierte Brute-Force-Angriffe kannst du dich schützen, in dem du das Login-Formular an eine andere Stelle legst, bei der Passwort-Eingabe ein CAPTCHA oder eine 2-Faktor-Autorisierung einbaust und/oder nach einer vorgegebenen Anzahl von Fehleingaben den Zugriff auf das Anmeldeformular für die IP-Adresse des Angreifers sperrst. Anders ist das bei der XML-RPC-Schnittstelle, die sich nicht „verschieben“ lässt und die auch keine sonstigen Schikanen haben kann, weil dann der automatisierte Dialog mit externer Software nicht funktionieren würde. Damit ist die Schnittstelle grundsätzlich ein größeres Risiko, als ein normales Login-Formular. Wobei dann immer noch das Passwort erraten werden muss, was bei einem zufallsgenerierten Passwort aus einer Passwort-Datenbank (z.B. Keepass) ein wenig dauern dürfte.

    Nachtrag: Fast vergessen – du wolltest wissen, was du selber für die Sicherheit tun kannst. Torsten hat vor einer Weile einige htaccess-Einträge zusammengefasst, mit der du die Sicherheit verbessern kannst:

    Mehr Sicherheit für WordPress per .htaccess

    Bitte nicht alles auf einen Schwung übernehmen, was ggf. zu einem Fehler 500 – Internal Server Error führen kann, sondern über den Sinn nachdenken und jede Regel einzeln einfügen und prüfen.

    Die WordPress-Community hat außerdem einen (allerdings recht technischen) Beitrag veröffentlicht, wie du die Sicherheit verbessern kannst: https://wordpress.org/support/article/hardening-wordpress/

    Etwas weniger technisch und vor allem auch auf Deutsch geschrieben:
    https://kinsta.com/de/blog/wordpress-sicherheit/

    • Diese Antwort wurde geändert vor 3 Wochen, 5 Tage von Bego Mario Garde. Grund: Nachtrag

    Hallo Mario,

    vielen Dank für die wirklich ausführliche Antwort. Ich bin begeistert wieviel man hier lernen kann durch lesen der Threads, aber auch wie gut hier einem geholfen wird. Ich bin begeistert.

    Wüsnche dir noch ein schönes Wochenende

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)