Support » Allgemeine Fragen » Login schlägt fehl

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • INSECURE PASSWORD: Your login attempt has been blocked because the password you are using exists on lists of passwords leaked in data breaches. Attackers use such lists to break into sites and install malicious code. Please reset your password to reactivate your account. Learn More

    Das ist die Nachricht die ich erhalte, wenn ich mich mit richtigen Benutzername und Kennwort einloggen will. Selbst ein Zurücksetzen meines Passwortes klppt nicht.

    Mit freundlichen Grüßen

    Tom Velten

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    das Problem scheint wohl öfter aufzutauchen. Bei einer Google-Recherche habe ich z. B. folgenden Lösungsvorschlag gefunden.
    Dazu müsstest Du in der Datenbank zumindest ein neues Kennwort erstellen. Hier eine Beschreibung, wie das funktioniert.
    Unter Umständen ist es hilfreich, einen komplett neuen Benutzer mit Administratorrechten in der Datenbank zu erstellen. Hier wieder eine Anleitung dazu.

    Vorher aber bitte auf jeden Fall die Datenbank sichern.

    Viele Grüße
    Hans-Gerd

    Moderator Bego Mario Garde

    (@pixolin)

    Wenn ich bei der Website das Login-Formular aufrufe, sehe ich im Quellcode, dass ein Stylesheet von einem CAPTCHA-Plugin geladen wird:
    /wp-content/plugins/advanced-nocaptcha-recaptcha/assets/css/style.css

    Mein erster Schritt wäre, dieses Plugin umzubenennen und ein Login erneut zu versuchen. Klappt das noch nicht (du berichtest von WordFence), würde ich per FTP das Verzeichnis /wp-content/plugins/ in /wp-content/no.plugins/ umbenennen, wodurch alle Plugins der WordPress-Installation deaktiviert werden.

    asphaltmann

    (@asphaltmann)

    Werden Inhalte gelöscht oder die Plagins gar gelöscht? Ich will ja nur dieses Wordfance raushaben und löschen.

    Moderator Bego Mario Garde

    (@pixolin)

    Die Plugins werden deaktviert, wie ich geschrieben habe.

    Wenn ein Plugin zum Beispiel (!) eine eigene Inhaltsart (Custom Post Type) anlegt und dieses Plugin deaktiviert wird, wird der Inhalt dieser Inhaltsart nicht mehr angezeigt. Das Gleiche gilt auch (wieder ein Beispiel) für Shortcodes. Sobald das Plugin wieder (re-)aktiviert wird, tauchen diese Inhalte aber wieder auf.

    Wenn du so massive Probleme hast, geht es zuerst darum wieder Zugriff auf das Backend zu bekommen und möglichst viele mögliche Fehlerquellen auszuschließen. Im zweiten Schritt schaust du, was tatsächlich die Probleme bereitet und ob sich die Probleme mit diesem Theme oder Plugin beheben lassen. Der Schlüssel zum Erfolg liegt in einem geordneten, schrittweisen Vorgehen.

    asphaltmann

    (@asphaltmann)

    Hat nicht funktioniert.

    Stattdessen bekomme ich diese Meldung als E-Mail von Wordfence und vestehe kein Englisch.

    This email was sent from your website „Bankgeflüster“ by the Wordfence plugin at Monday 11th of November 2019 at 08:22:41 AM
    The Wordfence administrative URL for this site is: http://www.bankgefluester.de/wp-admin/admin.php?page=Wordfence
    A user with username „xxx“ tried to sign in to your WordPress site. Access was denied because the password being used exists on lists of passwords leaked in data breaches. Attackers use such lists to break into sites and install malicious code. Please change or reset the password (http://www.bankgefluester.de/wp-login.php?action=lostpassword) to reactivate this account. Learn More: https://www.wordfence.com/help/?query=using-breach-password
    User IP: 31.18.252.17
    User hostname: ip1f12fc11.dynamic.kabel-deutschland.de
    User location: Garbsen, Germany

    NOTE: You are using the free version of Wordfence. Upgrade today:
    – Receive real-time Firewall and Scan engine rule updates for protection as threats emerge
    – Real-time IP Blacklist blocks the most malicious IPs from accessing your site
    – Country blocking
    – IP reputation monitoring
    – Schedule scans to run more frequently and at optimal times
    – Access to Premium Support
    – Discounts for multi-year and multi-license purchases

    Click here to upgrade to Wordfence Premium:
    https://www.wordfence.com/zz1/wordfence-signup/

    To change your alert options for Wordfence, visit:
    http://www.bankgefluester.de/wp-admin/admin.php?page=Wordfence&subpage=global_options
    To see current Wordfence alerts, visit:
    http://www.bankgefluester.de/wp-admin/admin.php?page=Wordfence

    No longer an administrator for this site? Click here to stop receiving security alerts: http://www.bankgefluester.de/?_wfsf=removeAlertEmail&jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJlbWFpbCI6InRvbXZlbHRlbkBtc24uY29tIiwiX2V4cCI6MTU3NDA2MTc2MX0.i_tffA22KrAhf9eWZ1M2YxYrkPXRmqLWlkTm51BZEX4

    Mit freundlichen Grüßen

    Tom Velten

    Moderatorhinweis:Ich habe den Anmeldenamen, der hier für Deine Webseite angegeben war, aus Sicherheitsgründen gelöscht.

    asphaltmann

    (@asphaltmann)

    Gelöst. Meikn Anbieter hat Wordfence deaktiviert und ich habe es umgehend gelöscht.

    Mit besten Dank

    Tom Velten

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    ich würde Dir aber aufgrund der Meldungen von Wordfence trotzdem dringend raten, Deine Anmeldedaten und da insbesondere das Kennwort (ein sicheres Kennwort) zu ändern.
    Viele Grüße
    Hans-Gerd

    Moderator Bego Mario Garde

    (@pixolin)

    Hallo Hans-Gerd,

    nehmen wir mal an, ich nehme als Nutzername „wordpress-user“ und als Passwort „g3h3im“. Jetzt bin ich etwas übermüdet und gebe bei der nächsten Anmeldung als Passwort nicht „g3h3im“ an, sondern „passwort“ – ich interpretiere die Meldung von WordFence so, dass „passwort“ von Hackern für BruteForce-Angriffe genutzt wird und deshalb meine IP-Adresse für weitere Anmeldungen sperrt? Oder sperrt mich WordFence sogar, wenn ich das richtige Passwort „g3h3im“ eingegeben habe, weil es in ihrer Datenbank vorkommt? … Das wäre ein weiterer Grund, WordFence nicht zu nutzen, oder?

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo Bego,
    wenn das Prozedere tatsächlich dermaßen kompliziert ist, um sich wieder anzumelden, würde ich mir das wirklich sehr genau überlegen, ob ich Wordfence installiere. Das Plugin habe ich vor einiger Zeit auch mal installiert, aber aus verschiedenen Gründen wieder deinstalliert.

    Das wäre ein weiterer Grund, WordFence nicht zu nutzen, oder?

    … in der Tat. Ich habe hier z. Zt. (noch ?) auf einigen Seiten Shield im Einsatz. So ganz bin ich mir nicht sicher, ob ich das so lasse, weil es keine leichtgewichtige Lösung ist. Ich weiß nicht, wie oft ich zum Thema „Sicherheit und WordPress“ bereits recherchiert habe, aber eine wirklich rundum zufriedenstellende Lösung habe ich noch nicht gefunden.
    Viele Grüße
    Hans-Gerd

    Moderator Bego Mario Garde

    (@pixolin)

    Bei SecuPress hatte ich bisher den Eindruck, dass es „Good Practice“ in Plugin-Form umsetzt, aber ansonsten sehe ich das wie Torsten (@zodiac1978):

    https://torstenlandsiedel.de/2016/12/16/warum-ich-keine-all-in-one-sicherheitsplugins-mag/

    Moderator Torsten Landsiedel

    (@zodiac1978)

    SecuPress Free lässt aber z.B. den REST API Users Endpoint offen, auch wenn die Funktion „Stop User Enumeration“ aktiviert ist. Das ist dann auch so ein Beispiel für unwirksamen Schutz und den User in scheinbarer Sicherheit wähnen lassen.

    Und die Bewerbung der Premium-Version ist für mich viel zu aggressiv. Wir haben Probleme festgestellt, aber fixen kannst du sie nur, wenn du zahlst ist nicht so die feine Art …

    Beste Grüße
    Torsten

    Moderator Bego Mario Garde

    (@pixolin)

    @zodiac1978

    Und die Bewerbung der Premium-Version ist für mich viel zu aggressiv. Wir haben Probleme festgestellt, aber fixen kannst du sie nur, wenn du zahlst ist nicht so die feine Art …

    Das sehe ich inzwischen auch so. Ich fand auch die Reaktion auf „hey, ich hab dein Plugin übersetzt“ etwas merkwürdig, aber … anderes Thema.

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)