Du meinst sowas wie Login Lockdown oder die neuere Variante Limit Login Attempts Reloaded?
Ich verwende da einen anderen Ansatz und nutze gerne WPS Hide Login, womit zwar bei einem BruteForce-Angriff nicht die IP-Adresse gesperrt wird, aber die Adresse des Anmeldeformulars umbenannt wird. Bei gleichzeitig gesperrter XML-RPC-Schnittstelle dürften damit die meisten automatisierten Angriffe ins Leere laufen und wegen Rückmeldung 404 auch rasch enden. Gegen BruteForce setze ich zusätzliche Two Factor ein.
Thread-Starter
bscu
(@bscu)
Wie immer von dir eine hilfreiche Antwort, DANKE! Sehe ich mir an. Ich denke, ich kann das dann auch gleich als gelöst markieren. 😉
Freut mich wenn ich helfen konnte. Vielleicht hat @hage noch einen anderen Tipp?
Hallo @bscu
wir verwenden auf den Websites in der Regel NinjafireWall.
Beim vorletzten WordPress Meetup Südsauerland war Marc Nilius (@zottto) bei uns und hat u. a. auch dieses Plugin empfohlen.
Möglicherweise sind die Slides von Marc hilfreich für dich.
Viele Grüße
Hans-Gerd
Solid Security scheint momentan auch (wieder) angesagt zu sein. Das lief früher™ unter „Better WP Security“ bzw. „iThemes Security“, geht in Richtung All-in-One-Security, ist aber nicht so marktschreierisch und scheint sinnvolle Einstellungen zu kombinieren – darunter auch das Sperren der IP-Adresse bei zu vielen fehlerhaften Login-Versuchen, Two-Factor, Firewall, Überwachung der Dateien auf Veränderungen, Sperren der XML-RPC und Umbenennen des Login-Formulars, also alles was ich auch oben (mit Unterstützung verschiedener Plugins) empfohlen hatte. Es gibt dann noch kostenpflichtige Premium-Versionen. Ein bisschen was geht immer. 😉
