Passwort-Reset trotz aktivierter Login-Protection möglich?

Ich benutze das Plugin nicht, habs mir aber eben mal angeschaut.

Wenn ich die Login Protection mit den Standard-Einstellungen aktiviere, kann ich die Passwort-Vergessen-Seite weiterhin aufrufen. Sie ist nicht mehr unterhalb des Login-Formulars verlinkt, aber die URL ist erreichbar. Gib bei dir einfach mal /wp-login.php?action=lostpassword hinter deiner Domain ein.

Somit wirst du auch weiterhin solche Meldungen erhalten. Die von dir genannte IP-Adresse ist übrigens für Spam bekannt. Das ist leider der alltägliche Wahnsinn im Internet, was sich nicht ändern wird. Du hast aus meiner Sicht folgende Möglichkeite:

• Deaktiviere diese E-Mail-Benachrichtigung. Das geht z.B. mit individuellem PHP-Code, siehe: https://wordpress.stackexchange.com/questions/206353/disable-email-notification-after-change-of-password – du bekommst diese E-Mail dann aber auch nicht, wenn du es wirklich mal selbst zurücksetzen willst.
• Deaktiviere auch das Passwort-vergessen-Formular. Ich weiß nicht ob NinjaFirewall dazu eine Option bietet, ich hab sie eben nicht gefunden. Es gibt im Netz auch Tipps wie man sie angeblich deaktivieren kann, diese entfernen aber nur den Link – nicht die Erreichbarkeit des Formulars. Um das Formular anzuschalten, müsste das hier helfen: add_action( ‚lost_password‘, function(){ exit; }); – das als mu-plugin hinterlegen und es kommt nur noch eine weiße Seite beim Aufruf von /wp-login.php?action=lostpassword
• Oder wende dich an den Support der NinjaFirewall. Nur die können dir sagen was von deren Seite beabsichtigt ist und was nicht: https://wordpress.org/support/plugin/ninjafirewall/

Tipp: das Passwort kann man auch über die XMLRPC-Schnittstelle zurücksetzen. Auch das wird gerne von Bots verwendet. In den NinjaFirewall-Einstellungen sehe ich dazu eine Option, die ich dir empfehlen würde zu aktivieren um auch diesen Weg auszuschließen.

Für den Weg über dieses Formular, ja, vorausgesetzt du willst das vom Datenschutz her unbeachtet lassen. reCaptcha sollte man in Deutschland nicht verwenden. Es gibt datenschutzkonforme Alternativen dazu, aber ich bin unsicher, welche davon bei diesem Formular einsetzbar sind.

Und: es schließt nicht die Möglichkeit es per XMLRPC anzustoßen. Das musst du separat betrachten und über o.g. Option deaktivieren.

Ja, dann laufen die bei dir über das weiterhin erreichbare Passwort-vergessen-Formular. Das ist ein sehr spezielles in WordPress und wird leider auch oft übersehen, weshalb nicht jeder Antispam-Schutz es unterstützt. Mir ist gerade nur WP Armour bewusst, dass es dort einen Schutz ergänzt. Das musst du nur installieren und nicht weiter konfigurieren – es kümmert sich um alles. Vielleicht gibt es noch andere Plugins, die das machen, die meisten schützen aber die eher sichtbaren Formulare der Website oder das Login.

Mit WP Armour? Ja, der Name ist Programm 🙂 Gerne kannst du das Topic hier auf gelöst setzen, wenn es für dich geklärt ist.