Ich habe gar nicht gewusst dass sich Personen auf meiner Webseite registrieren können. Ich habe meines Wissens dazu nichts eingerichtet. Wüste auch gar nicht wo ich dieses finden könnte.
Die Konfigurationsmöglichkeit findest du im Admin-/Backend-Bereich unter Einstellungen >> Allgemein.
Du kannst die Daten des neuen Benutzers auch einmal googlen, ob dort etwas in Zusammenhang mit Hacks zu finden ist.
Ach, noch zu deiner Frage, ob wir uns registrieren könnten:
JA
siehe:
https://blasenmacher.de/wp-login.php
Das kannst du aber unter der oben genannten Möglichkeit deaktivieren.
Malware-Scanner schlagen für deine Website keinen Alarm, also dürfte es ausreichen, wenn du die Benutzer einfach entfernst und die Registrierungs-Option deaktivierst.
Wenn nur du dich im Adminbereich anmelden willst, solltest du einen .htaccess-Passwortschutz einrichten. Im Internet findest du reichlich Anleitungen, speziell auch für das WordPress-Backend.
Ergänzend dazu (auch wenn die Frage von Angelika bereits bestens beantwortet wurde):
Es gibt anscheinend Websites, bei denen sich nicht nur alle registrieren können, sondern auch gleich Administratorenrechte bekommen. Die Registrierung ist dann vergleichbar mit dem Rütteln an Autotüren – irgendwann ist eine nicht abgeschlossen und vielleicht steckt sogar noch der Autoschlüssel …
Die Registrierung als Abonennt ist vergleichsweise harmlos, weil nur die Benutzerdaten gespeichert werden und sonst nicht viel Unheil angerichtet werden kann. Schließlich kann die Registrierung auch sinnvoll sein, etwa wenn vorgegeben wird, dass nur registrierte Benutzer kommentieren können.
Eine zusätzliche Absicherung des Anmeldeformulars – etwa mit einer 2-Faktor-Authentifikation – ist sinnvoll, wenn auch nicht zwingend erforderlich. Den Passwortschutz per .htaccess verwende ich persönlich nicht so gern, aber er kommt als Option ebenfalls in Frage.
Danke für die sinnvollen Ergänzungen, die 2-Faktor-Authentifizierung ist natürlich auch eine Option.
Eine zusätzliche Absicherung des Anmeldeformulars – etwa mit einer 2-Faktor-Authentifikation – ist sinnvoll, wenn auch nicht zwingend erforderlich. Den Passwortschutz per .htaccess verwende ich persönlich nicht so gern
@pixolin
Warum nutzt du .htaccess + .htpasswd nicht so gern, hast du schlechte Erfahrungen damit gemacht?
Für mich ist es das Mittel erster Wahl, ich drück das auch immer allen Kunden aufs Auge und sie kommen gut damit zurecht und bislang (toi,toi,toi) wurde noch keine Website gehackt.
Ich nutze es vor allem aus zwei Gründen nicht: Ästethik und Workflow.
Zum einen finde ich das Eingabeformular häßlich 🙂 ,
zum anderen kann ich die Zugangsdaten nicht direkt aus meiner Passwort-App füllen.
Eher nebensächlich: Wenn eine Website kein SSL-Zertifikat hat, ist der Schutz mit .htpasswd unbrauchbar, weil die Zugangsdaten als Klartext von anderen mitgelesen werden können.
Aber ganz abgesehen davon kenne ich Websites, die seit Jahren mit einem ausreichend komplexen Passwort gut geschützt sind.
Eher nebensächlich: Wenn eine Website kein SSL-Zertifikat hat, ist der Schutz mit .htpasswd unbrauchbar, weil die Zugangsdaten als Klartext von anderen mitgelesen werden können.
Ja, dann kann auch so einiges mehr abgefangen werden 😀
Ich finde das Eingabeformular auch hässlich, ich nutze den Passwort-Manager Sticky Password, im Chrome kann ich den im .htaccess-Abfragefenster öffnen, per Klick Name und Passwort kopieren und eintragen. Ist ein bisschen umständlicher, aber es geht.
„Whatever works for you…“ – wir werden alle unseren Workflow haben, mit dem wir hoffentlich effizient arbeiten können. Mich stört gerade dieses „ein bisschen umständlicher“, während 2FA nur ein zusätzlicher Tastendruck Cmd-V ist.
Mir ging es eher darum noch zwei Zeilen zu schreiben, warum sich jemand möglicherweise auf einer Website registriert und welcher Schaden angerichtet werden kann. Vielleicht vermittelt das dann ein besseres Verständnis, warum eine Einstellung vorgenommen werden muss, vielleicht nervt es aber nur, weil ganz pragmatisch eine schnelle Lösung gesucht wird und keine Zeit für ausschweifende Erklärungen ist. 😀
Das war mir klar, daher auch mein ernst Gemeintes „danke für die sinnvollen Ergänzungen“.
Ich wollte nur von einem anderen Profi in Erfahrung bringen, ob es irgendwelche maßgeblichen Gründe gegen .htpasswd geben könnte, die mir bislang unbekannt gewesen wären. 🙂
Kommt denn noch jemand? 😅
Hoffentlich nicht, jedenalls nicht kontextbezogen, denn die zwei anwesenden haben genug Ergänzungen über die Absicherung des .htpasswd-Logins eingestreut 😉
Thread-Starter
alro
(@alro)
Super vielen Dank für Eure Antworten.
Der Vergleich mit der Autotür war gut… meine ist verschlossen und der Schlüssel gut versteckt… so glaube ich es zumindest 😉
Meine neuen Benutzer sind nur Abonnenten und somit ohne rechte.
Also nochmals vielen Dank
Gruß Alex
