Support » Diskussion » User Login öffentlich unsichtbar machen

  • Hallo an alle,

    ich bin mir ziemlich sicher, dass es die Möglichkeit standardweise gibt den Anmeldenamen in WordPress unsichtbar zu machen. Eine sehr gute Idee!

    Was jedoch doof ist, dass man diesen in der URL sieht in dem man den betroffenen Profil anklickt.

    Ich denke bessere Lösung wäre, wenn jeder Profil eine verschlüsselte Zufall-ID bekommen würde. Und dies dann seine genau Zuordnung in der URL stehen würde.

    Herzlichen Dank für das lesen

    Ich

    Wer Fehler findet, darf diese wie immer behalten.

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Was jedoch doof ist, dass man diesen in der URL sieht in dem man den betroffenen Profil anklickt.

    Das ist bekannt und wird von den Core-Entwicklern nicht als Problem gesehen. Der Username wird durch eine Vielzahl an Stellen preisgegeben und ist daher nicht wirklich geheim.

    Für das Profil gibt es sonst dieses Plugin als mögliche Lösung:
    https://wordpress.org/plugins/edit-author-slug/

    Aber das ändert nichts an der Aussage darüber …

    Gruß, Torsten

    Hallo,

    Meine sorge ist es einfach, dass es viel einfacher ist ein Feld mit Brute Force zu bearbeiten als zwei. Die möchtegern Captchas wurden schon immer, teilweise mit Leichtigkeit umgangen.

    Die Aussage von Ihnen hört sich so an, als wenn ich als Administrator sagen würde „Warum soll ich mir ein komplexes Passwort ausdenken, wenn die Hacker es so wie so hacken können.“

    Ich persönlich betrachte es als sehr nachlässig von den Entwicklern, dass es nicht als Problem gesehen wird.

    Viele Grüße

    Ich

    Die Aussage von Ihnen hört sich so an, als wenn ich als Administrator sagen würde „Warum soll ich mir ein komplexes Passwort ausdenken, wenn die Hacker es so wie so hacken können.“

    Wir können uns gerne community-üblich duzen 😉

    Die gleiche Aussage zu Passwörter wäre ja falsch. Und über dieses Problem haben sich viele kluge Leute sehr lange Gedanken gemacht.

    Fakt ist: Bei den WordPress-Core-Entwicklern denkt man so darüber, wie ich es geschrieben habe. Diesen Pfad zu gehen ist also sehr steinig, denn es wird nirgendwo darauf geachtet, den Usernamen möglichst nicht herauszugeben. Die Empfehlung ist, *echte* Sicherheitsfunktionen zu implementieren (https, Zwei-Faktor-Authorisierung, Login per htaccess schützen, etc.)

    Ich persönlich betrachte es als sehr nachlässig von den Entwicklern, dass es nicht als Problem gesehen wird.

    Diese Diskussion wurde schon häufiger im Trac geführt. Es ist auch keine Nachlässigkeit, sondern eine bewusste Entscheidung.

    Gruß, Torsten

    Hallo der_da, ich gebe Torsten absolut recht.

    Zum einen lässt sich die UserID recht einfach auf einen Usernamen hin auflösen. Das geht z.B. mit https://github.com/wpscanteam/wpscan oder als webbasierter Service mit https://hackertarget.com/wordpress-security-scan/ .

    Zum Zweiten gehen 90% aller Versuche, den Login via Brute-Force zu knacken auf folgende Accounts:

    • admin
    • administrator
    • root

    Dazu kommen noch verschiedene Versuche z.B. auf den Domainnamen oder den Site-Namen. Mein persönlicher Tipp: Installier Dir iThemes Security und banne einfach pauschal erst mal alle User, die sich mit den oben angegebenen Namen einzuloggen versuchen für eine Stunde. Und dann auch noch die, die sich mit einem nicht-existenten Login einzuloggen versuchen. Limitiere falsche Logins auf drei Versuche und bann Sie dann für mind. 1/2 Stunde. Mit diesen Einstellungen sind die BF-Attacken bei meinen Installs auf ein absolutes Minimum zurückgegangen.

    Wenn DU GANZ sicher gehen willst, aktivierst Du auch noch eine Two-Factor Autentifizierung.

    Gruß
    Thomas

    Hallo Thomas,
    bin zwar nicht der Fragesteller, aber deine Link- und sonstigen Tipps finde ich als WP-Anfänger sehr nützlich, danke schön!

    EDIT:
    Wobei mir im Moment noch nicht klar ist, ob hackertarget eine seriöse/legale Sache ist? Für Mitglieder bieten die ja auch Brute-Force-Angriffe an, was die attackierten Seiten bestimmt nicht freut, oder?
    Oder schätze ich das falsch ein?

    Hi Flower,

    Danke für das nette Feedback, freut mich und motiviert weiterzumachen.
    Bin Bego´s Aufruf heute nachgekommen hier mal reinzuschauen. Und bin seitdem im Rausch 😉

    Nun, also Hackertarget ist schon eine seriöse Seite. Frage des Standpunkts lediglich. Wobei ich ehrlich bin und auch eher die lokale Lösung nutze. Läuft allerdings leider nicht auf Windows, deshalb der Link zu HT.

    Unter Windows könnte man das m.W. nach auch mit „OWASP Zed Attack Proxy (ZAP)“ realisieren, aber das Teil korrekt zu konfigurieren ist etwas,… nunja, „herausfordernd“.

    Hallo Thomas,

    vielen Dank für die schnelle Antwort! Gute Idee von Bego 😉 Wäre natürlich toll, hier auf Dauer einen weiteren Profi an Bord zu haben! 🙂

    Nochmal danke für die Lorbeeren 🙂
    Ich fühle mich hiermit herzlich willkommen geheißen, ziehe mir aber den „Profi“-Schuh nicht selbst an. Ich hab halt nur knapp 10 Jahre WP-Erfahrung, die auch auch gerne hier einfließen lassen werde, falls ich die Zeit habe.

    <WinkMitDemZaunpfahl> Ich lasse sie aber auch gern in kommerzielle Projekte einfließen, falls mal jemand Bedarf hat 😉 </WinkMitDemZaunpfahl>

    Die Bescheidenheit ehrt dich, aber meine Einschätzung hat sich nach kurzer Google-Suche bestätigt. 😉
    Hoffen wir mal, dass du öfters in solch einen Rausch wie heute verfällst! 😉

    Da kann ich nur zustimmen. 🙂

    Schön, wenn hier noch mehr Erfahrene mitmachen.
    (Auch wenn der Hinweis mit den kommerziellen Projekten hier leider nicht erlaubt ist.)

    Gruß, Torsten

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Das Thema „User Login öffentlich unsichtbar machen“ ist für neue Antworten geschlossen.