WordPress Login schützen mit Limit Login Attempts

Vor einigen Wochen war ich auf der Suche nach einer Möglichkeit, meinen WordPress Login-Bereich noch etwas sicherer zu machen. Meine Vorstellung war dabei, eine effektive Möglichkeit zu finden, die es Hackern erschweren soll, sich in mein WordPress Backend zu hacken und um meinen Login-Bereich vor sogenannten Brute-Force-Attacken zu schützen.

Bei meiner Recherche im Internet stieß ich bei Perun auf einen interessanten Beitrag. Perun beschreibt in seinem Artikel eine Möglichkeit, wie man den WordPress Login-Bereich mithilfe des Plug-ins “Limit Login Attempts” noch sicherer machen kann.

Ich habe daraufhin das Plug-in ausprobiert und bin echt total begeistert! “Limit Login Attempts” verbraucht kaum Ressourcen, ist in deutscher Sprache und es macht genau das, was es soll.

Limit Login Attempts Einstellungen

Die Funktionsweise von “Limit Login Attempts” ist schnell erklärt. Das WordPress Plug-in limitiert die Anzahl der möglichen Einloggversuche und gibt bei einem fehlerhaften Login-Versuch eine Warnmeldung an den User aus. Dabei wird dem potentiellen Angreifer nicht mitgeteilt, ob bei dem Versuch sich einzuloggen, der Benutzername, oder etwa das Passwort falsch war.

WordPress-Login geschützt durch Limit Login Attempts

Hat der User die mögliche Anzahl an Login-Versuche erreicht, sperrt “Limit Login Attempts” die IP des Users für eine bestimmte (einstellbar) Zeit und der User hat somit vorerst keine Möglichkeit mehr, sich einzuloggen. Erst wenn die Zeitsperre vorüber ist, oder sich der User eine neue IP “besorgt” hat, kann er den WordPress Login wieder aktiv benutzen.

Wird die Sperre ausgelöst, wird sofort (einstellbar) eine E-Mail mit einem Warnhinweis an den Administrator des Blogs geschickt. In der E-Mail steht unter anderem geschrieben, mit welchem Benutzernamen sich der User zuletzt versucht hat, in WordPress einzuloggen.

2 ungültige Anmeldeversuche (2 Sperrung(en)) von IP: 95.168.xxx.xx
Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: admin
IP wurde gesperrt für 24 Stunden.

Seit ich das WordPress Plug-in “Limit Login Attempts” verwende, merke ich erst, wie oft mein Blog tatsächlich schon Ziel solcher Angriffe geworden ist! Mittlerweile wird mein privater Blog fast wöchentlich von Angreifern heimgesucht.


Artikel-Infobox:



14 Kommentare zu “WordPress Login schützen mit Limit Login Attempts”

  1. Ich muss gestehen, ich habe mir da in der Vergangenheit noch gar keine Gedanken zu gemacht, aber ich werde das Plugin direkt hochladen und dann bin ich mal gespannt, wieoft man sich bereits versucht in meine Blogs einzuloggen.

    Vielen Dank für den Hinweis. Toller Tipp

  2. Klaus sagt:

    Ich habe mir bisher auch keine Gedanken zur Absicherung des Logins gemacht. Du hast aber Recht, dass gerade auch der Login für Brutforce-Attacken sehr anfällig ist. Das Plugin werde ich auch mal bei mir einrichten. Dann fühlt man sich zumindest etwas sicherer :)

    Gruß

    • Joachim sagt:

      @ Klaus

      Ich bin mittlerweile noch einen Schritt weiter gegangen, denn ich habe meinen WordPress-Login, sowie den gesamten Admin-Ordner mit einem Verzeichnisschutz versehen. Selbst das aufrufen der WordPress config-Datei wird mithilfe meiner .htaccess-Datei verhindert. Wie man das realisieren kann, darüber schreibe ich demnächst einen Artikel.

  3. Andy B sagt:

    Schönes How2, aber in manchen Fällen hilft es nichts, da die Sicherheitslöcher in Themes und Plugins liegen, die entweder nicht aktualiserbar sind, oder so eingebettet sind, dass der normale Benutzer nicht einmal weiss, dass sie drin sind. Dann geht der Spaß nämlich los, wenn irgendwelche Injections erst einmal drin sind und sich im Code verstecken..

    VG,
    Andy

    • Joachim sagt:

      @ Andy

      Du hast natürlich vollkommen recht.

      100% ige Sicherheit wird es wohl (leider) auch niemals geben! Täglich erscheinen Hunderte neue Schädlinge im Internet und man kann nur hinterherlaufen und oft nur Schadensbegrenzung betreiben.

      Grad in Hinblick auf den sich aktuell im Umlauf befindlichen “GVU-Virus” (11/2011) (https://www.gema.de/nl/112011/branchennews/gema-trojaner.html), der nicht nur Computer, sondern vorzugsweise Blogs bzw. CMS-Systeme zur Verbreitung des eigenen Schadcodes befällt, hilft auch kein Sicherheits-Plug-in mehr weiter.

  4. Andree sagt:

    Nutze in meinem Blog ebenfalls Limit Login Attempts. Bei der Auswertung der Protokolle ist mir aufgefallen, dass mein Blog sogar bereits vermeintlichen Angriffen ausgesetzt war. Kann das Plugin nur jedem ans Herz legen!

    Gruß Andree

  5. Dieses Plugin ist durchaus sehr sinnvoll, wenn man bedenkt, wieviel Robots tagtäglich die eigene Seite heimsuchen und nach allen möglichen Bugs suchen, mitunter auch Bruteforce Attacken starten. Ich werde es wohl mal ausprobieren!

  6. Boyan Sabev sagt:

    Also auf diese Art und Weise gegen Bruteforce attacken vorzugehen, finde ich ein bisschen unpassend. Brute force attacken brauchen millionen Zugriffe, nicht 10!

    • Joachim sagt:

      Entschuldigung, aber was ist daran “unpassend”? Das Ziel, den Log-in-Bereich vor Hacker-Angriffen zu schützen, wird damit erfüllt. Und genau darauf kommt es an!

  7. Kathryn sagt:

    Hallo Joachim, super Artikel, ich kann mich da nur anschließen, Limit Login Attempts ist ein absolutes Muss auf jeden WordPress Blog, das Beste daran ist, dass man regelmäßig per Mail über Angriffe informiert wird, meistens erfolgen diese als User “admin”, diesen User sollte man natürlich sowieso aus Sicherheitsgründen lieber löschen! LG und weiter so, Kathryn.

    • Joachim sagt:

      Hi Kathryn,

      vielen Dank für dein Feedback und deine netten Worte.

      Ich bin von “Limit Login Attempts” absolut überzeugt und ich bin echt froh, dass ich dieses Plug-in auf meinem Blog installiert habe. Alleine auf das Plug-in verlasse ich mich aber nicht. So müssen natürlich noch weitere Vorkehrungen, zum Schutz gegen Hacker/Viren getroffen werden. Den User “Admin” sollte man -so wie du schon treffend geschrieben hast- ebenfalls löschen und und und…

      Ich wünsche dir ein recht schönes Wochenende lb Kathryn!

  8. Matthias sagt:

    Danke für den guten Tipp, Joachim.
    Ich denke nicht, wie Boyan, dass das PlugIn unnütz ist. Mein Blog ist ständig unter Feuer durch Spamer und Hacker, daher ist ein bisschen zusätzliche Sicherheit durchaus positiv. Zusätzlich nutze ich eine überschaubare Anzahl von Plugins. Und auch nur solche, die noch regelmäßig aktualisiert und gewartet werden. Damit minimiert man das Risiko einer gravierenden Sicherheitslücke, in meinen Augen zumindest. Weniger Plugins bedeuten auf jeden Fall mehr Sicherheit. ;)

  9. Carl sagt:

    Vielen Dank für die mahnenden Worte und den Bericht. Ich muss da jetzt wirklich mal drangehen, das auch bei mir umzusetzen.

  10. Heiko sagt:

    Ich schütze bei allen Blogs das wp-admin Verzeichnis über eine htaccess. Damit es dadurch keine Probleme im Blog gibt, sollte noch folgendes in die .htaccess eingefügt werden:

    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none

Schreibe uns Deine Meinung!