Das Login von WordPress absichern
Es gibt viele Möglichkeiten, seine WordPress Installation sicherer zu machen. Heute möchte ich auf das Absichern des Login Bezug nehmen. Standardmäßig ist es bei WordPress so, das Sie unbegrenzt viele Login Versuche haben. Dadurch entsteht für Hacker natürlich die Möglichkeit, über eine sogenannte Brute-Force Attacke Ihr System zu Hacken. Hierbei werden einfach ununterbrochen, neue User und Passwort Kombinationen, an Ihr System übermittelt. So ist es eigentlich nur eine Frage der Zeit und der Rechenpower, bis die richtige Kombination gefunden wird. Natürlich können sie durch einen sicheres Passwort - bestehend aus Zahlen, Groß- sowie Kleinbuchstaben und Sonderzeichen - diese Gefahr etwas abmindern, allerdings besteht Sie trotzdem noch immer.
Um diese Gefahr noch weiter zu verringern, stelle ich Ihnen heute das Plugin Limit Login Attempts Reloaded vor. Mit diesem Tool ist es Ihnen möglich, ohne großen Aufwand, das Risiko nochmals extrem zu minimieren. Sie sorgen dafür, dass nur noch eine bestimmte Anzahl von Login versuchen möglich ist. Auch haben Sie die Möglichkeit, bestimmte IP Adressen oder User komplett zu sperren.
Abgesehen von der Whitelist und der Blacklist, die zum Sperren oder Freigeben von IP-Adressen und Usern zur Verfügung stehen, haben Sie noch einige weitere Einstellungsmöglichkeiten. Diese wären:
- erlaubte Anmeldeversuche - Die Anzahl der Versuche, bis das Login für eine bestimmte Zeit gesperrt wird!
- Minuten Sperrung nach Überschreiten der zulässigen Anmeldeversuche - Die Anzahl der Minuten für die das Login gesperrt wird, wenn Sie die Anzahl der zulässigen Anmeldeversuche erreicht haben.
- Sperrungen erhöhen die insgesamte Sperrzeit um XX Stunden - Nach der genannten Anzahl von Sperrungen, wird das Login für die genannte Stundenzahl blockiert.
- Stunden bis fehlgeschlagene Anmeldeversuche zurückgesetzt werden - Falsche Logins werden nicht nach Eingabe der richtigen Daten gelöscht, sondern bleiben die genannte Anzahl an Stunden gespeichert. Erst dann werden Sie vom System zurückgesetzt.
Des Weiteren haben Sie noch die Möglichkeit die Sperrungen zu protokollieren, sowie sich bei einer erfolgten Sperrung per E-Mail benachrichtigen zu lassen.
Die Grundeinstellungen des Plugins sind eigentlich ausreichend, um es jedem Hacker - bei gleichzeitigem sicherem Passwort - nahezu unmöglich zu machen, über eine Brute-Force Attacke in Ihr System einzudringen.
