Hilfe - WordPress

Bruteforce-Schutz für das WordPress-Login

Angreifer versuchen sehr häufig über Bruteforce-Attacken an die Zugangsdaten für WordPress zu gelangen. Diese Attacken laufen automatisiert ab und können bei entsprechender Intensität eine sehr hohe Last auf dem Webserver auslösen.

Angriffsziele sind die Dateien wp-login.php (hier erläutert) und xmlrpc.php.

Wir stellen hier verschiedene Möglichkeiten vor, um ein WordPress besser zu schützen. 

 

.htaccess - Passwortschutz

Der .htaccess-Passwortschutz ist der beste Schutz und über unser Control-Center leicht einzurichten:

Zunächst wird ein Benutzer + Passwort eingerichtet:


Jetzt den Passwortschutz-Funktion erneut aufrufen:

und einen geschützten Bereich anlegen:

1) Datei "wp-login.php" auswählen

2) Name vergeben

3) User auswählen

4) Schutz aktivieren

 

.htaccess - Schutz: Zugriff nur von bestimmten IPs oder Netzwerken erlauben

Leider liegt bei WordPress die Backend-Loginfunktion nicht in einem eigenen Verzeichnis, so das man nicht einfach alle Backend-Funktionen per .htaccess-Passwortschutz effektiv schützen kann. Dies ist leider ein großes Sicherheitsmanko.

Um das Login zu schützen, muss man den Zugriff auf die Datei "wp-login.php" einschränken. In der hier vorgestellten ersten Variante erfolgt eine Einschränkung des Zugriffs auf IPs oder Einwahl-Netzbereiche typischer Einwahlprovider. Weil die meisten User keine eigene Einwahl-IP nutzen, muss man in diesem Fall Bereiche freigeben. Die meisten Attacken erfolgen üblicherweise über ausländische IPs und die werden damit gesperrt.

Über diesen Link kann die eigene IP ermittelt werden bzw. der Hostname, den der Einwahlprovider vergibt. Meistens steckt im Hostnamen eine eindeutige Domain, mit denen alle Hostnamen der Einwahl-IPs des Providers gebildet werden. Mit Hilfe der so ermittelten Domain kann eine .htaccess Datei im obersten WordPress-Verzeichnis (dort wo auch die Datei "wp-login.php" liegt) erzeugt oder ergänzt werden.

Beispiel:

Alle Einwahl-IPs von hansenet.de und kabel-deutschland.de erlauben und ebenso die IP 127.0.0.1 und 123.123.123.123

<Files "wp-login.php">
  order deny,allow
  deny from all
  allow from hansenet.de
  allow from dynamic.kabel-deutschland.de
  allow from net-htp.de
  allow from 127.0.0.1
  allow from 123.123.123.123
</Files>

WordPress-Plugin "Login Security Solution"

 

Das Plugin "Login Security Solution" kann direkt im WordPress-Backend unter "Plugins-->Installieren" gesucht werden oder von hier heruntergeladen und über den Installer im Backend installiert werden.

Wenn über unseren Softwareinstaller im Control-Center ein WordPress installiert wird, ist dieses Plugin bereits per Default mit installiert.

Das Plugin stellt vielfältige Funktionen zur Verfügung, wie Zeitsperren, Passwortrichtlinien und Benachrichtigungsfunktionen.

© 2019 fc-hosting.de | +49-(0)5032-933-068-0 | info@fc-hosting.de

Quick-Links

Formulare

Tools

Tipps und Hilfen