Zuletzt aktualisiert am 20. Juni 2024 von Jérôme Kerviel
Die Begrenzung der Anmeldeversuche in WordPress ist entscheidend für die Sicherheit Ihrer Website. Hier ist eine Schritt-für-Schritt-Anleitung, wie das geht:
Auch wenn WordPress selbst eine sichere Plattform ist, macht dies Ihre Website nicht immun gegen Einbrüche. Einer der häufigsten Angriffe ist der Versuch von menschlichen oder Bot-Hackern, sich einen Weg durch Ihre Anmeldeseite zu bahnen, indem sie verschiedene Kombinationen von Benutzernamen und Passwort ausprobieren, bis etwas funktioniert. Um dies zu verhindern, können Sie ein WordPress-Plugin verwenden, das die Anmeldeversuche begrenzt.
Indem Sie die Anzahl der Versuche von einer bestimmten IP-Adresse innerhalb eines bestimmten Zeitrahmens beschränken, können Sie übermäßige Zugriffsversuche blockieren und so die Sicherheit erhöhen.
In diesem Beitrag erfahren Sie, wie Sie diese Sicherheitsfunktion mit einem kostenlosen Plugin einrichten und welche Vor- und Nachteile sie hat. Tauchen wir ein!
1. Verwenden Sie ein Sicherheits-Plugin
Eine der einfachsten Möglichkeiten, Anmeldeversuche zu begrenzen, ist die Verwendung eines Sicherheits-Plugins. Plugins wie Wordfence, iThemes Security oder Limit Login Attempts Reloaded bieten zuverlässige Funktionen zum Schutz Ihrer Website.
Schritte:
- Installieren und aktivieren Sie das Plugin Ihrer Wahl.
- Navigieren Sie zu den Plugin-Einstellungen.
- Konfigurieren Sie die Grenzen der Anmeldeversuche nach Ihren Wünschen (z. B. Sperren einer IP nach drei Fehlversuchen).
zum Beispiel Installieren Sie die "Anmeldeversuche begrenzen Reloaded"Plugin
Für die meisten Benutzer ist ein WordPress-Plugin zur Begrenzung von Anmeldeversuchen die beste Option, um Anmeldeversuche zu beschränken. Es gibt mehrere hochwertige Optionen, aber wir empfehlen das kostenlose Limit Login Attempts Reloaded Plugin, weil es:
- Es wird eine kostenlose Version angeboten.
- Beliebt - aktiv auf über 2 Millionen Websites, laut WordPress.org.
- Gut bewertet - 98%.
- Einfach zu bedienen.
Sobald das Plugin aktiviert ist, können Sie es öffnen, und Sie werden zum Dashboard des Plugins weitergeleitet. Hier erhalten Sie einen umfassenden Überblick, einschließlich der Gesamtzahl der fehlgeschlagenen Anmeldeversuche der letzten 24 Stunden und ein Einstellungsfeld.
Schritt 2: Passen Sie die Einstellungen des Plugins an
Besuchen Sie zunächst die Website "Einstellungen"Bereich. Es ist eine gute Idee, zunächst den Bereich "GDPR-EinhaltungKontrollkästchen" ganz oben. Dadurch wird auf Ihrer WordPress-Admin-Login-Seite eine Sicherheitsmeldung angezeigt, so dass die Dinge transparent bleiben. Erwägen Sie auch die Aktivierung der "Bei Aussperrung benachrichtigenFunktion". Auf diese Weise werden Sie per E-Mail informiert, wenn jemand zu oft versucht, sich einzuloggen, und es nicht schafft, sich einzuloggen, wobei Sie den Schwellenwert für "zu viele Anmeldeversuche" selbst festlegen können.
Darunter befindet sich der "Lokale App"In diesem Abschnitt können Sie die Regeln für die Anmeldeversuche feinabstimmen, z. B. die Anzahl der zulässigen Versuche vor der Sperrung, die Dauer der Sperrung eines Benutzers nach mehreren Fehlversuchen und die Dauer und Erhöhung der Sperren für hartnäckige Verstöße.
Wenn Sie sich nicht sicher sind, was die richtige Einstellung ist, können Sie die Standardwerte verwenden.
Es besteht keine Notwendigkeit, die Daten in der Datei "Vertrauenswürdige IP-Ursprünge"Klicken Sie also auf die Felder "Einstellungen speichern". Um zu testen, ob das Plugin funktioniert, gehen Sie einfach auf die Anmeldeseite Ihrer Website und geben Sie die falschen Anmeldedaten ein. Es wird eine Meldung angezeigt, die besagt, dass falsche Anmeldedaten eingegeben wurden, und wie viele Versuche noch übrig sind. Außerdem wird eine E-Mail an Ihre E-Mail-Adresse gesendet, in der Sie über die fehlgeschlagenen Versuche informiert werden. Natürlich können Sie die fehlgeschlagenen Anmeldeversuche auch jederzeit in Ihrem Dashboard überprüfen:
Welche Vorteile hat die Begrenzung der Anmeldeversuche?
Nicht alle Sicherheitstechniken sind für jede Website geeignet, und diese hier hat sowohl potenzielle Vorteile als auch Nachteile. Schauen wir uns die Vorteile der Begrenzung von Anmeldeversuchen an:
- Es verhindert, dass Menschen und automatisierte Bots Hunderte (oder Tausende) von Kombinationen aus Benutzername und Kennwort ausprobieren können, bis sie die richtige Kombination gefunden haben.
- Eine vorübergehende Sperrung reicht oft aus, um einen Angriff abzuschrecken, da der Hacker oder Bot zum nächsten wahrscheinlichen Ziel weiterzieht.
- Die meisten Ihrer legitimen Benutzer benötigen nur einen einzigen Anmeldeversuch, oder vielleicht ein paar, wenn sie ihre Anmeldedaten vergessen oder falsch eingegeben haben.
Was ist mit den Nachteilen?
Umsetzung einer Wordpress-Plugin die Anmeldeversuche einschränkt, ist nicht unproblematisch. Bedenken Sie die folgenden Nachteile:
- Hinzufügen eines Plugins zu Ihrer Website. Dieses Plugin ist zwar sehr leichtgewichtig, aber das kann Website-Besitzer abschrecken, die die Anzahl ihrer Plugins gering halten wollen (aus Sicherheits- oder Leistungsgründen).
- Der Nachteil ist natürlich, dass es hin und wieder vorkommen kann, dass sich ein echter Nutzer nicht einloggen kann und ausgesperrt wird.
2. .htaccess-Datei konfigurieren
Wer sich mit der Programmierung auskennt und Zugriff auf das Dateisystem seines Servers hat, kann die Änderung der .htaccess
Datei ist ein effektiver Weg, um Anmeldeversuche zu begrenzen und Ihre WordPress-Website vor Brute-Force-Angriffen zu schützen. Die Website .htaccess
Datei ist eine leistungsstarke die vom Apache-Webserver verwendete Konfigurationsdatei zur Steuerung verschiedener Servereinstellungen, einschließlich Sicherheitskonfigurationen. Hier finden Sie eine ausführliche Anleitung für die Konfiguration Ihres .htaccess
Datei, um die Anmeldeversuche zu begrenzen:
Schritte zum Ändern der .htaccess-Datei:
1. Zugriff auf die Dateien Ihrer Website
- FTP-Client verwenden:
- Laden Sie einen FTP-Client (z. B. FileZilla) herunter und installieren Sie ihn.
- Verbinden Sie sich mit dem Server Ihrer Website mit Ihren FTP-Zugangsdaten.
- Navigieren Sie zum Stammverzeichnis Ihrer WordPress-Installation, das in der Regel den Namen
public_html
oder ähnlich.
- Verwendung des Hosting Control Panels:
- Melden Sie sich bei Ihrem Webhosting-Kontrollpanel (z. B. cPanel) an.
- Verwenden Sie das Tool Dateimanager, um zum Stammverzeichnis Ihrer WordPress-Website zu navigieren.
2. Sicherung der .htaccess-Datei
Bevor Sie Änderungen vornehmen, sollten Sie unbedingt eine Sicherungskopie Ihrer aktuellen .htaccess
Datei, um sicherzustellen, dass Sie sie wiederherstellen können, wenn etwas schief geht.
- Herunterladen der
.htaccess
Datei auf Ihrem lokalen Computer mit Ihrem FTP-Client oder dem Dateimanager des Hosting-Control-Panels.
3. .htaccess-Datei bearbeiten
Öffnen Sie die .htaccess
mit einem Texteditor (z. B. Notepad++ oder dem integrierten Editor in Ihrem Hosting-Kontrollpanel).
4. Code zur Begrenzung der Anmeldeversuche hinzufügen
Fügen Sie den folgenden Codeschnipsel in die .htaccess
Datei, um die Anmeldeversuche zu begrenzen:
<IfModule mod_rewrite.c>
RewriteEngine Auf
RewriteBase /
RewriteCond %{ANFRAGE_METHODE} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000$
RewriteCond %{REMOTE_ADDR} !^111\.222\.333\.444$
RewriteCond %{REMOTE_ADDR} !^555\.666\.777\.888$
RewriteRule ^(.*)$ - [F,L]
</IfModule>
Erläuterung des Kodex:
- RewriteEngine Ein: Aktiviert die Rewriting-Engine zur Laufzeit.
- RewriteBase /: Legt die Basis-URL für das Umschreiben von Verzeichnissen fest.
- RewriteCond %{REQUEST_METHOD} POST: Wendet die Regel nur auf POST-Anfragen an (die für Anmeldeversuche verwendet werden).
- RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$: Wendet die Regel auf Anfragen nach dem
wp-anmeldung.php
Datei. - RewriteCond %{REMOTE_ADDR} !^123.456.789.000$: Schließt bestimmte IP-Adressen von der Regel aus. Ersetzen
123.456.789.000
mit den tatsächlichen IP-Adressen, die Sie zulassen möchten. Fügen Sie so vieleRewriteCond
Zeilen nach Bedarf für jede zulässige IP. - RewriteRule ^(.*)$ - [F,L]: Verweigert den Zugriff (gibt den Status 403 Forbidden zurück) und verhindert die Verarbeitung weiterer Regeln.
5. Speichern und Hochladen der Datei
- Speichern Sie die Änderungen in der
.htaccess
Datei. - Laden Sie die geänderte Datei mit Ihrem FTP-Client wieder auf Ihren Server hoch oder speichern Sie sie direkt, wenn Sie den Editor des Hosting-Kontrollpanels verwenden.
6. Testen Sie die Änderungen
- Versuchen Sie, sich von einer nicht zugelassenen IP-Adresse bei Ihrer WordPress-Website anzumelden, um sicherzustellen, dass die Regel korrekt funktioniert. Sie sollten einen 403 Forbidden-Fehler erhalten.
- Überprüfen Sie, ob Sie sich von den erlaubten IP-Adressen aus noch anmelden können.
Zusätzliche Tipps:
- Ihre IP auf die Whitelist setzen: Vergewissern Sie sich immer, dass Ihre IP-Adresse in der Whitelist des
.htaccess
Datei, um zu verhindern, dass Sie sich selbst aussperren. - Dynamische IP-Adressen: Wenn sich Ihre IP-Adresse häufig ändert, sollten Sie ein VPN mit einer statischen IP oder einen Dienst wie DynDNS verwenden, um den Zugang aufrechtzuerhalten.
- Regelmäßige Updates: Regelmäßige Überprüfung und Aktualisierung der .htaccess-Datei, um sicherzustellen, dass sie Ihren Sicherheitsanforderungen entspricht Anforderungen und berücksichtigt alle Änderungen der IP-Adressen.
Ändern der .htaccess
Datei zur Begrenzung der Anmeldeversuche ist eine robuste und flexible Methode zur Verbesserung der Sicherheit Ihrer WordPress-Website. Obwohl es einige technische Kenntnisse erfordert, ist der Prozess unkompliziert und bietet eine zusätzliche Schutzschicht gegen unbefugte Zugriffsversuche. Denken Sie immer daran, eine Sicherungskopie Ihrer .htaccess
Datei, bevor Sie Änderungen vornehmen, und testen Sie gründlich, um sicherzustellen, dass Ihre Website für autorisierte Benutzer zugänglich bleibt.
Schlussfolgerung
Auch wenn es nicht unbedingt erforderlich ist, ist die Installation eines Plugins zur Begrenzung der Anmeldeversuche ein kluger, proaktiver Schritt zum Schutz Ihrer WordPress-Website. Es ist eine kleine Investition Ihrer Zeit, die sich auszahlt, da sie Ihre Website gegen Brute-Force-Angriffe schützt - eine beliebte Taktik von Hackern, die es auf die große Nutzerbasis von WordPress abgesehen haben.
Außerdem kann die Änderung der .htaccess
Datei zur Begrenzung der Anmeldeversuche ist eine robuste und flexible Methode zur Verbesserung der Sicherheit Ihrer Website. Diese Methode erfordert zwar einige technische Kenntnisse, ist aber unkompliziert und bietet einen zusätzlichen Schutz gegen unbefugte Zugriffsversuche. Denken Sie immer daran, eine Sicherungskopie Ihrer .htaccess
Datei, bevor Sie Änderungen vornehmen, und testen Sie gründlich, um sicherzustellen, dass Ihre Website für autorisierte Benutzer zugänglich bleibt. Die Kombination beider Methoden - die Verwendung eines Plugins und die Konfiguration der .htaccess
Datei kann umfassende Sicherheit für Ihre WordPress-Website bieten.