Wie beschränke ich Anmeldeversuche in WordPress?

Veröffentlicht: 2021-11-30

In unserem früheren Artikel haben wir verschiedene Möglichkeiten zum Stoppen von Brute-Force-Angriffen auf WordPress-Sites erklärt. Im Vergleich zu allen anderen Optionen ist die Begrenzung der Anmeldeversuche Ihrer WordPress-Anmeldeseite eine der effektivsten Möglichkeiten, Ihre Site zu schützen. Die meisten Benutzer halten dies für eine schwierige Aufgabe und tun nicht genug, um die Sicherheit ihrer Website zu verbessern. Dies liegt vor allem daran, dass es zeitaufwändig, teuer und geradezu schwierig sein kann. Aber was ist, wenn wir Ihnen sagen, dass Sie Anmeldeversuche in Ihrer WordPress-Site mit einem Plugin in weniger als 10 Minuten begrenzen können. Lesen Sie weiter, um zu erfahren, wie Sie das tun können.

Warum Anmeldeversuche in WordPress einschränken?

WordPress bietet ein einfaches Anmeldeformular, auf das Sie zugreifen können, indem Sie das Suffix /wp-admin/ oder /wp-login.php zu Ihrer Website-URL hinzufügen. Obwohl Sie diese URL mit einem Plugin ändern können, kann dies zu anderen Problemen führen, da viele WordPress-Plugins dieselbe Anmeldeseite für den Zugriff auf das Dashboard verwenden. Im Folgenden sind einige Arten von Plugins aufgeführt, die Ihre WordPress-Anmeldeseite verwenden können:

  • Online-Shop-Plugins wie WooCommerce
  • Inhaltsabonnement-Plugin
  • Mitgliedschafts-Plugins

Es sieht nicht professionell aus, Ihren zahlenden Kunden eine benutzerdefinierte URL oder ein Passwort bereitzustellen. Daher ist die beste Option, Anmeldeversuche einzuschränken, damit sich Ihre Kunden bei Ihrer Website anmelden können und gleichzeitig automatisierte Bots eingeschränkt werden.

Darüber hinaus wird durch das Blockieren von Bots Serverbandbreite gespart, die verwendet werden kann, um echte Besucher Ihrer Website zu bedienen.

Beschränken Sie die Anmeldeversuche, neu geladenes Plugin

Unsere Lösung für dieses Problem bietet das Plugin Limit Login Attempts Reloaded . Es ist zweifellos das beste WordPress-Plugin zur Begrenzung von Anmeldeversuchen und ist recht einfach zu konfigurieren und zu implementieren.

  • Öffnen Sie Ihr WordPress-Admin-Portal und gehen Sie zum Abschnitt „Plugins > Neu hinzufügen“.
  • Geben Sie einfach "Login einschränken" in das Suchfeld ein, um die Liste der relevanten Plugins zu finden.
  • Find Limit Login Attempts Reloaded Plugin im Suchergebnis, klicke auf „Installieren“ und dann kurz darauf auf „Activate“, wie im Screenshot unten gezeigt.
Installieren und aktivieren Sie das Login-Limit-Plugin
Installieren und aktivieren Sie das Login-Limit-Plugin

Plugin-Dashboard

Nach der Installation und Aktivierung finden Sie in Ihrer WordPress-Dashboard-Sidebar ein neues Menü mit dem Namen „Anmeldeversuche einschränken“. Klicken Sie auf dieses Menü, um die Systemsteuerung des Plugins aufzurufen. Alternativ können Sie die Seite auch über „Einstellungen > Anmeldeversuche begrenzen“ aufrufen, wie im Screenshot unten gezeigt.

Dashboard für Open-Limit-Anmeldeversuche
Dashboard für Open-Limit-Anmeldeversuche

Beim Betreten der Seite sehen Sie den Dashboard-Bereich des Plugins. Hier können Sie sich einen allgemeinen Überblick über alles verschaffen und Folgendes überwachen:

  • Zeigen Sie die Gesamtzahl der fehlgeschlagenen Anmeldeversuche auf Ihrer Website in einem grafisch dargestellten Format in Form eines Tortendiagramms und eines Balkendiagramms an.
  • Aktualisieren Sie auf die Premium-Version des Plugins. Während die kostenlose Version des Plugins für die meisten Benutzer mehr als ausreichend sein wird, sollte ein Upgrade auf Premium dieses Problem lösen, wenn die Website-Performance nach der Installation des Plugins reduziert ist, da das Plugin Brute-Force-Angriffe in ihrer Cloud absorbiert Server im Gegensatz zu lokal. Sie erhalten außerdem 24-Stunden-Support, automatische Sicherung aller Daten und erweiterte Drosselung für andere Dinge.
  • Sehen Sie sich täglich interessante Statistiken wie fehlgeschlagene Anmeldeversuche nach Ländern an.
Dashboard für Anmeldeversuche begrenzen
Dashboard für Anmeldeversuche begrenzen

Plugin-Einstellungen konfigurieren

Klicken Sie auf die Registerkarte Einstellungen, um spezifische Konfigurationen und Änderungen an den Standard-Anmeldeeinstellungen von WordPress vorzunehmen. Auf dieser Seite können Sie die folgenden Änderungen vornehmen:

  • Bei Sperrung benachrichtigen : Eine von Ihnen eingegebene E-Mail-Adresse wird jedes Mal benachrichtigt, wenn die Website aufgrund mehrerer fehlgeschlagener Anmeldeversuche gesperrt wurde. Standardmäßig benachrichtigt das Plugin nach 3 Sperren per E-Mail, aber Sie können es in jede Sperre ändern, indem Sie „1“ anstelle von 3 eingeben, wie unten gezeigt.
Benachrichtigungseinstellungen bei Sperrung
Benachrichtigungseinstellungen bei Sperrung
  • Sperreinstellungen: In diesem Abschnitt können Sie die folgenden Sicherheitsänderungen vornehmen:
    • Zulässige Wiederholungen: Dies ist die Anzahl der Versuche, die Sie versuchen können, sich beim Admin-Portal der Website anzumelden. Der Standardwert des Plugins ist hier 4, aber 2 oder 3 sind aus Sicherheitsgründen besser.
    • Minutes Lockout: Dies ist die Dauer, für die das Admin-Portal der Website nicht zugänglich ist. Der Standardwert von 20 Minuten ist unserer Meinung nach angemessen, Sie können jedoch auch Änderungen nach Ihren Wünschen vornehmen.
  • Sperren erhöhen die Sperrzeit: Dies bezieht sich im Wesentlichen darauf, was nach mehreren Sperren passiert. Gemäß den Standard-Plugin-Einstellungen ändert sich die Sperrdauer beispielsweise nach 4 Sperren von 20 Minuten auf 24 Stunden.
  • Wiederholungen werden zurückgesetzt: Der von Ihnen eingegebene Wert bestimmt, wie lange es dauert , bis Wiederholungen zurückgesetzt werden und der Benutzer erneut versuchen kann, sich anzumelden.
  • Vertrauenswürdige IP-Ursprünge: Wenn Sie bestimmte Ursprünge haben, denen Sie vertrauen, können Sie diese hier durch Kommas getrennt eingeben. Wie beim Plugin empfehlen wir auch, den standardmäßigen REMOTE_ADDR-Ursprung zu verwenden, da andere Ursprünge leicht gefälscht werden können.
App-Einstellungen Anmeldeversuche begrenzen
App-Einstellungen Anmeldeversuche begrenzen

Nachdem Sie die spezifischen Einstellungen für das Plugin vorgenommen haben, vergessen Sie nicht, auf „Einstellungen speichern“ zu klicken, um Ihre Konfiguration zu aktivieren.

Protokolle anzeigen

Darüber hinaus können Sie auf der Registerkarte Protokolle die bisherigen Gesamtsperrungen anzeigen sowie IP- oder IP-Bereiche manuell auflisten, die Sie blockieren oder auf eine sichere Liste setzen möchten.

Protokoll der Anmeldeversuche begrenzen
Protokoll der Anmeldeversuche begrenzen

Sehen Sie sich das Plugin in Aktion an

Nachdem wir das Plugin jetzt konfiguriert haben, sehen wir uns an, wie es tatsächlich funktioniert. Melden Sie sich vom WordPress-Admin-Portal ab und geben Sie auf der Anmeldeseite einen ungültigen Benutzernamen und ein ungültiges Passwort ein, um das Plugin zu testen. Wie Sie sehen können, zeigt das Plugin deutlich an, wie viele Versuche Sie haben, bevor die Site Ihre IP-Adresse sperrt. Sie sehen eine Meldung wie "3 Versuche verbleibend", da wir so konfiguriert haben, dass die Anmeldung auf 3 ungültige Versuche beschränkt wird.

Ungültiger Anmeldeversuch
Ungültiger Anmeldeversuch

Wenn Sie weiterhin einen falschen Benutzernamen oder ein falsches Passwort eingeben, wird ein Sperrstatus angezeigt, wie im Screenshot unten gezeigt. In diesem Fall können Sie bis zum Ablauf der Sperrdauer, in diesem Fall 20 Minuten, keine weitere Anmeldeanfrage stellen. Selbst wenn Sie die richtigen Zugangsdaten übermitteln, können Sie sich während dieser Sperrdauer nicht mit dem Plugin anmelden.

Anmeldeversuch aussperren
Anmeldeversuch aussperren

Letzte Worte

Wir empfehlen dringend, die Anmeldeversuche auf Ihrer WordPress-Site zu begrenzen, insbesondere wenn Sie keine Registrierungsfunktionen verwenden. Sie können die Statistik fehlgeschlagener Anmeldungen überwachen, um den Ursprung von Angriffen zu verstehen. Bei Bedarf können Sie die Sperrdauer erhöhen oder die IP-Adressen dauerhaft sperren, um die Sicherheit zu erhöhen. Vermeiden Sie jedoch zu viele Einschränkungen, wenn sich zahlende Kunden über das standardmäßige WordPress-Anmeldeformular anmelden.