Brute Force Attacken sind die mit Abstand häufigste Angriffsart auf WordPress Websites. Bots versuchen sich hierbei automatisch in dein WordPress Dashboard einzuloggen und nutzen mitunter dabei meist hunderte oder tausende gestohlene Logindaten und Passwörter.
Im schlimmsten Fall können sich Hacker so in dein WordPress einloggen. Auch wenn dies nicht gelingt, erzeugen die Loginversuche eine sehr hohe Last auf deiner Seite. Das Feature Login Protection, zuvor als RB Login Protector bekannt, unterbindet diese Attacken. Sie nutzt dabei im Grunde einen bereits von mehreren Plugins bekannten Mechanismus: Limit Login Attempts.
(Hinweis: Das Plugin Limit Login Attempts muss nicht zusätzlich installiert werden)
Wie funktioniert die Login Protection?
Login Protection richtig einstellen
Ausstellen der Login Protection
Wie funktioniert die Login Protection?
Die Login Protection schaltet sich vor deinen WordPress Loginbereich und sperrt IP-Adressen aus, die wiederholt versuchen, sich mit falschen Logindaten einzuloggen.
In den Einstellungen deiner Box kannst du genau definieren, nach wievielen Loginversuchen diese Sperre greifen soll und wie lange die betreffenden IPs ausgesperrt werden sollen.
Deine eigene IP kann möglicherweise auch von der Login Protection gesperrt werden, wenn von dieser mehr Login Fehlversuche vom System registriert werden, als in den Einstellungen erlaubt sind. In diesem Fall wird folgende Fehlermeldung bei einem weiteren Loginversuch ausgegeben:
"Your IP address has been banned from this site or you are not allowed to access this page."
Login Protection richtig einstellen
Du findest die Login Protection in den Einstellungen deiner Box im Untermenü Sicherheit.
Die Übersicht der gesperrten IPs (Dropdown Pfeil)
Über die Buttons ganz oben kannst du dir alle bisher geblockten IP-Adressen anzeigen lassen und den Versuchecounter zurücksetzen. Damit wird die Blocklist komplett geleert und alle IPs können wieder Loginversuche starten. Wenn du nur einzelne IP-Adressen entsperren möchtest, wähle diese in der Liste aus und setze den Counter dann zurück.
Einstellungen
Hier kannst du genau einstellen wie viele Fehlversuche erlaubt sind, bevor eine IP geblockt wird und wie lange geblockte IPs gesperrt werden sollen.
Whitelist
Zusätzlich zu den Sperrregeln kannst du auch eine Whitelist definieren. IP-Adresse, die auf dieser Liste stehen, werden niemals geblockt. Diese Funktion kann hilfreich sein, falls du dich selbst versehentlich aussperrst.
Benachrichtigungen
Auch kannst du dich über alle Lockouts per Mail informieren lassen.
Bitte beachte: Brute Force Attacken kommen sehr häufig vor. Es kann daher sein, dass du über diese Benachrichtigungsfunktion teils sehr viele E-Mails erhältst.
Ausstellen der Login Protection
Das Ausstellen der Login Protection stellt ein großes Sicherheitsrisiko dar. Denn unser Server kann kein Monitoring mehr auf die Login Seite deiner WordPress Installation vornehmen und Brute Force Attacken haben somit ein leichteres Spiel. Sei dir also sicher, ob du ihn unbedingt ausstellen musst.
Meine IP wurde vom Login Protection gebannt?
Ein starkes und sicheres Passwort ist für die Sicherheit deiner WordPress Seite essentiell. Die Kriterien für ein sicheres Passwort (Groß- und Kleinschreibung, Zahlen und Sonderzeichen, Mindestlänge von 7 Zeichen, etc.) können eine valide Eingabe während des Logins erschweren. Damit beides möglich ist - ein sicheres, komplexes Passwort und ein einfaches Einloggen in das WordPress deiner Website - haben wir den Single Sign On entwickelt. Wie du den nutzen kannst, erklären wir in diesem Artikel: Single Sign On nutzen.
Zusätzlich zur Login Protection kannst du mit dem Website Zugriff - Passwortschutz dein Login absichern.