Sicherheit, Sicherheit und noch mehr Sicherheit. Es gibt ja einige Tipps zum Thema Sicherheit in WordPress Installationen. Natürlich muss man nicht alle beherzigen, denn viele verschiedene Tipps machen im Endeffekt das Gleiche. Heut geht es um die Absicherung des WordPress Logins mithilfe des Plugins Login LockDown.
Wie schon gesagt, viele Tipps machen im Endeffekt das Gleiche. Man muss also nicht jeden Sicherheits-Tipp umsetzen, sondern man muss gucken das jeder Bereich abgesichert ist, der abgesichert sein sollte. Heute geht es um den Login von WordPress. Auf das vorgestellte Plugin „Login LockDown“ bin ich durch den Newsletter von Perun gekommen (den man abonnieren sollte wenn man sich mit WordPress beschäftigt).
WordPress Plugin: Login LockDown
Das Plugin Login LockDown soll kurzgesagt euren Login vor unberechtigten Zugriffen sichern.
Genau gesagt kämpft es gegen eine Methode names Brute-Force an, bei der versucht wird, über Hardware mit hoher Rechenleistung und diversen Tools das Passwort zu „finden“. Dabei werden solange alle erdenklichen Kombinationen durchgegangen bis es zu einem Ergebnis kommt. Daher auch der Name, der übersetzt soviel wie rohe Gewalt bedeutet.
Login LockDown geht nun hin und sperrt nach einer gewissen Anzahl von Versuchen die genutzte IP für eine vorgegebene Zeit und unterbindet somit die oben genannte Methode soweit möglich.
Die Optionen des Plugins
Viel einstellen kann und muss man nicht.
– Max Login Retries – Hier gibt man an, wie viele Login Versuche innerhalb einer bestimmten Zeit zugelassen werden.
– Retry Time Period Restriction – Hier gibt man die Zeit an, innerhalb derer die oben genannten Login-Versuche zugelassen werden.
– Logout Length – Selbsterklärend > Zeit in der man sich nicht mehr einloggen kann.
– Logout Invalid Usernames – Aussperren von falschen Benutzer-Namen
– Mask Login Errors – Fehlermeldungen beim Login maskieren (verstecken)
Unter „Currently Locked Out“ sieht man dann die aktuell geblockten IP’s und kann ggf. manuell eingreifen falls ein realer User durch probieren seines Passworts in den Filter geraten ist.
Fazit
Für alle, denen eine Absicherung des Logins ohne weiteren manuellen Aufwand entgegen kommt, ist dieses Plugin eine gute Sache. Nach dem Installieren und Aktivieren des Plugins müssen einfach eben genannte Punkte bei Bedarf angepasst werden und gut ist.
Hier geht’s zum Download im WordPress-Plugin Directory
Original-Icon im Thumbnail von artua
Thom
Gerade gestern erst habe ich durch das Plugin „Login Tracker“ entdeckt das sich täglich jemand versucht einzuloggen . Erst dachte ich da hätte schon jemand mein Passwort geknackt, es waren aber nur ,1700 Fehlversuche.
Grund genug sich solch ein Plugin mal näher anzuschauen obwohl mein Hoster gesagt hat ein gutes Passwort ist aussreichend.
Daniel aus Köthen
Scheint ähnlich zu funktionieren wie das Plugin Limit Login Attempts (siehe: http://www.redirect301.de/wp-admin-absichern.html#limit-login-attempts), welches ich derzeit gern einsetze.
Kann auch nur jedem nahe legen in diese Richtung etwas zu unternehmen. Macht praktisch keinen Aufwand solch ein Plugin einzubinden, erspart aber unter Umständen richtig viel Ärger und Aufwand.
Bohn
Ein gutes Passwort ist die Basis – aber keine Garantie 😉
Wobei so ein Plugin, bzw. so eine Maßnahme natürlich auch keine Garantie ist.
Acky
Wird „Login LockDown“ noch gepflegt? Laut dem WP Repository wurde es seit September 2009 nicht mehr geupdatet.
Eine Alternative mit gleicher Funktionalität ist das Plugin „Limit Login Attempts“ http://wordpress.org/extend/plugins/limit-login-attempts/. Ich verwende es schon seit längeren auf allen Sites.
Vincent
Super Plugin Erläuterung. Nutze es schon seit einer weile, davor gab es zwar auch keine vorfälle, aber ich denk es kann durchaus welche verhindern!
Gruß
Vincent
Csaba Nagy
Hallo!
Ich nutze das Limit Login Attempts…gleiche Funktion und hat mich unlängst vor Zugriffen bewahrt…die Sperrungen sind noch immer Aktiv…insgesamt 4 von je zwei IP-Adressen…
Verstehe nicht warum man nicht einfach, ohne die Arbeit des anderen zu zerstören, leben kann?!
Ich würde es ja noch verstehen, wie bei Sony, das man die Daten klaut…aber bei einem Blog gibt es nichts besonderes zu holen…ausser das man die Monate, oft sogar Jahrelange Arbeit einfach zu nichte macht!
Werde das nie verstehen!
MfG
Csaba
Marco
Macht es nicht auch / eher (zusätzlich) Sinn das WP-Admin-Verzeichnis via .htaccess mit nem Password zu schützen?
Daniel
Bei einem zusätzliche htaccess-Schutz gehe ich voll und ganz mit @Marco. Wer aber eben keinerlei Aufwand haben möchte, der holt sich eben ein entsprechendes Plugin. Ich nutze bei mir auch htaccess…
@Csaba: Es muss ja nicht immer Zerstören sein. Das würde man als Betreiber zumindest schnell mitbekommen und man könnte man sein Backup testen. Was ist aber mit versteckten Links, z.B. in älteren Beiträgen oder im Impressum (Seiten eben, die man sich selbst praktisch nie wieder ansieht) auf rechtlich bedenkliche Webseiten? Oder von mir aus auch nur ganz normale SEO-Backlinks auf irgendwelche Satellitenseiten?
Deshalb: Macht das Login so dicht wie möglich und ihr habt eine potentiell verwundbare Stelle weniger in eurem Blog!
Schiffblogger
Erschreckend, habe das Plugin vor 20 Minuten installiert und habe bereits 12 IP-Adressen die zu 98% aus Deutschland stammen in der Sperrliste…
Demnach: Vielen Dank für den Anstoss Ralf.
Schiffblogger
Das ist doch nicht mehr normal – ich habe jetzt über 201 Sperrungen und 167 gesperrte IP´s innerhalb von 18 Stunden.
Woran liegt das?
Werbeagentur Augsburg
Sehr schönes Plugin. Vielen Dank für den Hinweis.
@Schiffblogger: Es kommt durchaus vor dass automatische Scripte mehrmals versuchen, auf ein und dieselbe Seite zuzugreifen.
Natürlich auch mit abwechselnden IP – Adressen, so gesehen also nix ungewöhnliches.
Alex
Wirklich sinnvolles Plugin! Steigert die Sicherheit des Blogs enorm, kann ich jedem nur empfehlen.