Ich steh mal wieder unter Beschuss

WordPress Header, Foto: Cowboy of Bottrop, Lizenz: CC-by-sa 3.0 de
closeDieser Beitrag wurde vor 2 jahr 8 tag veröffentlicht. Die Informationen in diesem Beitrag sind möglicherweise veraltet. Bitte benutze die Suche oder das Archiv, um nach neueren Informationen zu diesem Thema zu suchen.

Also nicht ich, dieses Blog hier. Seit gestern Vormittag versuchen wieder irgendwelche Bösewichte, mit Brute-Force-Attacken ins Backend einzudringen. Natürlich mit nicht existenten Benutzernamen…

Jetzt habe ich hier an sich eine gute Strategie in Sachen Sicherheit, auf die ich nicht detailliert eingehen möchte. Ich will ja niemandem einen Ansatzpunkt für Angriffe liefern. Der Standard ist natürlich Limit Login Attempts, was zwar seit über drei Jahren nicht mehr aktualisiert wurde, aber noch immer macht, was es soll: die Anzahl der Login-Versuche von einer und derselben IP-Adresse begrenzen. Beim Erreichen dieser Grenze wird der Zugriff dieser IP-Adresse für einen bestimmten Zeitraum gesperrt.

Limit Login Attempts
Limit Login Attempts
Entwickler: Johan Eenfeldt
Preis: Kostenlos

Ein weiterer Standard dürfte Wordfence Security sein, das schon in der Gratisversion eine Menge Optionen bietet und auch bezüglich des Logins einige Optionen bietet. So wird hier auch geprüft und geloggt, ob es den bei einem fehlgeschlagenen Login verwendeten Benutzernamen überhaupt gibt. Wenn nicht, kann die anfragende IP-Adresse umgehend für einen definierten Zeitraum gesperrt werden. Da auch der berechtigte Benutzer sich mal vertippen kann, besteht bei Blogs mit mehreren Benutzern die Gefahr, einen berechtigten Benutzer auszusperren. Aber hier schreibe ich alleine und verwalte Benutzernamen und Passwörter in einer externen Software, die die nötigen Daten von sich aus an den Browser übermittelt und einträgt. Da ist die Gefahr des Vertippens eher gering. 😉

In der kostenpflichtigen Premium-Version gibt es noch weitere Möglichkeiten, wie z. B. IP-Sperren auf Länderebene.

Wordfence Security
Wordfence Security
Entwickler: Wordfence
Preis: Kostenlos

Bei mir kommen auch noch weitere Plugins zum Einsatz, die die Sicherheit speziell beim Anmelden betreffen. Die machen alle etwas ganz bestimmtes, deshalb nenne ich diese hier nicht beim Namen. 😉

Was ich noch überlege ist eine Zwei-Faktor-Authentifizierung (2FA). Zwar gibt es im WordPress Plugin-Verzeichnis einige Erweiterungen, die 2FA für WordPress ermöglichen, die meisten arbeiten jedoch mit einem externen Service zusammen. Da habe ich so meine datenschutzrechtlichen Bedenken, zumal die Dienstanbieter außerhalb der EU angesiedelt sind. Zudem möchte ich keine weiteren Apps auf mein Smartphone schaufeln. Einzig den Google Authenticator habe ich bereits auf dem Handy, da ich für meinen Google-Account ebenfalls 2FA nutze. Aber alle Plugins, die mit dem Google Authenticator zusammenarbeiten, wollen einen QR-Code eingescannt haben. Das allerdings kann der Authenticator nicht mehr, wenn er einmal eingerichtet ist. Zumindest habe ich keine entsprechende Option gefunden. Die Lösung von Sergej Müller, die nur lokal arbeitet und den Bestätigungscode per Mail schickt, habe ich in einer anderen Webseite laufen. Die Lösung ist zwar datenschutzrechtlich unbedenklich, aber aus nicht näher definierbaren Gründen bin ich damit nicht so ganz glücklich.

Keep it Country, Markus

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

;) 
:) 
:D 
:( 
:/ 
:p 
:o 
:lol: 
:roll: 
:angry: 
:smoke: 
:mrgreen: 
:silence: 
:blush: 
:kiss: 
mehr...
 

Wir verwenden Cookies, um unsere Webseite für Dich komfortabler zu machen. Mit der weiteren Nutzung unserer Seiten stimmst Du der Verwendung der Cookies zu. Mehr InformationenAkzeptieren