Lesefortschritt:

Sicherheits-Trick #1: Anzahl Loginversuche ins WordPress-Backend beschränken

19. Dezember 2021 | Sicherheit, WordPress

Dieser Beitrag beinhaltet 440 Wörter. – Geschätzte Lesezeit: ca. 3 Minuten.

WordPress lässt auf der Loginseite zum Backend eine unbeschränkte Anzahl Versuche zu. Das gibt Robots die Möglichkeit beliebige Kombinationen durchzuprobieren. Auch wenn der Zugriff nicht funktioniert: Die Serverlast steigt ob Brute-Force-Attacken. Doch Sie können die Zahl der vergeblichen Loginversuche beschränken.

Technische Attacken enden meist von selber nach kurzer Zeit, wenn klar wird, dass nach drei Versuchen nix zu wollen ist.

Der Code ist recht umfangreich. Kopieren Sie ihn und fügen Sie die Zeilen in die Datei functions.php Ihrer WordPress-Website ein. Sie finden die functions.php unter Design/Theme-Editor:

function check_attempted_login( $user, $username, $password ) {
    if ( get_transient( 'attempted_login' ) ) {
        $datas = get_transient( 'attempted_login' );
        if ( $datas['tried'] >= 3 ) {
            $until = get_option( '_transient_timeout_' . 'attempted_login' );
            $time = time_to_go( $until );
            return new WP_Error( 'too_many_tried',  sprintf( __( '<strong>Fehler:</strong> Sie haben das Limit der erlaubten Loginversuche überschritten. Versuchen Sie es in %1$s erneut.' ) , $time ) );
        }
    }
    return $user;
}
add_filter( 'authenticate', 'check_attempted_login', 30, 3 ); 
function login_failed( $username ) {
    if ( get_transient( 'attempted_login' ) ) {
        $datas = get_transient( 'attempted_login' );
        $datas['tried']++;
        if ( $datas['tried'] <= 3 )
            set_transient( 'attempted_login', $datas , 300 );
    } else {
        $datas = array(
            'tried'     => 1
        );
        set_transient( 'attempted_login', $datas , 300 );
    }
}
add_action( 'wp_login_failed', 'login_failed', 10, 1 ); 
function time_to_go($timestamp)
{
    $periods = array(
        "Sekunde",
        "Minute",
        "Stunde",
        "Tag",
        "Woche",
        "Monat",
        "Jahr"
    );
    $lengths = array(
        "60",
        "60",
        "24",
        "7",
        "4.35",
        "12"
    );
    $current_timestamp = time();
    $difference = abs($current_timestamp - $timestamp);
    for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) - 1; $i ++) {
        $difference /= $lengths[$i];
    }
    $difference = round($difference);
    if (isset($difference)) {
        if ($difference != 1)
            $periods[$i] .= "n";
            $output = "$difference $periods[$i]";
            return $output;
    }
}

In Zeile 7 können Sie einen eigenen Text hinterlegen. Mit dem Beispielcode muss der spätestens der 3. Loginversuch erfolgreich sein. Ansonsten lässt WordPress drei Minuten lang kein Login mehr mit demselben Usernamen zu.

Werbung

Ähnliche Beiträge

  • Anzahl der Wordpress-Revisionen beschränken oder… Wordpress legt bei jedem Speichern eines Beitrags oder einer Seite eine Revision an. Das ist ganz praktisch: Hat man irrtümlicherweise einen Beitrag verkorkst, lässt sich ganz einfach eine frühere Version…
  • Sicherheits-Trick #2: Hinweise nach Fehleingaben… Wenn Sie sich ins Wordpress-Backend einloggen und beim Passwort oder Usernamen einen Fehler machen, ist Wordpress recht freizügig mit Hinweisen: Die Login-Seite teilt mit, ob alle Eingaben falsch sind oder…
  • Wordpress-Installation zum Multisite-Netzwerk… Ihre Wordpress-Installation lässt sich relativ einfach auf eine Multisite-Umgebung umstellen. So können Sie aus einer einzigen Installation heraus eine ganze Reihe von Websites administrieren und publizieren. Das hat vor allem…
  • Wordpress-Suchfunktion auf Beiträge beschränken Die Suchfunktion von Wordpress findet so ziemlich alles, was es in Ihrer Installation zu finden gibt. Auch ein Impressum oder ein Kontaktformular kann da schon mal zwischen den Suchresultaten auftauchen.…

Kategorien

CSS-Stylesheet Divi-Theme Fonts & Icons functions.php header.php htaccess HTML Mediathek NAS Plugins Scripts SEO Sicherheit SocialMedia WordPress wp-config.php

Divi-Module

Akkordeon-Modul Audio-Modul Bild-Modul Blog-Modul Button-Modul Code-Modul Countdown-Modul Filterbares Portfolio Galerie-Modul Handlungsaufruf-Modul Kontaktformular-Modul Login-Modul Menu-Modul Portfolio-Modul Registerkarten-Modul Seitenleisten-Modul Slider-Modul Suche-Modul Testimonial-Modul Text-Modul Umschalter-Modul Video-Modul

Dr.-Code-Specials

Anker-Special Aufräum-Special Bilder-Special Blog-Modul-Special Dateidownload-Special Font-Special Icon-Special Nostalgie-Special Sicherheits-Special SocialMedia-Special

Neueste Beiträge

Beliebige Divi-Module, -Zeilen oder -Sektionen per Button-Klick anzeigen oder verstecken
publiziert am 24. April 2024

Slideshow mit wechselnden Bildern – aber statischer Texteinblendung
publiziert am 21. April 2024

WordPress-User ohne Mailadresse einrichten
publiziert am 17. April 2024

Informationstext-Module (Blurbs) des Divi-Themes als Teaser verwenden
publiziert am 14. April 2024

Bullet-Points mit Divi-Icons ersetzen
publiziert am 10. April 2024

sowie 333 weitere publizierte Tipps & Tricks

Geplante Beiträge

Ade Bullet-Points im Footer: Aufzählungspunkte aus der Fusszeile des Divi-Themes entfernen
erscheint am 28. April 2024

Bestätigunsmeldung in Divi-Kontaktformularen stylen
erscheint am 1. Mai 2024

Divi-Button auf ganzer Seiten- oder Spaltenbreite anzeigen
erscheint am 5. Mai 2024

sowie 193 weitere geplante Themen

Child-Theme erstellen

Wir empfehlen Ihnen den Einsatz eines Child-Themes – damit sind Sie sicher, dass Ihre Anpassungen bei einem Theme-Update nicht überschrieben werden.

mehr Infos

Tipps & Tricks per Mail

Mit dem Newsletter von Dr. Code erhalten Sie sporadich die neuesten Hacks und Tricks zu CSS, Divi, Wordpress & Co. direkt in Ihr Mailpostfach.

anmelden

Themenidee?

Können wir Ihnen zu einem ganz bestimmten Thema weiterhelfen? Unsere Leserinnen und Leser haben oft die besten Ideen.

Themenvorschlag

Treffen Sie Vor­sichts­mass­nah­men bei der Nutzung der Inhalte dieser Website. Auch wenn die Tipps und Tricks erprobt sind, kann mal was schiefgehen.

Wir empfehlen, möglichst in einer Test­um­ge­bung zu arbeiten und/oder Si­che­rungs­ko­pien anzulegen, bevor Sie ans Werk gehen.

Werbung

 

Kostenlose WordPress- und Divi-Tricks im Abo

Wir schicken Ihnen sporadisch (weniger als 10x jährlich) neue Tricks für Wordpress und das Divi-Theme, aber auch hilfreiche CSS- und HTML-Codes frei Haus.

Füllen Sie zur Anmeldung das folgende Formular aus. Angaben mit * sind Pflichtangaben.



Vielen Dank.

Pin It on Pinterest

Share This