So blockieren Sie fehlgeschlagene Anmeldeversuche in WordPress

Fehlgeschlagene Anmeldungen können verschiedene Gründe haben. Oft ist es einfach das Ergebnis eines Benutzers, der sein Passwort wirklich vergessen hat. Es passiert den Besten von uns, damit wir nicht zu streng urteilen. Manchmal passiert jedoch etwas Ernsteres – jemand versucht einzubrechen.

Die Kunst der Fehlerbehebung bei fehlgeschlagenen Anmeldungen

Wie bei allen anderen WordPress-Problemen ist die Fehlerbehebung (auch bekannt als den Dingen auf den Grund gehen) der erste Schritt, den wir unternehmen müssen. Dies hilft uns sicherzustellen, dass wir uns mit dem eigentlichen Problem und nicht mit seinem Symptom befassen. Glücklicherweise gibt es eine einfache Möglichkeit, diesen Prozess zu starten – sehen Sie sich die Daten an. Im Wesentlichen sollten Sie eines von zwei Dingen sehen:

• Falscher Benutzername und falsche Passwortkombinationen

Falsche Kombinationen aus Benutzername und Passwort können aus einem von zwei Gründen auftreten. Entweder versucht jemand oder etwas, eine Kombination aus Benutzername und Passwort zu erraten, um Zugriff zu erhalten, oder es handelt sich um einen gezielten Angriff. Bei der ersten Option kommt dies ziemlich häufig vor. Andernfalls könnte es sich um einen gezielten Angriff auf Ihre Website handeln, um entweder Zugriff zu erhalten oder Ihre Website zu überlasten (DoS/DDoS).

• Richtiger Benutzername und falsche Passwortkombinationen

Richtige Benutzernamen- und falsche Passwortkombinationen können eines von zwei Dingen bedeuten. Entweder ist es ein echter Fall, dass jemand sein Passwort vergessen hat, oder jemand hat einen tatsächlichen Benutzernamen entdeckt, der in Ihrem WordPress registriert ist, und versucht nun, das Passwort zu erraten.

Eine andere Sache, die Sie sich merken sollten, ist die Frequenz. Eine große Anzahl von Versuchen in kurzer Zeit ist in der Regel ein Zeichen für einen automatisierten Angriff. Andererseits ist ein langsamer und unregelmäßiger Zeitplan ein verräterisches Zeichen für eine Person, die ihren Kaffee noch nicht getrunken hat.

Die Gefahren zu vieler fehlgeschlagener Anmeldeversuche

Angriffe zum Erraten von Passwörtern sind weit verbreitet. Zu viele fehlgeschlagene WordPress-Anmeldeversuche weisen im Allgemeinen auf diese Art von Angriffen hin. Ohne eine Möglichkeit, dies zu verwalten, könnten Sie Ihre Website Angriffen und Störungen aussetzen. Glücklicherweise ist das Management dieses Risikos sehr einfach und erfordert wenig Verwaltungsaufwand.

WordPress bietet keine Funktionalität, um bei fehlgeschlagenen Anmeldeversuchen einzuschränken oder Ausweichmanöver durchzuführen. Ein Benutzer kann es bis zum Erbrechen versuchen, bis er es richtig hinbekommt. Während argumentiert werden kann, dass es ethisch vertretbar ist, Menschen zusätzliche Chancen zu geben, kann das Auferlegen von Grenzen und Kontrollen einen großen Beitrag zur Gewährleistung der Sicherheit und Integrität Ihrer WordPress-Website leisten.

So verhindern Sie fehlgeschlagene Anmeldeversuche bei WordPress

Das Implementieren einer WordPress-Richtlinie für fehlgeschlagene Anmeldungen ist einfacher, als es sich anhört. Dabei stehen vor allem zwei Optionen zur Auswahl, auf die wir nun eingehen werden.

Begrenzen Sie fehlgeschlagene Anmeldungen manuell

Wenn Sie fehlgeschlagene WordPress-Anmeldungen ohne ein Plugin einschränken möchten, können Sie die function.php-Datei des aktiven Designs ändern und den entsprechenden Code hinzufügen. Es gibt mehrere Möglichkeiten, benutzerdefinierten Code zu WordPress-Websites hinzuzufügen; Dies erfordert jedoch ein gutes Verständnis von PHP und der Funktionsweise von WordPress.

Installieren Sie ein Plugin

Es gibt noch eine weitere und praktischste Möglichkeit – ein Plugin zu verwenden. Plugins gibt es in allen Formen und Größen, einschließlich Plugins, die nur Anmeldeversuche einschränken, und Plugins, mit denen Sie eine Passwort-Sicherheitsrichtlinie für WordPress für noch strengere Kontrolle und Sicherheit durchsetzen können.

WPassword ist ein solches WordPress-Plugin. Es gibt Administratoren mehr Kontrolle darüber, wie Passwörter auf ihren WordPress-Websites verwendet und verwaltet werden. Neben vielen anderen Funktionen bietet es die Möglichkeit, eine Richtlinie einzurichten, die sich explizit mit fehlgeschlagenen Anmeldeversuchen befasst.

Andere Dinge zu beachten

Eine weitere erwähnenswerte Option ist CAPTCHA. Plugins wie Advanced noCaptcha und Invisible Captcha helfen Ihnen dabei, automatisierte Angriffe zu stoppen. Da vor einem Anmeldeversuch ein CAPTCHA ausgefüllt werden muss, bestehen Bots hinter solchen Angriffen den Test nicht und unternehmen keinen einzigen Anmeldeversuch.

Eine weitere Option, die in Gesprächen über fehlgeschlagene Anmelderichtlinien häufig auftaucht, ist das Blockieren von IPs. Durch diese Option wird die angreifende IP auf die schwarze Liste gesetzt, wodurch verhindert wird, dass sie überhaupt auf Ihre Website zugreift. Während dies technisch korrekt ist, kann ein hartnäckiger böswilliger Akteur einfach eine andere IP verwenden – was er problemlos tun kann. Aus diesem Grund endet die Strategie des Blockierens von IPs oft in einem Katz-und-Maus-Spiel.

Eine bessere Option besteht darin, ein CDN (Content Delivery Network) zu verwenden und es mit dem Blockieren anstößiger IPs befassen zu lassen. So sparen Sie wertvolle Zeit, die Sie in produktive Dinge investieren können.

So entwerfen Sie eine WordPress-Richtlinie für fehlgeschlagene Anmeldungen

Bevor wir damit beginnen, eine Richtlinie für fehlgeschlagene Anmeldungen auf einer WordPress-Website durchzusetzen, gibt es ein paar Dinge, über die wir nachdenken müssen. Wie alle anderen sicherheitsrelevanten Probleme leidet auch die Verwaltung fehlgeschlagener Anmeldeversuche unter dem Sicherheits-/Benutzerfreundlichkeitsparadoxon. Je sicherer etwas ist, desto unbrauchbarer wird es. Das Umgekehrte gilt ebenso. Niemandem die Anmeldung zu gestatten ist sehr sicher, aber kaum brauchbar. Benutzern unbegrenzte Möglichkeiten zur Protokollierung zu geben, kann die Sicherheit beeinträchtigen, erhöht jedoch die Benutzerfreundlichkeit.

Was Sie verstehen müssen, ist, wie viel Spielraum Sie bereit sind, Ihren Benutzern zu geben. Traditionell werden drei Versuche als ausreichend und angemessen angesehen. Einige sind mit dieser Vorstellung nicht einverstanden und beziffern die maximal zulässigen Anmeldeversuche auf zehn. In jedem Fall ist das Anbieten unbegrenzter Anmeldeversuche keine gute Strategie und kann negative Auswirkungen haben.

Die Wahrheit ist, dass es keine richtige oder falsche Antwort gibt. Drei ist eine sichere Zahl, erhöht aber den Verwaltungsaufwand. Zehn hat zwar geringere Verwaltungskosten, birgt aber ein höheres Risiko.

Daher sollten Sie zunächst die Anzahl der Anmeldeversuche auf drei beschränken und dann die Situation bewerten. Wenn Sie WPassword verwenden, ist es sehr einfach, diese Nummer zu ändern. So können Sie die Richtlinie ganz einfach an Ihre Benutzer und Gegebenheiten anpassen.

Denken Sie am besten auch darüber nach, was passiert, wenn ein Konto gesperrt wird. Soll das Konto nach einem vorkonfigurierten Zeitfenster automatisch entsperrt werden, oder sollte ein Administrator es manuell entsperren? Diese Frage erliegt dem gleichen Problem wie zuvor: Sie müssen sich zwischen Benutzerfreundlichkeit und Sicherheit entscheiden. Ein weiterer wesentlicher Aspekt, der diesen Teil der Richtlinie beeinflussen könnte, ist der Standort Ihrer Benutzer. Wenn sich Leute vom anderen Ende der Welt einloggen, wachen Sie dann gerne um zwei Uhr morgens auf, um ein Konto freizuschalten? Und wenn nicht, wie lange sollte ein Benutzer warten, bis er sich wieder anmelden kann? Wird sich dies auf ihre Produktivität oder Ihr Endergebnis auswirken?

Auswahl der richtigen Plugins (und Richtlinien) zur Verwaltung fehlgeschlagener WordPress-Anmeldungen

Sobald Sie verstanden haben, wie Ihre Richtlinie für Passwörter und fehlgeschlagene Anmeldungen aussehen soll, müssen Sie mit der Implementierung beginnen. Wir haben WPassword bereits als Hauptkandidaten erwähnt. Es bietet viele Konfigurationsmöglichkeiten, die Ihnen viel Spielraum bei der Konfiguration und Umsetzung Ihrer Passwortrichtlinie lassen.

Sobald Sie die Richtlinie für fehlgeschlagene Anmeldungen für WordPress aktiviert haben, können Sie auswählen, wie viele Versuche Benutzer haben, bevor ihr Konto gesperrt wird. Sie können auch entscheiden, wie es entsperrt wird und ob Sie Benutzer zwingen möchten, ihre Passwörter zu ändern oder nicht, wie unten erläutert.

Schritt 1: Installieren und aktivieren Sie WPassword

Die Installation von WPassword ist einfach. Sie können das Passwortsicherheits-Plugin direkt von der Website von WP White Security herunterladen und es dann auf Ihre WordPress-Website hochladen.

Sobald Sie das Plugin installiert haben, klicken Sie im Seitenmenü von WordPress auf Plugins , suchen Sie das Plugin und klicken Sie auf Aktivieren . Dadurch wird eine neue Menüoption namens Password Policies hinzugefügt, auf die Sie klicken müssen.

Schritt 2: Aktivieren Sie die Richtlinie für fehlgeschlagene Anmeldungen

Aktivieren Sie das Kontrollkästchen neben Richtlinien für fehlgeschlagene Anmeldungen aktivieren, um fehlgeschlagene Anmeldeversuche auf Ihrer WordPress-Website zu begrenzen. Geben Sie die Anzahl der fehlgeschlagenen Anmeldeversuche ein, bevor ein Benutzer gesperrt wird, wobei 3 – 5 im Allgemeinen als guter Anfang angesehen werden.

Andere Konfigurationsoptionen umfassen, was passiert, wenn ein Konto gesperrt wird, und ob gesperrte Benutzer ihr Kennwort beim Entsperren zurücksetzen müssen. Weitere Informationen finden Sie im Knowledge-Base-Artikel zur WordPress-Richtlinie für fehlgeschlagene Anmeldungen.

Schritt 3: Ergreifen Sie zusätzliche Sicherheitsmaßnahmen

CAPTCHA

Wir haben auch CAPTCHA angesprochen – den allgegenwärtigen Test, der in vielen Anmeldungen und Formularen vorhanden ist und darauf ausgelegt ist, Menschen passieren zu lassen, während er Bots und andere Formen automatisierter Angriffe stoppt. Plugins wie Advanced no Captcha und Invisible Captcha machen die Implementierung solcher Tests super einfach und bieten gleichzeitig universelle Kompatibilität und Unterstützung für verschiedene Versionen.

Zwei-Faktor-Authentifizierung

Um die Sicherheit von Login-Prozessen zu erhöhen, ist die Zwei-Faktor-Authentifizierung ein Muss. Bei diesem Vorgang müssen sich Benutzer ein zweites Mal authentifizieren, indem sie einen einmaligen Passcode eingeben, der über ihr Smartphone bereitgestellt wird. Durch den Einsatz von 2FA, was Sie ganz einfach über Plugins wie WP 2FA tun können, können Sie sicherstellen, dass selbst wenn Passwörter kompromittiert werden, sich die Person nicht anmelden kann, es sei denn, die Person hat das Telefon mit diesem Benutzerkonto verknüpft.

Schritt 4: Einen Schritt weiter gehen (optional)

Mit den Richtlinien für Passwörter und fehlgeschlagene Anmeldungen, CAPTCHA und Zwei-Faktor-Authentifizierung sollten Sie gut abgesichert sein.

Wenn auf Ihrer Website jedoch immer noch viele fehlgeschlagene Anmeldeversuche auftreten, sollten Sie die Verwendung eines CDN-Dienstes in Betracht ziehen. Möglicherweise möchten Sie mit Ihrem Webhosting-Anbieter sprechen, um Sie bei der Implementierung einer Lösung zu unterstützen, die für groß angelegte Angriffe geeignet ist.

Die Passwortsicherheit von WordPress erfordert einen 360-Grad-Ansatz

Wie wir im gesamten Artikel gesehen haben, müssen bei der Implementierung einer Passwortrichtlinie mehrere Faktoren berücksichtigt werden. Das Blockieren fehlgeschlagener WordPress-Anmeldungen ist zwar ein guter erster Schritt (und ein notwendiger noch dazu), aber wenn Sie einen 360-Grad-Ansatz wählen, können Sie so viel sicherer sein. Dies hilft Ihnen nicht nur, alle Ihre Grundlagen abzudecken, sondern kann Ihnen auch dabei helfen, mehr Vertrauen in Ihre WordPress-Website zu schaffen.

Ein 360-Grad-Ansatz betrachtet mehrere Faktoren, darunter Plugins und Themes, Hosting, TLS, WordPress-Core und andere. Auf diese Weise können Sie sicherstellen, dass Ihre WordPress-Sicherheit in Topform ist.