Beschreibung
Begrenzt die Anzahl der möglichen Anmeldeversuche sowohl über die normale Anmeldung als auch über Authentifizierungs-Cookies.
Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche entweder über die Anmeldeseite oder durch das Senden spezieller Cookies. Dadurch können Passwörter (oder Hashes) relativ leicht mit Brute-Force-Angriffen geknackt werden.
Limit Login Attempts blockiert eine Internetadresse, sodass diese nach Erreichen einer festgelegten Anzahl von Wiederholungsversuchen keine weiteren Versuche mehr unternehmen kann, wodurch Brute-Force-Angriffe erschwert oder unmöglich gemacht werden.
Funktionen
- Begrenzt die Anzahl der Wiederholungsversuche beim Anmelden (für jede IP-Adresse). Vollständig anpassbar.
- Begrenzt die Anzahl der Anmeldeversuche mit Authentifizierungs-Cookies auf die gleiche Weise
- Informiert den Benutzer über verbleibende Wiederholungsversuche oder Sperrzeiten auf der Anmeldeseite.
- Optionale Protokollierung, optionale E-Mail-Benachrichtigung
- Verwaltet Server hinter Reverse-Proxys
- Es ist möglich, IP-Adressen mithilfe eines Filters auf die Freigabeliste zu setzen. Aber das solltest du wahrscheinlich nicht tun. 🙂
Übersetzungen: Bulgarisch, Brasilianisches Portugiesisch, Katalanisch, Chinesisch (traditionell), Niederländisch, Finnisch, Französisch, Deutsch, Ungarisch, Norwegisch, Persisch, Rumänisch, Russisch, Spanisch, Schwedisch, Türkisch
Das Plugin verwendet nur Standard-Aktionen und -Filter.
Screenshots
Anmeldebildschirm nach fehlgeschlagener Anmeldung mit verbleibenden Wiederholungsversuchen 
Anmeldebildschirm während der Sperre 
Administrationsoberfläche in WordPress 3.0.4
Installation
- Lade die Plugin-Dateien herunter und entpacke sie in das wp-content/plugin Verzeichnis.
- Aktiviere das Plugin über das WordPress-Admin-Interface.
- Passe die Einstellungen auf der Optionsseite nach Bedarf an. Wenn sich dein Server hinter einem Reverse-Proxy befindet, ändere diese Einstellung unbedingt.
Wenn du Fragen oder Probleme hast, schreibe bitte einen Beitrag hier: https://wordpress.org/tags/limit-login-attempts
FAQ
-
Warum werden fehlgeschlagene Anmeldeversuche nach einer erfolgreichen Anmeldung nicht zurückgesetzt?
-
Das ist ganz bewusst so vorgesehen. Andernfalls könnte man das „Admin”-Passwort mit Brute-Force-Angriffen knacken, indem man sich bei jedem vierten Versuch als eigener Benutzer anmeldet.
-
Was bedeutet diese Option bezüglich der Website-Verbindung und des Reverse-Proxys?
-
Ein Reverse-Proxy ist ein Server zwischen der Website und dem Internet (der möglicherweise das Caching oder Load-Balancing übernimmt). Das macht es etwas schwieriger, die richtige Client-IP-Adresse zu ermitteln, die blockiert werden soll.
Die Option ist standardmäßig so eingestellt, dass KEIN Proxy verwendet wird – was in den meisten Fällen zutreffen dürfte.
-
Woher weiß ich, dass sich meine Website hinter einem Reverse-Proxy befindet?
-
Wahrscheinlich nicht, sonst wüsstest du es. Auf der Optionsseite findest du eine ziemlich gute Schätzung. Verwende diese Option, es sei denn, du bist dir sicher, dass du es besser weißt.
-
Kann ich meine IP-Adresse auf die Freigabeliste setzen, damit ich nicht ausgesperrt werde?
-
Zuallererst eine Bitte: Überlege, ob du das wirklich brauchst. Allgemein gesagt ist es keine gute Idee, Ausnahmen in deinen Sicherheits-Richtlinien zuzulassen.
Allerdings gibt es jetzt einen Filter, mit dem du dies tun kannst: „limit_login_whitelist_ip”.
Beispiel:
function meine_ip_freigabeliste($allow, $ip) {
return ($ip == ‚meine-ip-adresse‘) ? true : $allow;
}
add_filter(‚limit_login_whitelist_ip‘, ‚meine_ip_freigabeliste‘, 10, 2);Beachte, dass wir weiterhin wie gewohnt Benachrichtigungen und Protokollierungen vornehmen. Dies soll dir ermöglichen, verdächtige Aktivitäten von IP-Adressen auf der Freigabeliste zu erkennen.
-
Ich habe mich beim Testen ausgesperrt, was soll ich jetzt machen?
-
Entweder warten, oder:
Wenn du weißt, wie man PHP-Dateien bearbeitet/ergänzt, kannst du die oben beschriebene IP-Freigabelisten-Funktion verwenden. Anschließend solltest du auf der Einstellungsseite des Plugins den Button „Sperren wiederherstellen” verwenden und die Freigabelisten-Funktion wieder entfernen.
Wenn du einen ftp- oder ssh-Zugriff auf die Website hast, benenne die Datei „wp-content/plugins/limit-login-attempts/limit-login-attempts.php“ um, um das Plugin zu deaktivieren.
Wenn du Zugriff auf die Datenbank hast (beispielsweise über phpMyAdmin), kannst du die Option „limit_login_lockouts“ in der WordPress-Optionstabelle löschen. In einer Standardkonfiguration würde dies so funktionieren: „UPDATE wp_options SET option_value = “ WHERE option_name = ‚limit_login_lockouts’“
Rezensionen
Mitwirkende und Entwickler
„Limit Login Attempts“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:
Mitwirkende
„Limit Login Attempts“ wurde in 36 Sprachen übersetzt. Danke an die Übersetzer für ihre Mitwirkung.
Übersetze „Limit Login Attempts“ in deine Sprache.
Interessiert an der Entwicklung?
Durchstöbere den Code, sieh dir das SVN-Repository an oder abonniere das Entwicklungsprotokoll per RSS.