IP-Sperre für WordPress Login mit „Limit Login Attempts Reloaded“

Wordpress Plugin Limit Login Attempts Reloaded
59c7b4c548434c9e852b97264efbb4d4

IP-Sperre / Reloadsperre für WordPress

firefox 2022 08 10 14 48 34 1

Wer sich ressourcenfressende und teure SEO Plugins ersparen will, sollte sich wenigstens das WordPress Plugin Limit Login Attempts Reloaded installieren.

Jeder Webmaster und jeder Hacker kennt die Adresse deines Login-Scriptes, weil es immer unter derselben Login-URL zu finden ist. Angreifer müssen jetzt nur 36.000 mal pro Stunde an 365 Tage deine Website mit Login Anfragen überfluten und schon haben sie über 315 Millionen Versuche deine Website zu knacken. Ohne Reload (IP-) Sperre und mit einem unsicheren Passwort, hast Du nicht die besten Karten im Kampf gegen Hacker.

WordPress Schützen durch Login-Sperre

firefox 2022 07 21 14 58 47

Das Plugin „Limit Login Attempts Reloaded“ beugt Brute-Force-Angriffen vor, indem es betrügerische Anmelde-Versuche erkennt und IP-Adressen für bestimmte Zeiträume blockiert. Bei einem richtig Mega-fetten Hacker-Angriff aus einem Bot-Netzwerk mit Millionen von Clients hilft es nicht, da haben gar Konzerne wie SONY zu kämpfen – doch gegen die „Üblichen Verdächtigen“ ist dieses kostenlose Plugin eine hervorragende Hilfe. Ohne dieses Plugin wäre einige meiner Webseiten täglich „Down Under“.

Die kostenlose Version erfüllt ihren Dienst zur besten Zufriedenheit. Ich persönlich habe dieses Anti-Hacker-Plugin auf allen meinen WordPress-Webseiten laufen.

WP-Schutz kontrollieren dank angelegter Logfiles

Im Aussperrungsprotokoll kannst Du genau verfolgen, wie viele Angriffe vom Plugin „Limit Login Attempts Reloaded“ abgewehrt wurden und wie sicher deine Website ohne dieser IP-Sperre vor dem Login-Script wäre.

firefox 2022 08 11 12 18 20

Jede Minute wird eine meiner Websites rund um die Uhr mit Login versuchen bombardiert. Das Plugin „Limit Login Attempts Reloaded“ setzt die IP-Adressen der automatischen Angreifer auf eine Sperrliste.

WordPress zusätzlich schützen: Login-URL verstecken!

Zusätzlich nutze ich ein Plugin zum Verstecken meiner Login-URL. Im Beitrag „WordPress Admin Login verstecken“ stelle ich Dir eine schlanke und ressourcensparende Lösung dafür vor.

Nutze ein CDN gegen fortlaufende Angriffe

Eine weitere Schutzmaßnahme wäre die Verwendung eines CDN (Content Delivery Network) zur Abwehr von starken Brut-Force-Angriffen. Das vorgestellte Plugin sperrt zwar alle Angreifer aus, doch trotzdem belastet jeder Angreifer deine Website schon allein durch seine Anfragen.
Eine kostenloses CDN ist Cloudflare. Zusätzlich versieht es, auch Wunsch, deine Website mit einem SSL-Zertifikat (https).

Hilfe: Habe mich selbst aus WordPress ausgesperrt

Es kann vorkommen, dass eine von Dir befugte Person das Passwort 2x falsch eingibt – dann ist Dein WordPress-Backend (Adminbereich) gesperrt und nicht einmal Du kommst mehr auf Deine WordPress-Installation.

Limit Login Attempts Reloaded speichert Einstellungen nicht in der Datenbank, sondern in der PHP-Datei

wp-content/plugins/limit-login-attempts-reloaded/core/LimitLoginAttempts.php.

/* Lock out after this many tries */
'allowed_retries'    => 4,

/* Lock out for this many seconds */
'lockout_duration'   => 1200, // 20 minutes

/* Long lock out after this many lockouts */
'allowed_lockouts'   => 4,

/* Long lock out for this many seconds */
'long_duration'      => 86400, // 24 hours,

/* Reset failed attempts after this many seconds */
'valid_duration'     => 43200, // 12 hours

/* Also limit malformed/forged cookies? */
'cookies'            => true,

/* Notify on lockout. Values: '', 'log', 'email', 'log,email' */
'lockout_notify'     => 'log',

/* If notify by email, do so after this number of lockouts */
'notify_email_after' => 4,

Solltest Du Dich einmal selbst ausgesperrt haben, lädst Du diese Datei auf Deinen Computer mit einem FTP-Programm herunter. Mit einem einfachen Editor änderst Du die entsprechenden Zahlen, lädst geänderte Datei wieder auf den Server hoch und schon kannst Du Dich wieder einloggen in Deine WordPress-Website.