WordPress-Sicherheit: Limit Login Attempts Reloaded

Habe vorhin im Kommentar aus dem Artikel Login LockDown für WordPress: erstes Update nach 2,5 Jahren einen interessanten Link entdeckt. Für alle Fans des uralten Plugins Limit Login Attempts gibt es einen Nachfolger der auf den Namen Limit Login Attempts Reloaded hört.

Das ursprüngliche Plugin Limit Login Attempts welches Loginversuche kontrolliert und bei Bedarf blockiert, wurde seit mehr als fünf Jahren nicht mehr aktualisiert und wenn die Informationen aus dem Kommentar stimmen, war der ursprüngliche Autor nicht bereit das Plugin abzugeben, so dass sich Leute gefunden haben, die das Plugin unter einem neuen Namen weiterführen.

An der ursprünglichen Funktionalität hat sich an sich nichts geändert. Man kann festlegen wie viele Loginversuche erlaubt sind, wie lange die erste Sperrung und dann die weitere Sperrung dauern und wie lange es dauert, bis man sich wieder einloggen kann. Auch ist die Einstellung geblieben, ob die Sperrungen protokolliert werden und ob und ab wann man als Administrator benachrichtigt wird.

Was allerdings neu ist, ist die Möglichkeit sowohl Nutzernamen als auch IPs in die White- und Blacklist einzutragen. Somit kann man dann zum Beispiel die eigene feste IP in die Whitelist und einige Standardnamen (admin, root, webmaster etc.), die es nicht gibt, direkt in die Blacklist eintragen.

Das neue Plugin übernimmt die alten Einstellungen und meldet sich im Backend bzw. unter den Einstellungen auch als Limit Login Attempts. Daher ist es wichtig, dass man das alte Limit Login Attempts entfernt, bevor man das Limit Login Attempts Reloaded aktiviert.

Ich finde es schön, dass dieses Plugin fortgeführt wird, da es mir persönlich besser zusagt als das Login LockDown.

Nachtrag: ich habe im Juni 2017 auch ein Screencast erstellt, wo man das ganze auch als Video sehen kann.

Diesen Blogartikel teilen:

Vladimir

Vladimir Simović arbeitet seit 2000 mit HTML & CSS und seit Januar 2004 mit WordPress. Im Laufe der Jahre hat er diverse Fachbücher und Fachartikel publiziert.

Verwandte Beiträge

15 Gedanken zu „WordPress-Sicherheit: Limit Login Attempts Reloaded“

  1. So verschieden sind die Geschmäcker, und das ist das schöne an WordPress: man kann es sich aussuchen. Ich bevorzuge Wordfence Security, das mich auch über Updates für Plugins und Themes informiert und auch Warnungen ausgibt, wenn eine Theme- oder Plugindatei geändert wird. Dazu kommt noch einiges mehr, plus die Premiumversion mit noch mehr Möglichkeiten.

      • Ich bin auch ehemaliger Limit Login Attempt Nutzer und das neue Plugin lohnt sich sicherlich. Wie Markus und Lukas bin ich aber auch schon vor längerer Zeit auf Wordfence umgestiegen und mit der Free Version sehr zufrieden. Der Leistungsumfang ist erheblich größer. Sollte ich mal etwas negatives hören wäre die obige “Reloaded” Version eine gute Fall Back Option.

  2. Interessant. Ich hätte nie gedacht, dass da mal eine Art Nachfolger, bzw. eine komplett neue Version kommt. Irgendwie scheint mir diese Art von Schutz trotzdem von gestern zu sein. Zumindest dann, wenn man einen mit Passwort gesicherten Verzeichnisschutz für den Admin-Bereich hat.

      • Was auch immer das mit “Bloggen” zu tun haben mag. WP wird primär als CMS verwendet – und damit man seine Seiten ändern kann, muss man sich ebenfalls einloggen ^_^

        cu, w0lf.

    • Verzeichnisschutz kann man natürlich machen, aber Passwörer sind eigentlich immer die schlechteste Lösung. Die dassen sich immer mit mehr oder weniger Aufwand knacken. Daher setzte ich neben Wordfence (übrigens ach kostenlos) auf reCaptcha im Loginformular und 2FA über den Authenticator von Google. Und natürlich lange Passwörter, um den Knackaufwand zu erhöhen. 😉

      Das Plugin “Edit Author Slug” lässt sich zudem noch der Slug in der URL ändern, so dass hier keine Rückschlüsse auf den verwendeten Benutzernamen möglich sind.

      Viel mehr geht glaub ich nicht.

  3. Hallo, auf einer Kundenwebsite ist LLA ebenfalls installiert (hat ein Vorgänger von mir gemacht). Obwohl ich ein httaccess-Passwort und die Einstellung

    Order Deny,Allow
    Deny from all

    in die htaccess geschrieben habe, werden immer noch sehr viele Einlogversuche angezeigt. Das dürfte doch eigentlich gar nicht möglich sein?!

  4. Habe das Limit Login Attempts Plugin nun auch verwendet und bin recht begeistert. Bin bei vielen Plugins eher skeptisch aus leidvoller Erfahrung – aber LAP ist wirklich ist weder werbe-überladen noch unnötig kompliziert. Und es macht die WordPress Webseite doch schon um Einiges sicherer.

Kommentare sind geschlossen.