Fehlgeschlagene Logins bei WordPress mitloggen und unterbinden

Habt ihr euch auch schon mal gefragt, ob sich in eurem Admin Bereich bei WordPress jemand anzumelden versucht hat? Kürzlich habe ich bei einer Domain mal die error und access Logfiles durchgestöbert. Dabei ist mir aufgefallen, dass ich mich ja selber 2 mal beim Password vertippt habe (eigentlich habe ich es ja vergessen, aber sagen wir mal ich hätte mich vertippt 🙂 ). Ich habe darauf hin mal bei meiner WordPress Installation nachgeschaut, ob solche Versuche mitprotokoliert werden, habe aber bis zur derzeit aktuellen Version von WordPress (2.9.2). Abhilfe schaffen derzeit Plugins wie Login LockDown und Limit Login Attempts. Ich habe mir erstmal Login LockDown angeschaut.

Settings

Die default Settings des Plugins erlaube einem bösen Eindringling, dass er sich binnen 5 Minuten 3 mal vertippen darf, dann wird er für eine Stunde gesperrt. Somit hat er also über Nacht nicht mehr als 30 Versuche für einen Hack der Seite, länger sollte man die eigene Seite eh nicht unbeobachtet lassen 🙂

Ein weiteres nettes Feature hat das Plugin noch, man sieht, welche IP gerade geblockt ist. Mit Hilfe von ripe.net kann man dann nachschauen, woher der Bösewicht kommt. Diese Seite ist im Übrigen auch so manchmal recht nützlich…

iplockout

Sollte man sich bei diversen Versuchen mal selber blockiert haben, sieht man gleich seine IP und kann sich dann selber wieder befreien, auch nicht schlecht!

Comments are closed.