Die Sicherheit des WordPress Logins erhöhen
Die Sicherheit des WordPress Logins erhöhen [WordPress Code Snippet]

Die Sicherheit des WordPress Logins erhöhen [WordPress Code Snippet]

Bei einem ungültigen Anmeldeversuch verrät WordPress, ob der Benutzername oder das Kennwort falsch ist. Mit einem simplen Codeschnipsel kannst Du dieses unnötige Verhalten ändern und damit die Sicherheit erhöhen.

Wie Du Code Snippets in Deine Website einbinden kannst erfährst Du im Artikel So bindest Du WordPress Code Snippets auf Deiner Website ein

Viele Systeme geben nach einem fehlgeschlagenen Anmeldeversuch lediglich den Hinweis „Benutzername oder Passwort falsch“ aus. WordPress verhält sich hier anders und verrät, welche der beiden Angaben falsch ist.

Bei einem ungültigen Anmeldeversuch verrät WordPress, ob der Benutzername oder das Kennwort falsch ist.

Neben diesen beiden Meldungen gibt es zwei weitere mögliche Meldungen. Dabei handelt es sich um „Das Benutzerfeld ist leer“ und „Das Passwortfeld ist leer“. Diese beiden Meldungen interessieren uns aber in dem Zusammenhang nicht.

Aus Benutzersicht erscheint es durchaus angenehm, dass WordPress mitteilt, was nicht stimmt, wenn man sich vertippt hat. Aus Sicht der Sicherheit ist WordPress hier meiner Meinung nach jedoch etwas zu gesprächig.

Zwar ist es eher unwahrscheinlich, dass ein Angreifer manuell verschiedene Varianten für den Benutzernamen ausprobiert. Dennoch muss WordPress nicht preisgeben, dass im Falle des Falles der Benutzername richtig erraten wurde.

Typisch WordPress existiert ein Filter, mit dem sich die Meldung anpassen lässt. Das Gefährdungspotenzial ist zwar gering, aber da es so simpel ist, WordPress diese unnötige Mitteilsamkeit abzugewöhnen, mache ich persönlich das bei allen Websites.

Bei Verwendung des Filters login_errors ist es möglich, die Fehlermeldung, die WordPress ausgeben würde, zu überprüfen und nur bestimmte Meldungen zu ersetzen. So könnten die Hinweise auf leeren Benutzernamen oder leeres Passwort beispielsweise unverändert belassen werden.

Das halte ich persönlich für völlig unnötig und spare mir diese Überprüfung deshalb. Mit folgendem #codesnippet wird einfach in jedem Fall der Text „Zugriff verweigert“ ausgegeben. Mehr Information muss nicht sein.

function wpw_hide_login_hint( $error ) {

  return 'Zugriff verweigert.';

}


add_filter( 'login_errors', 'wpw_hide_login_hint' );

Mit diesem einfachen Codeschnipsel lässt sich die Gesprächigkeit von WordPress im Falle eines ungültigen Anmeldeversuchs unterbinden. Das erhöht die #sicherheit des Logins.

Mit einem einfachen Code Snippet lässt sich die Sicherheit des WordPress Logins erhöhen

Die Anzeige des „Passwort vergessen“ Links zusammen mit der Meldung ist ebenfalls unnötig, da dieser ohnehin immer unterhalb des Logins angezeigt wird.

Der Zugewinn an Sicherheit ist zugegebenermaßen in der Praxis gering. Angriffe erfolgen in der Regel automatisiert und nützen meist Schwachstellen von Themes oder Plugins aus.

Davon unabhängig halte ich persönlich es generell für einen Fehler, wenn ein System unnötig Informationen preisgibt. Mit wenigen Zeilen Code lässt sich das im Fall des WordPress Logins ganz leicht ändern.

Affiliatelinks

Bei Links, die mit einem  gekennzeichnet sind, handelt es sich um sogenannte Affiliate- oder Provisions-Links. Wenn du auf so einen Link klickst und über diesen Link einkaufst, dann erhalte ich für Deinen Einkauf eine Provision vom jeweiligen Anbieter. Für dich verändert sich der Preis dadurch selbstverständlich nicht. Diese Links tragen dazu bei, einen Teil der Kosten, die mit dem Betrieb dieser Website verbunden sind, zu decken.