Seit mein WordPress ständig attackiert wird, setze ich ein Plugin ein, welches nach einer zuvor eingestellten Anzahl vergeblicher Anmeldeversuche, die betreffende IP-Adresse für einen bestimmten Zeitraum zur Einwahl sperrt. Dies verhindert natürlich nicht, dass erneut Angriffe auf die WordPress-Installation erfolgen können.
Abhilfe schafft hier zusätzlich das Plugin Lockdown WP Admin. So kann das Verzeichnis /wp-admin versteckt und an einen neuen Ort umgeleitet werden.
Wer ein Caching-Plugin für WordPress einsetzt, sollte jedoch unbedingt eine Ausnahme für das neue Login-Verzeichnis anlegen.
Ein Backup der WordPress-Installation aus FTP-Daten und Datenbank sollte (falls etwas schief geht) zwingend vorher angelegt werden!
völlig ohne Plugin käme aus, wer seine Webserverlogfiles nach wp-login.php grept, pro IP zählt und bei X die IP sperrt. Hat mehrere Vorteile:
1. frißt nicht bei jeden Blogaufruf Leistung
2. schützt alle anderen WP Installationen auf dem Server auch vor dem Angreifer
3. Ergebnis kann leicht zu einer zentralen Filtereinheit übertragen werden
4. schützt auch gleich noch vor :
– POP3/IMAP Passwortcrackversuchen
– SMTP Passwortcrackversuchen
– HTACCESS Passwortcrackversuchen
– FTP und SSH Passwortcrackversuchen
weil wie wir alle wissen, die hören nie bei WP auf 😀
Hallo,
was spricht gegen einen .htaccess Schutz für /wp-admin und dann zb sowas in der Richtung:
https://bjornjohansen.no/using-fail2ban-with-wordpress
Fail2Ban!?! Und wp-config.php aus DOC_ROOT entfernen…
„In Backup der WordPress-Installation aus FTP-Daten und Datenbank sollte (falls etwas schief geht) zwingend vorher angelegt werden!“
ZWINGEND!
Im Notfall einfach per sftp einloggen und das Plugin löschen. Wieso muss ich Dir das schreiben?
Was war denn da wieder nicht zu verstehen?