wp-login.php schützen, aber logout ermöglichen

Das sollte normalerweise funktionieren, wenn du beim Login das Passwort richtig eingegeben hast.

 

Bist du der einzige, der Zugang zum Dashboard hat (wp-login.php)?

 

Man könnte auf den Passwortschutz verzichten und den Admin Bereich dafür nur für die entsprechen DSL Anbieter freigeben.

 

benutze doch einfach ein security plugin, wie z.B. better wp security. in verbindung mit einem ausreichend starken passwort, sollte das locker reichen.

http://wordpress.org/plugins/better-wp-security/

 

Also ein Plugin, um die eigene Sicherheit zu erhöhen, ist natürlich nicht ratsam. Ein Plugin kann zur Unterstützung genutzt werden, mehr aber auch nicht. Da gibt es doch sinnvollere Maßnahmen, um Wordpress zu "härten".

@TS ne andere Möglichkeit kenne ich leider nicht.

 

Ich suche genau dasselbe. Wer weiß Rat?

Ich habe nach dieser Anleitung den Adminbereich meines Wordpress-WooCommerce-Shop abgesichert. Der Kunden-Login oder auch das Editieren des Profils klappt damit problemlos, aber beim Logout greift er auf die wp-login.php zu...

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

...und dadurch kommt es dann zur htaccess-Abfrage. Die kann der Kunde natürlich nicht beantworten, sondern nur authorisierte Admins.

Dieser htaccess-Schutz ist für mich aber noch aus einem weiteren Grund wichtig. Ich möchte per Fail2Ban erfolglose Loginversuche aussperren, so wie in dieser Regel beschrieben.

Im Kommentar zu einer Seite las ich dann das hier:

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Aber wenn ich mir die wp-login.php kopiere und als logout.php benenne, könnte doch ein möglicher Angreifer diese dann wiederum missbrauchen für Login-Attacken oder?

Hat vielleicht jemand ein passendes Snippet parat oder fällt jemandem ein Trick ein, wie man das per Rewrite oder so in der htaccess lösen könnte?

 

Wie sieht es denn damit aus, einfach die Session löschen?

 

Dazu hab ich dieses Snippet gefunden, aber Sessions gibt es doch in Wordpress gar nicht oder meinst Du Transients?

 

Dann nehme Dir mal den Firefox, gehe auf

Extras -> Einstellungen -> Datenschutz -> einzelne Cookies löschen

und gebe da die Domain ein, dann solltest Du eine kleine Liste mit Cookies sehen, die WP angelegt hat und wenn Du diese Cookies löscht, dann bis Du ausgeloggt. Somit sollte es genügen alle Cookies für die Domain zu löschen.

 

Schon klar, aber das kann ich wohl kaum einem Kunden als Logout-Möglichkeit anbieten. Gibt es denn keine Möglichkeit, die Cookies z.B. per functions-Snippet auf den Logout-Befehl zu legen?

 

Das meinte ich eigentlich auch damit. Es müsste eine Funktion mit einer Foreach-Schleife sein, die den $_Cookie Array durchläuft und beim Durchlauf dann den jeweilig gefundenen $_COOKIE["name"] = 0 zuweist oder time() -1 oder so ähnlich. Müsste halt getestet werden, auch wie Du die Funktion mit einem Button oder Link aufrufst. Sind zwar nur Gedanken, sollte aber wohl klappen