1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheit beim Login

Dieses Thema im Forum "Allgemeines" wurde erstellt von Manni-8820, 28. Januar 2020.

Schlagworte:
  1. Manni-8820

    Manni-8820 New Member

    Registriert seit:
    28. Januar 2020
    Beiträge:
    3
    Zustimmungen:
    0
    Wie es aussiht, können Hacker den User-Lockin auf Wordpress auslesen.
    Kann mir jemand erklären, wie ich das verhindern kann oder wie das möglich ist?
    Ist jemand der Entwickler in der Lage, das zu verhindern?
     
  2. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.955
    Zustimmungen:
    175
    Ist zwar ein etwas älterer Artikel, aber Bots ist es ein leichtes die Usernamen zu bekommen und in diesem Artikel wird erklärt, wie sie es machen und wie man dem (etwas) entgegenwirken kann.
    https://www.wp-tweaks.com/hackers-can-find-your-wordpress-username/

    Musst du mal bei Automattic nachfragen, die haben WP ja entwickelt und von denen habe ich noch nie einen hier im Forum gesehen. :rolleyes:
     
    Manni-8820 gefällt das.
  3. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Es gibt viele Wege, an Benutzerdaten zu kommen, mehr dazu z.B. hier bei Google oder bei Seiten wie WordPress Exposé usw.

    Mit manchen "Sicherheits"-Plugins wie WordFence oder iThemes Security o.ä. kann man das (oder zumindest Teile davon) bei Bedarf abschalten. Mit älteren Plugins bzw. Code-Snippets, die z.B. die REST API abschalten, funktioniert dann am Rande bemerkt der Gutenberg Editor nicht mehr richtig.

    In WordPress selbst kann man unter Einstellung > Diskussion > Avataranzeige auschalten, das wird u.a. bei der o.g. Exposé Seite genutzt, um die gravatar.com Links mit entspr. Tabellen in E-Mail Adressen zurückzuverwandeln.

    Am wichtigsten neben aktuellem Theme/Plugins/PHP/usw. ist allerdings ein sicheres Kennwort, so was ähnliches wie wenn man im Benutzerprofil auf "Passwort generieren" klickt
     
  4. Manni-8820

    Manni-8820 New Member

    Registriert seit:
    28. Januar 2020
    Beiträge:
    3
    Zustimmungen:
    0
    Vielen Dank Marcus. Das schaue ich mir an-
    Vielen Dank b3317133 / Das mit dem Passwort ist klar und natürlich gemacht
     
  5. SEpp55

    SEpp55 Well-Known Member

    Registriert seit:
    3. Februar 2016
    Beiträge:
    3.138
    Zustimmungen:
    591
    Ich hätte auch noch eines ;) LINK!
    Auf dieser Seite wird erklärt, wie man den nic-name einrichtet, der auch dann bei den diversen Rest API und ?author=x Anfragen ausgegeben wird und nicht der user_login!
     
  6. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Am Rande bemerkt: Bei Tipps oder Tutorials oder Plugins immer mal auch auf das Datum der Veröffentlichung achten.

    Gerade viele Tipps zum Thema Sicherheit sind völlig veraltet und bringen ggf. so einige Probleme mit sich, wenn man Gutenberg nutzen will/muss.
     
  7. Manni-8820

    Manni-8820 New Member

    Registriert seit:
    28. Januar 2020
    Beiträge:
    3
    Zustimmungen:
    0
    Vielen Dank für die tollen Informationen.
    Habe gestern als zusätzliche "Absicherung" Edit Autor Slug installiert. Die nächste Zeit wird zeigen, ob ich Ruhe bekomme.
    Sporadisch habe ich die schon durch die bisher eigebauten Hürden.
     
  8. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Es wird nie "Ruhe" geben, tagtäglich bombardieren tausende von automatischen Bots, die meist auf gehackten Seiten laufen, wahllos alle möglichen Webseiten mit Loginversuchen mit u.a. auch wahllos gewählten Benutzernamen, egal was wo wie durch "Absicherungshacks" vermeintlich verteidigt wird. Viele dieser "Hacks" erzeugen ganz andere neue Probleme, die dann immer wieder hier im Forum auftauchen...

    Die beste Verteidigung ist diese:
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden