Sicherheit?

Moin moin,

daß meine Webseite ständig versucht wird zu hacken, ist ja klar, (es schwirren ja genügend Botnetze rum und probieren es überall)
aber warum macht es WP den Angreifern so leicht?

Wieso verrät das WP denn, ob man zumindestens schonmal das Login richtig erraten hat und nun nur noch das Passwort rausfinden muß?
Immer nur ein "Login oder Passwort falsch" rauszugeben ist doch nicht so schwer?

PS: Die Frage bei ungültigem Login ist auch falsch, denn wie man bereits erfahren hat, ist ja der Login falsch und dann müsste es doch "Hast du dein Login vergessen?" heißen? :roll:


Ich hatte natürlich gleich zu Beginn den "Administrator" gelöscht und benutze einen Alias/Spitznamen, damit man meinen Loginnamen nicht sofort erkennt.

Es ist nun aber dennoch so, daß jemand scheinbar meinen Loginnamen rausbekommen hat.
Womit ich schon ein paar Mal eine Mail bekam "Ihr Konto wurde gesperrt" (nach 5 Versuchen halt) und dann kommt man da eine Stunde lang nicht mehr rein.

Ja, es ist toll, daß man nun einen Alias für die Anzeige einstellen kann, aber den Login darf man natürlich nicht ändern. (mir wäre es andersrum lieber gewesen)

Die offizielle Lösung wäre jetzt wohl den Account zu löschen und einen Neuen anzulegen?


Alternativ überlege ich auch, ob und wie ich gewissen IP-Bereichen den Zugang zum Login/Admin-Bereich verbiete.
Nur meinen IP-Bereich freizugeben hab ich verworfen, da es ja keinen Deutschland-IP-Bereich gibt.
Praktisch wäre auch, wenn die Passwortsperre nur auf den IP-Bereich (z.B. die erste zwei Oktetts) gehen würden, damit nur der Bot und nicht auch gleich ich mit ausgesperrt wäre.

Liebe Grüße
Frank

 

Danke maxe, hab jetzt deine Lösung verwendet und sieht gut aus.

Mal sehn ob es hilft.
Seit 2-3 Wochen waren zwar ausschließlich Bots da welche sich versuchten als "Administrator" oder mit meinen öffentlichen Alias anzumelden, aber zumindestens merkt jetzt keiner mehr was genau falsch ist.

Dennoch interessant mal zu sehn mit was für Benutzernamen und Passwörtern man sich versucht anzumelden.
(bezüglich de rechtlichen Sache ... bin natürlich der Einzige, der sich in diesem Wordpress anmeldet ... seh also maximal mein eigenes Passwort)
Die letzten Wochen, seitdem ich Anmeldeversuche loggen tu, sind wirklich sinnlose Passwörter ausprobiert wurden.
(man muß echt blöd und einfallslos sein, wenn man wirklich sowas als Passwort verwendet ... vorallem Name+Geburtsjahr :roll

 

Das steht ja oftmals auch "Bitte Passwort eingeben", also gibt man eben "Passwort" ein. :lol:
Genauso wie manche die "Anykey"-Taste suchen.

PS: Bei vielen Computern gibt es im BIOS/EFI eine Fehlerausgabe ala "Tastatur nicht angeschlossen. Bitte drücken sie eine beliebige Taste für Weiter."
Mein erste Computer hatte, laut Handbuch, sogar soeine Fehlermeldung für "Monitor nicht angeschlossen".
Als man hier im Krankenhaus einen monatlichen Passwortänderungszwang einführete, nahmen Viele ihr Passwort und hängten nur die aktuelle Monatsnummer an (leichter zu merken), was dann nach einem Jahr zu ersten Problemen führte.