1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

wp-login.php schützen, aber logout ermöglichen

Dieses Thema im Forum "Konfiguration" wurde erstellt von arnibe, 11. August 2013.

  1. arnibe

    arnibe New Member

    Registriert seit:
    8. Dezember 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo Leute,

    ich habe in meinem Blog die wp-login.php per htaccess und htpasswd geschützt, möchte aber ein Logout ermöglichen (wp-login.php?action=logout...).

    Die Einträge in der htaccess sehen wie folgt aus: (xxx = Pfad zur htpasswd, yyy = Username)
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Lässt sich da irgendetwas so umbiegen, dass das Logout trotzdem ohne zusätzliche Passwortabfrage funktioniert?

    Danke schon mal im voraus,
    Arndt
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Das sollte normalerweise funktionieren, wenn du beim Login das Passwort richtig eingegeben hast.
     
  3. arnibe

    arnibe New Member

    Registriert seit:
    8. Dezember 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Okay ... ich muss das mal etwas genauer erklären:

    Es geht um die Abonnenten, deren Login erfolgt z.B. über Facebook oder andere Social-Networks im Kommentarbereich mit Hilfe des Plugins "Social Login".

    Das funktioniert ohne das Passwort der htpasswd einzugeben.
    Das Plugin bietet jedoch kein entsprechendes Logout, somit muss der Abonnent über die Funktion wp-login.php?action=logout... sich abmelden.

    Ruft er den entsprechenden Link auf, kommt die Passwortabfrage durch die htpasswd.
     
  4. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Bist du der einzige, der Zugang zum Dashboard hat (wp-login.php)?
     
  5. arnibe

    arnibe New Member

    Registriert seit:
    8. Dezember 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Ja, bzw. alle die Irgendwelche Beiträge schreiben o.ä. haben auch den Zugriff über die htpasswd.
    Es geht hierbei nur um die Abonnenten.
     
  6. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Man könnte auf den Passwortschutz verzichten und den Admin Bereich dafür nur für die entsprechen DSL Anbieter freigeben.
     
  7. arnibe

    arnibe New Member

    Registriert seit:
    8. Dezember 2012
    Beiträge:
    4
    Zustimmungen:
    0
    Wir möchten aber auch mal von Unterwegs (Urlaub oder so) was Administrieren können.

    Kann man das Logout nicht direkt aufrufen, ohne die wp-login.php ?
     
  8. desisn.de

    desisn.de Well-Known Member

    Registriert seit:
    5. August 2013
    Beiträge:
    100
    Zustimmungen:
    0
  9. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Also ein Plugin, um die eigene Sicherheit zu erhöhen, ist natürlich nicht ratsam. Ein Plugin kann zur Unterstützung genutzt werden, mehr aber auch nicht. Da gibt es doch sinnvollere Maßnahmen, um Wordpress zu "härten".

    @TS ne andere Möglichkeit kenne ich leider nicht.
     
  10. owc

    owc Member

    Registriert seit:
    22. März 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Ich suche genau dasselbe. Wer weiß Rat?

    Ich habe nach dieser Anleitung den Adminbereich meines Wordpress-WooCommerce-Shop abgesichert. Der Kunden-Login oder auch das Editieren des Profils klappt damit problemlos, aber beim Logout greift er auf die wp-login.php zu...

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    ...und dadurch kommt es dann zur htaccess-Abfrage. Die kann der Kunde natürlich nicht beantworten, sondern nur authorisierte Admins.

    Dieser htaccess-Schutz ist für mich aber noch aus einem weiteren Grund wichtig. Ich möchte per Fail2Ban erfolglose Loginversuche aussperren, so wie in dieser Regel beschrieben.

    Im Kommentar zu einer Seite las ich dann das hier:

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Aber wenn ich mir die wp-login.php kopiere und als logout.php benenne, könnte doch ein möglicher Angreifer diese dann wiederum missbrauchen für Login-Attacken oder?

    Hat vielleicht jemand ein passendes Snippet parat oder fällt jemandem ein Trick ein, wie man das per Rewrite oder so in der htaccess lösen könnte?
     
  11. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Wie sieht es denn damit aus, einfach die Session löschen?
     
  12. owc

    owc Member

    Registriert seit:
    22. März 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Dazu hab ich dieses Snippet gefunden, aber Sessions gibt es doch in Wordpress gar nicht oder meinst Du Transients?
     
  13. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Dann nehme Dir mal den Firefox, gehe auf

    Extras -> Einstellungen -> Datenschutz -> einzelne Cookies löschen

    und gebe da die Domain ein, dann solltest Du eine kleine Liste mit Cookies sehen, die WP angelegt hat und wenn Du diese Cookies löscht, dann bis Du ausgeloggt. Somit sollte es genügen alle Cookies für die Domain zu löschen.
     
  14. owc

    owc Member

    Registriert seit:
    22. März 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Schon klar, aber das kann ich wohl kaum einem Kunden als Logout-Möglichkeit anbieten. Gibt es denn keine Möglichkeit, die Cookies z.B. per functions-Snippet auf den Logout-Befehl zu legen?
     
  15. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Das meinte ich eigentlich auch damit. Es müsste eine Funktion mit einer Foreach-Schleife sein, die den $_Cookie Array durchläuft und beim Durchlauf dann den jeweilig gefundenen $_COOKIE["name"] = 0 zuweist oder time() -1 oder so ähnlich. Müsste halt getestet werden, auch wie Du die Funktion mit einem Button oder Link aufrufst. Sind zwar nur Gedanken, sollte aber wohl klappen
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden