Dänemark Flagge
Aufgenommen am: 30.09.2013 13:56
Kamera: NIKON D5100
ISO: 100
Belichtungsdauer: 1/320 Sek.
Blendenzahl: f/9
Brennweite: 80 mm
Originalgröße: 4926 x 2770
Ort: Legoland Billund / Nordmarksvej 9, 7190 Billund, Dänemark
Aufgenommen am: 30.09.2013 13:56
Kamera: NIKON D5100
ISO: 100
Belichtungsdauer: 1/320 Sek.
Blendenzahl: f/9
Brennweite: 80 mm
Originalgröße: 4926 x 2770
Ort: Legoland Billund / Nordmarksvej 9, 7190 Billund, Dänemark
Aufgenommen am: 30.09.2013 19:07
Kamera: NIKON D5100
ISO: 100
Belichtungsdauer: 1/1250 Sek.
Blendenzahl: f/9
Brennweite: 250 mm
Originalgröße: 4824 x 2713
Ort: Fyrvej / Strand, 6857 Blåvand, Dänemark
Aufgenommen am: 21.07.2013 23:59
Kamera: NIKON D5100
ISO: 500
Belichtungsdauer: 10 Sek.
Blendenzahl: f/3.5
Brennweite: 18 mm
Originalgröße: 4928 x 2772
Ort: Ehestorfer Weg / Appelbütteler Straße – 21224 Rosengarten
Aufgenommen am: 22.07.2013 00:18
Kamera: NIKON D5100
ISO: 500
Belichtungsdauer: 20 Sek.
Blendenzahl: f/4
Brennweite: 18 mm
Originalgröße: 4928 x 2772
Ort: Ehestorfer Weg / Appelbütteler Straße – 21224 Rosengarten
In meinem letzten Blog-Eintrag habe ich euch eine Möglichkeit beschrieben, wie Ihr die Login Seite eures WordPress Blogs schützen könnt.
Leider musste ich feststellen, dass das WordPress Plugin „SI CAPTCHA Anti-Spam“ inzwischen nicht mehr so gut ist wie früher, da die Captchas des Plugins von Bots erkannt werden können. Aufgrund dessen habe ich mich nach einer anderen Lösung umgeschaut und möchte ich euch nun eine bessere Möglichkeit zeigen euch zu schützen.
Die Lösung ist relativ simpel und greift bereits auf der Serverebene. Der Webserver übernimmt hierbei den Schutz und lässt den Angreifer gar nicht erst zu eurer WordPress Installation und zu eurem Admin-Bereich durch. Bevor man darauf zugreifen darf, wird man bereits nach einem Passwort gefragt. Wir sichern uns somit durch eine doppelte Passwort abfrage ab. Die erste wird vom Server kontrolliert die nicht so anfällig ist und die zweite kommt von unserem WordPress-Blog.
Ein Vorteil von dieser Methode ist, dass man vor potentielle Sicherheitslücken geschützt ist. Denn um diese Sicherheitslücken ausnutzen zu können, muss man erstmal an dem ersten Passwortschutz vorbei der vom Server betrieben wird.
Ein weiterer Vorteil ist wiederum das die WordPress Installation schlanker ist, da Ihr euch mehrere Plugins wie „SI Captcha Anti-Spam“ und „Limit Login Attempts“ spart.
Den Passwortschutz richten wir ein, indem wir als erstes in das Hauptverzeichnis unserer WordPress Installation gehen. Diese sollte ungefähr so aussehen:
Falls Ihr an dieser Stelle keine .htaccess Datei habt, beginnt bei Schritt 1. Solltet ihr bereits eine haben, beginnt bei Schritt 2.
<Files wp-login.php>
AuthName "WordPress Admin"
AuthType Basic
AuthUserFile /bla/bla/http/.htpasswd
require valid-user
</Files>
<FilesMatch "(.htaccess|.htpasswd|wp-config.php)">
order deny,allow
deny from all
</FilesMatch>
Der obere Teil dieses Codes ist für die Passwort abfrage. Der untere Teil des Codes schützt zusätzlich wichtige Dateien wie die Konfigurationsdatei eures WordPress Blogs.
Wenn Ihr alles richtig gemacht habt und euch jetzt in eurem Blog anmelden wollt, müsstet Ihr ab sofort zweimal ein Passwort eingeben. Einmal das soeben erstellte.
Und selbstverständlich euer normales.
Ich hoffe, dass euch diese Anleitung geholfen hat. Solltet Ihr Fragen hierzu haben, könnt Ihr Sie gerne in den Kommentaren stellen. Ich antworte, wie immer, schnellstmöglich.
In diesem Artikel möchte ich euch kurz erklären, wie Ihr die Login Seite eures WordPress Blogs schützen könnt. – Warum Ihr dies machen solltet? Ein guter Grund hierfür ist zum Beispiel das seit geraumer Zeit ein Botnet WordPress Installationen angreift. Hier gibt es einen Artikel von Heise Security darüber.
Um euch wirkungsvoll dagegen zu schützen solltet Ihr vier wichtige Sachen beachten.
In den Optionen sollte man bei „CAPTCHA difficulty level“ „High“ einstellen. Keine Sorge, es ist immer noch gut zu erkennen. Wenn Ihr die Haken so setzt wie ich, habt ihr ein Captcha auf der Login Seite, beim Registrierungsformular (falls man sich in eurem Blog als Benutzer registrieren kann) sowie auf der Passwort-Vergessen Seite.
Ich habe das Plugin so eingestellt, dass nach drei fehlgeschlagenen Login-Versuchen die IP des Benutzers für 60 Minuten gesperrt wird. Wenn er anschließend drei weitere fehlgeschlagene Login-Versuche hat, wird er für 48 Stunden gesperrt.