WordPress sicherer machen – Die Login-Fehlermeldung deaktivieren

Zuletzt aktualisiert am 14. Dezember 2014 • 12 Kommentare • Themen: Backend, PHP, Sicherheit, WordPress

Wer sich im WordPress-Dashboard anmelden möchte benötigt einen Benutzernamen und ein Passwort. Wenn beide Angaben korrekt eingegeben wurden erfolgt der Login, doch was passiert wenn einer der beiden Werte falsch ist? WordPress unterstützt den Benutzer und verkündet sinngemäß „Passwort falsch“ oder „Benutzername falsch“. Im Umkehrschluss bedeutet dies soviel, wie dass die andere Angabe korrekt war. Ein möglicher Angreifer ist nun um eine wertvolle Erkenntnis reicher.

Workshops und Seminare von kulturbanause

Unsere Berlin-Termine für Ende 2017 sind online!

Jetzt Frühbucher-Preise sichern

Komfort oder Sicherheit?

Im Internet stellt sich häufig die Frage ob die komfortable Handhabung wichtiger ist als die Sicherheit. Speichert ihr ein Passwort im Browser oder gebt ihr es jedes Mal neu ein? Liegen eure Daten in der Cloud und sind sie dort auch sicher genug? Diese Fragen muss jeder Nutzer für sich selbst entscheiden. Was für den einen noch nicht sicher genug ist, kann für den anderen schon pure Paranoia sein. Entscheidend ist, dass komfortable Funktionen häufig zu Lasten der Sicherheit gehen. So auch die Hilfe in der Anmelde-Maske von WordPress.

Fehlermeldung bei WordPress — Ein wichtiger Tipp: Der Benutzername ist richtig, das Passwort noch nicht.

WordPress-Hilfe deaktivieren

Mit folgendem Snippet deaktiviert ihr die Hinweise bei der fehlerhaften Eingabe von Passwort und/oder Benutzernamen. Fügt den Code dazu einfach über die functions.php oder ein seitenspezifisches Plugin ein.


add_filter('login_errors',create_function('$a', "return null;"));

Anschließend wird der Hinweis nicht länger angezeigt, die rote Umrandung der Fehler-Box bleibt jedoch bestehen.

Download als Plugin

Ihr könnt die in diesen Betrag beschriebene Funktionalität auch als Mini-Plugin herunterladen:

Plugin herunterladen

Jetzt bist du gefragt!

Hast du Anregungen, Ergänzungen, einen Fehler gefunden oder ist dieser Beitrag nicht mehr aktuell? Dann freuen wir uns auf deinen Kommentar.

Du kannst diesen Beitrag natürlich auch weiterempfehlen. Wir sind dir für jede Unterstützung dankbar!

Du willst keinen Beitrag mehr verpassen?

Dann abonniere doch den RSS-Feed, füge uns bei Google+ hinzu, werde Fan auf Facebook oder folge uns auf Twitter.

Veröffentlicht von Jonas Hellwig

Jonas ist Gründer der WordPress Agentur kulturbanause® und dieses Blogs. Er arbeitet als Web Designer, Fachbuchautor, Video-Trainer und Dozent in Berlin und hat u.a. die erfolgreichen Video-Trainings zum Thema WordPress-Theme-Entwicklung und Responsive Webdesign veröffentlicht.

Seminare mit Jonas Hellwig anzeigen – Jonas Hellwig bei Xing

Dominik

Verfasst am 6. September 2012 um 9:46 Uhr.

Seit WordPress 3.4 könnte man an Stelle der anonymen Funktion auch __return_null() nutzen.

add_filter( 'login_errors', '__return_null' );

Antworten
- Jonas Hellwig
  
  Verfasst am 6. September 2012 um 10:09 Uhr.
  
  Vielen Dank für den Hinweis!
  
  Antworten
René Grosche

Verfasst am 6. September 2012 um 9:51 Uhr.

Heyho Jonas, wie immer hab ich da auch was für :) – ich persönlich finde das Plugin
Private! WordPress Access Control Manager sehr geil.

Ihr habt die Möglichkeit einmal den Login wie Jonas beschieben hat anzupassen, dazu gibt es gesicherten Java-Login, Teergrubenschutz, Brutforce usw.. Plugin und Theme-Ordner sind nicht mehr über Umwege erreichbar und eine Zeitgesteuerte-Login-Freigabe ist ebenfalls möglich wenn gewünscht.
Das ganze lässt sich kinderleicht einstellen und fehlt in keiner meiner Webseiten :)

LG
René

Antworten
- Jonas Hellwig
  
  Verfasst am 6. September 2012 um 10:10 Uhr.
  
  Hi René! Das Plugin kenne ich gar nicht, es klingt aber sehr interessant. Ich schaue es mir beizeiten einmal im Detail an. Besten Dank für den Tipp!
  
  Antworten
Voku

Verfasst am 6. September 2012 um 9:58 Uhr.

Hi, ggf. hilft jemanden noch folgender Blog-Post http://suckup.de/cms/wordpress-cms-allgemein/wordpress-sicherheit-erhoehen/ :)

– z.B.: Login Versuche limitieren via Plugin …

Antworten
Jan Koch

Verfasst am 18. September 2012 um 15:35 Uhr.

Zu dem Thema habe ich auch noch eine nützliche PDF gefunden :-)

http://newcodepoet.files.wordpress.com/2012/07/lockingdownwordpress1-1.pdf

Gruß,
Jan

Antworten
Kathryn

Verfasst am 19. September 2012 um 11:30 Uhr.

Hi und vielen Dank für diesen Tipp, aber durch den Eintrag in die functions.php ist das dann doch nicht mehr updatesicher, oder?

LG, Kathryn.

Antworten
- Jonas Hellwig
  
  Verfasst am 19. September 2012 um 12:33 Uhr.
  
  Hallo Kathryn, die functions.php ist Bestandteil des Themes. Wenn du die WordPress-Installation updatest, sollte das Theme davon nicht betroffen sein. Das Theme selbst darf natürlich nicht überschrieben werden. Aber grundsätzlich ist die functions.php updatesicher.
  
  Antworten
Kathryn

Verfasst am 19. September 2012 um 12:37 Uhr.

Ah, ok, vielen Dank!!

Antworten
Stefan

Verfasst am 16. September 2013 um 12:10 Uhr.

Danke für den Tipp. Eine Alternative wäre, die Nachricht zu ersetzen. So spart man sich den doofen leeren roten Behälter.

Man sucht im String einfach nach dem Wortlaut „Falscher Benutzername“ und ersetzt Ihn durch einen beliebigen Text.

Beispiel:
add_filter(‚login_errors‘,’error_falsches_pw‘);

function error_falsches_pw($error){

$pos = strpos($error, ‚Falscher Benutzername‘);

if (is_int($pos)) {

$error = „Falsches Passwort eingegeben.“;
}
return $error;
}

Antworten
Bastian

Verfasst am 19. Oktober 2015 um 21:49 Uhr.

Hallo zusammen,
meiner Meinung nach bringt die Unterdrückung der Fehlermeldung nichts, wenn ich nicht auch den eingegebenen Namen aus dem Benutzerfeld lösche. So sehe ich immer noch, dass es den Benutzer gibt. Bei falschem Benutzer wird der Name aus dem Feld wieder gelöscht. So sollte es sein!
Wie bekomme ich denn hin, dass der Name aus dem Feld verschwindet?
Danke für eure Hilfe!

Antworten

Wenn du auf diesen Beitrag verlinken möchtest nutze doch einfach diesen Google-Kurz-Link:

Checkliste für die Erstellung eines neuen WordPress Blogs

Kommentar verfassen

Dieser Blog lebt vom Feedback der Besucher! Also los, mach mit!
Bitte habe Verständnis dafür, dass Kommentare die mit dem Inhalt dieses Beitrags nichts zu tun haben, gelöscht werden.