kulturbanause Blog

Responsive Design, WordPress, Konzeption, HTML, CSS, JS & UX/UI …

WordPress sicherer machen – Die Login-Fehlermeldung deaktivieren

Zuletzt aktualisiert am 12 Kommentare , ,

Wer sich im WordPress-Dashboard anmelden möchte benötigt einen Benutzernamen und ein Passwort. Wenn beide Angaben korrekt eingegeben wurden erfolgt der Login, doch was passiert wenn einer der beiden Werte falsch ist? WordPress unterstützt den Benutzer und verkündet sinngemäß „Passwort falsch“ oder „Benutzername falsch“. Im Umkehrschluss bedeutet dies soviel, wie dass die andere Angabe korrekt war. Ein möglicher Angreifer ist nun um eine wertvolle Erkenntnis reicher.

Workshops & Schulungen von kulturbanause

Intensive Trainings mit hohem Praxisbezug.

Online-Schulungen (remote per Video)

Inhouse-Schulungen

Öffentliche Schulungstermine

Komfort oder Sicherheit?

Im Internet stellt sich häufig die Frage ob die komfortable Handhabung wichtiger ist als die Sicherheit. Speichert ihr ein Passwort im Browser oder gebt ihr es jedes Mal neu ein? Liegen eure Daten in der Cloud und sind sie dort auch sicher genug? Diese Fragen muss jeder Nutzer für sich selbst entscheiden. Was für den einen noch nicht sicher genug ist, kann für den anderen schon pure Paranoia sein. Entscheidend ist, dass komfortable Funktionen häufig zu Lasten der Sicherheit gehen. So auch die Hilfe in der Anmelde-Maske von WordPress.

Fehlermeldung bei WordPress
Ein wichtiger Tipp: Der Benutzername ist richtig, das Passwort noch nicht.

WordPress-Hilfe deaktivieren

Mit folgendem Snippet deaktiviert ihr die Hinweise bei der fehlerhaften Eingabe von Passwort und/oder Benutzernamen. Fügt den Code dazu einfach über die functions.php oder ein seitenspezifisches Plugin ein.

add_filter('login_errors',function($a) {return null;});

Anschließend wird der Hinweis nicht länger angezeigt, die rote Umrandung der Fehler-Box bleibt jedoch bestehen.

Jetzt bist du gefragt!

Hast du Anregungen, Ergänzungen, einen Fehler gefunden oder ist dieser Beitrag nicht mehr aktuell? Dann freuen wir uns auf deinen Kommentar.

Du kannst diesen Beitrag natürlich auch weiterempfehlen. Wir sind dir für jede Unterstützung dankbar!

Unterstützung bei WordPress-Projekten

Unsere WordPress Agentur ist auf die Entwicklung maßgeschneiderter WordPress-Themes und -Websites spezialisiert. Wenn du Unterstützung bei der Planung, Gestaltung und Entwicklung eines Projekts benötigst, helfen wir gerne weiter.
WordPress-Leistungsangebot →

Das könnte dich auch interessieren

12 Kommentare

  1. Dominik

    Verfasst am 6. September 2012 um 9:46 Uhr.

    Seit WordPress 3.4 könnte man an Stelle der anonymen Funktion auch __return_null() nutzen.

    add_filter( 'login_errors', '__return_null' );

    Antworten
  2. René Grosche

    Verfasst am 6. September 2012 um 9:51 Uhr.

    Heyho Jonas, wie immer hab ich da auch was für :) – ich persönlich finde das Plugin
    Private! WordPress Access Control Manager sehr geil.

    Ihr habt die Möglichkeit einmal den Login wie Jonas beschieben hat anzupassen, dazu gibt es gesicherten Java-Login, Teergrubenschutz, Brutforce usw.. Plugin und Theme-Ordner sind nicht mehr über Umwege erreichbar und eine Zeitgesteuerte-Login-Freigabe ist ebenfalls möglich wenn gewünscht.
    Das ganze lässt sich kinderleicht einstellen und fehlt in keiner meiner Webseiten :)

    LG
    René

    Antworten
    • Jonas Hellwig

      Verfasst am 6. September 2012 um 10:10 Uhr.

      Hi René! Das Plugin kenne ich gar nicht, es klingt aber sehr interessant. Ich schaue es mir beizeiten einmal im Detail an. Besten Dank für den Tipp!

      Antworten
  3. Voku

    Verfasst am 6. September 2012 um 9:58 Uhr.

    Hi, ggf. hilft jemanden noch folgender Blog-Post http://suckup.de/cms/wordpress-cms-allgemein/wordpress-sicherheit-erhoehen/ :)

    – z.B.: Login Versuche limitieren via Plugin …

    Antworten
  4. Jan Koch

    Verfasst am 18. September 2012 um 15:35 Uhr.

    Zu dem Thema habe ich auch noch eine nützliche PDF gefunden :-)

    http://newcodepoet.files.wordpress.com/2012/07/lockingdownwordpress1-1.pdf

    Gruß,
    Jan

    Antworten
  5. Kathryn

    Verfasst am 19. September 2012 um 11:30 Uhr.

    Hi und vielen Dank für diesen Tipp, aber durch den Eintrag in die functions.php ist das dann doch nicht mehr updatesicher, oder?

    LG, Kathryn.

    Antworten
    • Jonas Hellwig

      Verfasst am 19. September 2012 um 12:33 Uhr.

      Hallo Kathryn, die functions.php ist Bestandteil des Themes. Wenn du die WordPress-Installation updatest, sollte das Theme davon nicht betroffen sein. Das Theme selbst darf natürlich nicht überschrieben werden. Aber grundsätzlich ist die functions.php updatesicher.

      Antworten
  6. Kathryn

    Verfasst am 19. September 2012 um 12:37 Uhr.

    Ah, ok, vielen Dank!!

    Antworten
  7. Stefan

    Verfasst am 16. September 2013 um 12:10 Uhr.

    Danke für den Tipp. Eine Alternative wäre, die Nachricht zu ersetzen. So spart man sich den doofen leeren roten Behälter.

    Man sucht im String einfach nach dem Wortlaut „Falscher Benutzername“ und ersetzt Ihn durch einen beliebigen Text.

    Beispiel:
    add_filter(‚login_errors‘,’error_falsches_pw‘);

    function error_falsches_pw($error){

    $pos = strpos($error, ‚Falscher Benutzername‘);

    if (is_int($pos)) {

    $error = „Falsches Passwort eingegeben.“;
    }
    return $error;
    }

    Antworten
  8. Bastian

    Verfasst am 19. Oktober 2015 um 21:49 Uhr.

    Hallo zusammen,
    meiner Meinung nach bringt die Unterdrückung der Fehlermeldung nichts, wenn ich nicht auch den eingegebenen Namen aus dem Benutzerfeld lösche. So sehe ich immer noch, dass es den Benutzer gibt. Bei falschem Benutzer wird der Name aus dem Feld wieder gelöscht. So sollte es sein!
    Wie bekomme ich denn hin, dass der Name aus dem Feld verschwindet?
    Danke für eure Hilfe!

    Antworten

Kommentar verfassen

Dieser Blog lebt vom Feedback der Besucher! Also los, mach mit!
Bitte habe Verständnis dafür, dass Kommentare die mit dem Inhalt dieses Beitrags nichts zu tun haben, gelöscht werden.