WordPress sicherer machen – Die Login-Fehlermeldung deaktivieren

Wer sich im WordPress-Dashboard anmelden möchte benötigt einen Benutzernamen und ein Passwort. Wenn beide Angaben korrekt eingegeben wurden erfolgt der Login, doch was passiert wenn einer der beiden Werte falsch ist? WordPress unterstützt den Benutzer und verkündet sinngemäß „Passwort falsch“ oder „Benutzername falsch“. Im Umkehrschluss bedeutet dies soviel, wie dass die andere Angabe korrekt war. Ein möglicher Angreifer ist nun um eine wertvolle Erkenntnis reicher.

Komfort oder Sicherheit?

Im Internet stellt sich häufig die Frage ob die komfortable Handhabung wichtiger ist als die Sicherheit. Speichert ihr ein Passwort im Browser oder gebt ihr es jedes Mal neu ein? Liegen eure Daten in der Cloud und sind sie dort auch sicher genug? Diese Fragen muss jeder Nutzer für sich selbst entscheiden. Was für den einen noch nicht sicher genug ist, kann für den anderen schon pure Paranoia sein. Entscheidend ist, dass komfortable Funktionen häufig zu Lasten der Sicherheit gehen. So auch die Hilfe in der Anmelde-Maske von WordPress.

Fehlermeldung bei WordPress
Ein wichtiger Tipp: Der Benutzername ist richtig, das Passwort noch nicht.

WordPress-Hilfe deaktivieren

Mit folgendem Snippet deaktiviert ihr die Hinweise bei der fehlerhaften Eingabe von Passwort und/oder Benutzernamen. Fügt den Code dazu einfach über die functions.php oder ein seitenspezifisches Plugin ein.

add_filter('login_errors',function($a) {
  return null;
});

Anschließend wird der Hinweis nicht länger angezeigt, die rote Umrandung der Fehler-Box bleibt jedoch bestehen.

Geschrieben von kulturbanause Team

Benutzerbild

Beiträge bei denen das kulturbanause-Team als Autor angegeben ist, wurden von mehreren Personen in Zusammenarbeit geschrieben. Wir nutzen diesen Blog als öffentliches Archiv und um euch bei alltäglichen Problemen im Zusammenhang mit der Erstellung von Websites zu helfen. Neben diesem Blog bieten wir auch Trainings wie Schulungen, Bücher oder Videos an. Und natürlich unterstützen wir auch gerne im Rahmen unserer Agenturtätigkeit.

Feedback & Ergänzungen – 12 Kommentare

  1. Bastian
    schrieb am 19.10.2015 um 21:49 Uhr:

    Hallo zusammen,
    meiner Meinung nach bringt die Unterdrückung der Fehlermeldung nichts, wenn ich nicht auch den eingegebenen Namen aus dem Benutzerfeld lösche. So sehe ich immer noch, dass es den Benutzer gibt. Bei falschem Benutzer wird der Name aus dem Feld wieder gelöscht. So sollte es sein!
    Wie bekomme ich denn hin, dass der Name aus dem Feld verschwindet?
    Danke für eure Hilfe!

    Antworten
  2. Stefan
    schrieb am 16.09.2013 um 12:10 Uhr:

    Danke für den Tipp. Eine Alternative wäre, die Nachricht zu ersetzen. So spart man sich den doofen leeren roten Behälter.

    Man sucht im String einfach nach dem Wortlaut „Falscher Benutzername“ und ersetzt Ihn durch einen beliebigen Text.

    Beispiel:
    add_filter(‚login_errors‘,’error_falsches_pw‘);

    function error_falsches_pw($error){

    $pos = strpos($error, ‚Falscher Benutzername‘);

    if (is_int($pos)) {

    $error = „Falsches Passwort eingegeben.“;
    }
    return $error;
    }

    Antworten
  3. Checkliste für die Erstellung eines neuen WordPress Blogs
    schrieb am 02.12.2012 um 15:49 Uhr:

    […] Haben Sie die Login Funktion so angepasst, damit WordPress nicht schon beim Login Versuch einen Fehler begeht? Wer nicht weiß was ich meine hier ein Link. […]

    Antworten
  4. Kathryn
    schrieb am 19.09.2012 um 12:37 Uhr:

    Ah, ok, vielen Dank!!

    Antworten
  5. Kathryn
    schrieb am 19.09.2012 um 11:30 Uhr:

    Hi und vielen Dank für diesen Tipp, aber durch den Eintrag in die functions.php ist das dann doch nicht mehr updatesicher, oder?

    LG, Kathryn.

    Antworten
    • Jonas Hellwig
      schrieb am 19.09.2012 um 12:33 Uhr:

      Hallo Kathryn, die functions.php ist Bestandteil des Themes. Wenn du die WordPress-Installation updatest, sollte das Theme davon nicht betroffen sein. Das Theme selbst darf natürlich nicht überschrieben werden. Aber grundsätzlich ist die functions.php updatesicher.

      Antworten
  6. Jan Koch
    schrieb am 18.09.2012 um 15:35 Uhr:

    Zu dem Thema habe ich auch noch eine nützliche PDF gefunden :-)

    http://newcodepoet.files.wordpress.com/2012/07/lockingdownwordpress1-1.pdf

    Gruß,
    Jan

    Antworten
  7. Voku
    schrieb am 06.09.2012 um 09:58 Uhr:

    Hi, ggf. hilft jemanden noch folgender Blog-Post http://suckup.de/cms/wordpress-cms-allgemein/wordpress-sicherheit-erhoehen/ :)

    – z.B.: Login Versuche limitieren via Plugin …

    Antworten
  8. René Grosche
    schrieb am 06.09.2012 um 09:51 Uhr:

    Heyho Jonas, wie immer hab ich da auch was für :) – ich persönlich finde das Plugin
    Private! WordPress Access Control Manager sehr geil.

    Ihr habt die Möglichkeit einmal den Login wie Jonas beschieben hat anzupassen, dazu gibt es gesicherten Java-Login, Teergrubenschutz, Brutforce usw.. Plugin und Theme-Ordner sind nicht mehr über Umwege erreichbar und eine Zeitgesteuerte-Login-Freigabe ist ebenfalls möglich wenn gewünscht.
    Das ganze lässt sich kinderleicht einstellen und fehlt in keiner meiner Webseiten :)

    LG
    René

    Antworten
    • Jonas Hellwig
      schrieb am 06.09.2012 um 10:10 Uhr:

      Hi René! Das Plugin kenne ich gar nicht, es klingt aber sehr interessant. Ich schaue es mir beizeiten einmal im Detail an. Besten Dank für den Tipp!

      Antworten
  9. Dominik
    schrieb am 06.09.2012 um 09:46 Uhr:

    Seit WordPress 3.4 könnte man an Stelle der anonymen Funktion auch __return_null() nutzen.

    add_filter( 'login_errors', '__return_null' );

    Antworten
    • Jonas Hellwig
      schrieb am 06.09.2012 um 10:09 Uhr:

      Vielen Dank für den Hinweis!

      Antworten

Kommentar zu dieser Seite

Wir freuen uns über Anregungen, Ergänzungen oder Hinweise zu Fehlern. Wir lesen jeden Eintrag, veröffentlichen aber nur, was den Inhalt sinnvoll ergänzt.

WordPress-Projekte mit kulturbanause

Wir wissen wovon wir reden. Wir setzen WordPress seit über 10 Jahren erfolgreich ein und realisieren maßgeschneiderte Websites auf Basis dieses großartigen CMS.

WordPress-Leistungsangebot →

Schulungen von kulturbanause

Wir bieten Seminare und Workshops zu den Themen Konzept, Design und Development. Immer up-to-date, praxisnah, kurzweilig und mit dem notwendigen Blick über den Tellerrand.

Übersicht Schulungsthemen →