Willkommen im offenen Blog! Hier bestimmt der Leser mit - ob bei Umfragen zum Blogdesign oder über den Inhalt als Gastautor. offenesblog.de - offen für alle(s)

16th
MRZ

WordPress: Limit Login Attempts und das Sperren von IP-Adressen per .htaccess

Abgelegt unter Blog/Aktionen

Letzte Woche gab es bereits WordPress Sicherheitstipps zum Thema „Sicherheitslücken über xmlrpc.php abdichten„. Wie angekündigt steht heute ein weiterer Sicherheitstipp auf der Tagesordnung: IP-Adressen per .htaccess sperren – mit Hilfe vom Limit Login Attempts Plugin, wie auch auf ganze Länder bezogen.

WordPress Limit Login Attempts Plugin

Limit Login Attempts WP Plugin

Das Limit Login Attempts Plugin ermöglicht es einem als Blogbetreiber eine maximale Anzahl von erlaubten Anmeldeversuchen festzulegen. Setzt man diese zum Beispiel auf den Wert 3 oder 5 fest und jemandem gelingt es sich nicht innerhalb diesen Versuchen anzumelden, wird seine IP-Adresse automatisch für eine vom Administator festgelegte Zeit gesperrt. Wird nach dieser Zeit erneut versucht sich von der gleichen IP-Adresse unzulässig auf dem Blog anzumelden, wird durch die zweite Sperrung die insgesamte Sperrzeit erhöht. Ebenfalls kann man Anmeldungen via Cookies berücksichtigen.

Um die Übersicht zu behalten, gibt es folgende Plugin-Einstellungen:

– IP protokollieren
– Email an den Administrator nach Sperrung

ipsperrung

Hilft dies alles nicht und man merkt, dass sich über verschiedene IP-Adressen immer wieder versucht wird Zugang zum Blog zu verschaffen, kann man einen Schritt weitergehen und die IP-Adresse per .htaccess ganz ausschließen.

IP-Adresse per .htaccess sperren
Um eine IP-Adresse ganz von seiner Webseite auszuschließen muss man eine .htaccess Datei auf dem Server in seinem Verzeichnis angelegt haben und folgenden Befehl eingeben:

# BEGIN IP-Sperren
order allow,deny
deny from 89.123.456.78
deny from 213.12.345.67
allow from all

Diese Liste ist ein Beispiel mit zwei IP-Adressen und man kann diese nach Belieben ändern und ergänzen.

IP-Adressen ganzer Länder per .htaccess sperren
Genügt einem die Sperrung einzelner IP-Adressen nicht, sondern will ein ganzes Land oder Länder per .htaccess sperren, wird man auf dieser Internetseite fündig: countryipblocks.net.

Einfach rechts in der Spalte das gewünschte Format und drunter das Land oder die Länder auswählen und das Resultat anschließend in die .htaccess Datei kopieren. Mit diesem Ansatz kann man auch sehr einfach Länder aussperren von denen aus SPAM-Attacken ausgehen.

(Alex)

Leser Kommentare

  1. Alex |

    Hi Thomas und olli

    Danke Euch beiden, dass Ihr dem Herrn Jagdblut geholfen habt.
    Falls ich noch helfen kann, einfach Bescheid geben.

    Beste Grüße!

  2. olli |

    @ Alex: bitte, gern geschehen :-)

    @ Jagdblut: Unter http://danielwebb.us/software/bot-trap/
    findest Du das Script. Editiere es, (etwas Englischkentnisse vorausgesetzt)
    Benenne es als wp-login.php und lege es ins root (Basisverzeichnis) deines Servers (ACHTUNG! NICHT ins Verzeichnis in welchem sich der Blog befindet!!!)
    Von da an werden alle „dummen“ Bots, welche Deine Seite zu Entern versuchen direkt in die .htaccess eingetragen und Du bekommst für jeden Eintrag eine Mail (wenn gewünscht :-) )
    Gruss, Olli

Hinterlasse einen Kommentar