Login-Hinweise neutralisieren

44 4 0 Thomas Fischer  4. März 2024

Standardmäßig informiert WordPress darüber wenn ein Login-Detail falsch ist, so z. B. Der „Username war nicht korrekt, bitte versuche es über die E-Mail Adresse“, etc. oder, „Das Passwort war nicht korrekt“, etc.

Bei Brute Force Angriffen auf die WordPress Login Page sind dies unerwünschte Hinweise, die zwar dem User das Login erleichtern helfen sollen, indem es ihm sagt, was er tun soll, aber es sagt Angreifern auch, wo sie evtl. schon richtig liegen. Ist nämlich der Username bereits richtig erraten, weil die Info nicht kommt, geht es nur noch um das Passwort, welches man versuchen wird über einen Brute Force Angriff zu erraten.

Da wir serverseitig und zusätzlich dies in WordPress verhindern, könnten wir die Infosache getrost belassen, wie WordPress es per default wollte. Aber wir möchten Angreifern von Beginn an entmutigen und klare Kante zeigen, Junge lasse es!

Es schont dann vor allem Server Ressourcen und darum geht es uns auch.

Um dies auf einfache effektive Weise zu erreichen, fügst du bitte folgenden Code in deine function.php deines Child-Themes, und fertig ist die Sache. kein Ding.

// hide login hints if produce errors
function new_wordpress_errors(){
	return'Wrong Login Details.';
}
add_filter( 'login_errors', 'new_wordpress_errors' );

Was this helpful?