- Sir Apfelot - Seit über 20 Jahren Apple-Ritter aus Leidenschaft
Kapitel in diesem Beitrag:
Eine meiner Kundinnen erhält seit zwei Wochen täglich solche E-Mails, bei denen jemand versucht, das Passwort für einen WordPress-Benutzer zurückzusetzen. Das heißt, irgendwer tut so, als wäre er der Admin-User und nutzt dann die „Passwort vergessen-Funktion" des WordPress-Login, um diese Mail auszulösen.
Im Wortlaut sieht dass dann so aus:
Betreff: [Name der WordPress-Seite] Passwort zurücksetzen
Jemand hat das Zurücksetzen des Passworts für folgendes Benutzerkonto angefordert:
Name der Website: XYZ
Benutzername: horst (oder wie auch immer der Benutzer heißt)
Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren.
Um dein Passwort zurückzusetzen, besuche folgende Adresse:
(hier folgt dann die URL zum Auslösen des Passwort-Reset)
Über die Funktion "Pasword Reset" kann man zwar nichts Schlimmes anstellen, aber jedermann bzw. jedefrau kann damit den WordPress Admikn mit Mails bombardieren.
Nur nervig, aber kein Sicherheitsrisiko
Die gute Nachricht an der Sache ist: Die vielen „Passwort-vergessen“-Anfragen, die man erhält, sind erstmal nur eine Sache, die stört. Grundsätzlich ist die Sicherheit aber immer noch gegeben, denn der „Angreifer“ kann nicht viel machen, wenn er nicht auch Zugriff auf die E-Mails erhält, denn ohne die Mails kann er einen Password-Reset nicht anstoßen und kein Passwort ändern.
Mit dem kostenlosen Plugin "Login LockDown" lassen sich Brute-Force-Angriffe abwehren, bei den die bösen Jungs oder Mädels wild alle möglichen Passworte ausprobieren möchten.
Trotz allem hatte ich bei meiner Kundin erstmal das Plugin „Login LockDown“ installiert, das Brute-Force-Attacken auf das Admin-Login unterbindet und IPs sperrt, wenn sie mehrmals ein falsches Passwort für das Login nutzen.
Allerdings hören damit die nervenden Passwort-Änderung-Anforderungen nicht auf und die Kundin wurde weiterhin mit Mails bombardiert.
Der Plan: Passwort-vergessen-Funktion abschalten
Die Lösung sollte schließlich sein, dass ich die Funktion „Passwort vergessen“ komplett deaktiviere, denn eigentlich brauchen wir sie nicht. Sowohl meine Kundin als auch ich nutzen seit Jahren das gleiche Login und haben es auch noch nicht vergessen.
Um die Mails zu unterbinden, müsste also einfach nur diese Password-Reset-Funktion deaktiviert werden.
Lösungen mit functions.php funktionieren nicht
Auf der Suche nach Lösungen, wollte ich erstmal ohne zusätzliches Plugin auskommen und ein PHP-Script finden, dass ich in die functions.php des Themes packen kann. Es gab da auch einige freie Scripte, die kurz und gut aussahen, aber – obwohl diese von Anfang 2020 sind – funktionieren sie mit der aktuellen WordPress Version 5.5. nicht mehr.
Nach einigem Rumprobieren mit PHP-Scripten hat sich das Plainview Protect Passwords Plugin letztendlich als die beste Lösung herauskristallisiert.
Plugin „Plainview Protect Passwords“
Letztendlich bin ich durch eine der vielen Anleitungen auf das Plugin „Plainview Protect Passwords“ aufmerksam geworden und habe es installiert. Es schaltet zwar die Passwort-vergessen-Funktion nicht komplett ab, aber man kann eine Passwortänderung für bestimmte (oder alle) Nutzer deaktivieren und so auch den Versand der Passwort-Reset-Mails verhindern.
Ruft man die Seite des Plugins im WordPress-Repository auf, so erhält man zwar folgende Warnmeldung:
This plugin hasn’t been tested with the latest 3 major releases of WordPress. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress.
Die Warnung, dass das Plugin nicht mit den letzten drei großen Versionen von WordPress getestet wurde, ist jedoch grundlos. Bei mir funktioniert es bestens unter WordPress 5.5.
Mit dieser Fehlermeldung quittiert das Plugin den Versuch, ein Passwort für einen Benutzer zurückzusetzen, für den es nicht erlaubt ist.
Plugin „Protect Passwords“ konfigurieren
Dazu installiert man das Plugin und geht dann in Einstellungen > Protect Passwords zum Admin-Bereich des Plugins.
Im zweiten Feld „Protected users“ wählt man nun mit gedrückter CMD- bzw. STRG-Taste alle User aus und geht unten auf „Save settings“. Nun können bei allen Benutzern die Passwörter nicht mehr über die Passwort-vergessen-Funktion geändert werden.
Ich habe alle User im Bereich "Protected Users" ausgewählt und dann die Einstellung gesichert.
Man kann zwar weiterhin das Formular dazu aufrufen und auch eine E-Mail-Adresse oder einen Usernamen eingeben, aber dann erhält man folgende Fehlermeldung:
Für diesen Benutzer ist es nicht erlaubt, das Passwort zurückzusetzen.
Damit war dann auch endlich Schluss mit den nervigen Mails und meine Kundin (und ich) konnten uns wieder auf die Arbeit konzentrieren.
Wenn du auch einen guten Kniff für WordPress hast oder mit einem Problemchen kämpfst, dann lass es mich gerne über die Kommentarfunktion wissen.
Wenn mein Beitrag geholfen hat und dir mein Blog unterstützenswert erscheint, würde ich mich über eine Hilfe per Steady oder Buy me a coffee sehr freuen.
Vielleicht auch interessant?
NitroPack für WordPress – Pick der Woche KW17
WordPress Plugin "Bulk Move": Massenverschieben von Beiträgen zwischen Kategorien
Public Post Preview: WordPress-Beiträge vorab zur Ansicht versenden
Nachrichten im WordPress-Admin-Bereich individuell abschalten
Elegante Popup-Fenster in WordPress einbauen mit dem Plugin Popup-Maker
WordPress: Gutenberg Editor abschalten – Anleitung mit und ohne Plugin
Amazon Affiliate WordPress Plugin (AAWP) mit 30% Rabatt
Suchmaschinenoptimierung: SEO im Blog als Faktor für dessen Erfolg
Mit Lynne ist eine Grafikerin und Designerin ins Team gekommen, die Artikel rum um die Themen Homepage, Webentwicklung und Photoshop beisteuert. Seit Kurzem gehört auch YouTube zu ihren Tätigkeitsbereichen. Lynne ist (ungewollt) sehr gut darin, Fehlermeldungen zu erzeugen und sorgt damit für einen stetigen Zulauf an Problemlöse-Artikeln, die das Sir Apfelot Blog immer wieder zu einer beliebten Anlaufstelle für Mac-User machen.