• Sir Apfelot - Seit über 20 Jahren Apple-Ritter aus Leidenschaft
Sir Apfelot
  • Home
  • Blog
    • Deals
    • Apple
    • Apps
    • Die allwissende Müllhalde
    • Foto
    • Frag' Sir Apfelot!
    • Technik
    • iPad & iPhone
    • Mac
    • Audio
    • Gadgets
    • News
    • SEO & Homepage
    • Android
    • Wearables
    • Hacking
    • Unterhaltung
  • Forum
  • Pick der Woche
  • Kontakt
    • Das Team
    • Sponsoren
0

Passwort-vergessen Funktion in WordPress deaktivieren

Lynne Marie Kleinholz 19. September 2020
Kategorien
  • SEO & Homepage
Schlagworte
  • Brute-Force
  • Login LockDown
  • Passwort vergessen
  • Spam
  • Wordpress
  • Wordpress Plugin
So schaltet man die Passwort-vergessen-Funktion bei WordPress ab

Kapitel in diesem Beitrag:

  • 1 Nur nervig, aber kein Sicherheitsrisiko
  • 2 Der Plan: Passwort-vergessen-Funktion abschalten
  • 3 Lösungen mit functions.php funktionieren nicht
  • 4 Plugin „Plainview Protect Passwords“
  • 5 Plugin „Protect Passwords“ konfigurieren
  • 6 Vielleicht auch interessant?

Eine meiner Kundinnen erhält seit zwei Wochen täglich solche E-Mails, bei denen jemand versucht, das Passwort für einen WordPress-Benutzer zurückzusetzen. Das heißt, irgendwer tut so, als wäre er der Admin-User und nutzt dann die „Passwort vergessen-Funktion" des WordPress-Login, um diese Mail auszulösen.

Im Wortlaut sieht dass dann so aus:

Betreff: [Name der WordPress-Seite] Passwort zurücksetzen

Jemand hat das Zurücksetzen des Passworts für folgendes Benutzerkonto angefordert:

Name der Website: XYZ

Benutzername: horst (oder wie auch immer der Benutzer heißt)

Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren.

Um dein Passwort zurückzusetzen, besuche folgende Adresse:

(hier folgt dann die URL zum Auslösen des Passwort-Reset)

Über die Funktion "Pasword Reset" kann man zwar nichts Schlimmes anstellen, aber jedermann bzw. jedefrau kann damit den WordPress Admikn mit Mails bombardieren.

Über die Funktion "Pasword Reset" kann man zwar nichts Schlimmes anstellen, aber jedermann bzw. jedefrau kann damit den WordPress Admikn mit Mails bombardieren.

 

Sir Apfelot Empfehlung: Mac Festplatte aufräumen mit CleanMyMac

Nur nervig, aber kein Sicherheitsrisiko

Die gute Nachricht an der Sache ist: Die vielen „Passwort-vergessen“-Anfragen, die man erhält, sind erstmal nur eine Sache, die stört. Grundsätzlich ist die Sicherheit aber immer noch gegeben, denn der „Angreifer“ kann nicht viel machen, wenn er nicht auch Zugriff auf die E-Mails erhält, denn ohne die Mails kann er einen Password-Reset nicht anstoßen und kein Passwort ändern.

Mit dem kostenlosen Plugin "Login LockDown" lassen sich Brute-Force-Angriffe abwehren, bei den die bösen Jungs oder Mädels wild alle möglichen Passworte ausprobieren möchten.

Mit dem kostenlosen Plugin "Login LockDown" lassen sich Brute-Force-Angriffe abwehren, bei den die bösen Jungs oder Mädels wild alle möglichen Passworte ausprobieren möchten.

Trotz allem hatte ich bei meiner Kundin erstmal das Plugin „Login LockDown“ installiert, das Brute-Force-Attacken auf das Admin-Login unterbindet und IPs sperrt, wenn sie mehrmals ein falsches Passwort für das Login nutzen.

Allerdings hören damit die nervenden Passwort-Änderung-Anforderungen nicht auf und die Kundin wurde weiterhin mit Mails bombardiert.

Der Plan: Passwort-vergessen-Funktion abschalten

Die Lösung sollte schließlich sein, dass ich die Funktion „Passwort vergessen“ komplett deaktiviere, denn eigentlich brauchen wir sie nicht. Sowohl meine Kundin als auch ich nutzen seit Jahren das gleiche Login und haben es auch noch nicht vergessen.

Um die Mails zu unterbinden, müsste also einfach nur diese Password-Reset-Funktion deaktiviert werden.

Lösungen mit functions.php funktionieren nicht

Auf der Suche nach Lösungen, wollte ich erstmal ohne zusätzliches Plugin auskommen und ein PHP-Script finden, dass ich in die functions.php des Themes packen kann. Es gab da auch einige freie Scripte, die kurz und gut aussahen, aber – obwohl diese von Anfang 2020 sind – funktionieren sie mit der aktuellen WordPress Version 5.5. nicht mehr.

Nach einigem Rumprobieren mit PHP-Scripten hat sich das Plainview Protect Passwords Plugin letztendlich als die beste Lösung herauskristallisiert.

Nach einigem Rumprobieren mit PHP-Scripten hat sich das Plainview Protect Passwords Plugin letztendlich als die beste Lösung herauskristallisiert.

Plugin „Plainview Protect Passwords“

Letztendlich bin ich durch eine der vielen Anleitungen auf das Plugin „Plainview Protect Passwords“ aufmerksam geworden und habe es installiert. Es schaltet zwar die Passwort-vergessen-Funktion nicht komplett ab, aber man kann eine Passwortänderung für bestimmte (oder alle) Nutzer deaktivieren und so auch den Versand der Passwort-Reset-Mails verhindern.

Ruft man die Seite des Plugins im WordPress-Repository auf, so erhält man zwar folgende Warnmeldung:

This plugin hasn’t been tested with the latest 3 major releases of WordPress. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress.

Die Warnung, dass das Plugin nicht mit den letzten drei großen Versionen von WordPress getestet wurde, ist jedoch grundlos. Bei mir funktioniert es bestens unter WordPress 5.5.

Mit dieser Fehlermeldung quittiert das Plugin den Versuch, ein Passwort für einen Benutzer zurückzusetzen, für den es nicht erlaubt ist.

Mit dieser Fehlermeldung quittiert das Plugin den Versuch, ein Passwort für einen Benutzer zurückzusetzen, für den es nicht erlaubt ist.

Plugin „Protect Passwords“ konfigurieren

Dazu installiert man das Plugin und geht dann in Einstellungen > Protect Passwords zum Admin-Bereich des Plugins.

Im zweiten Feld „Protected users“ wählt man nun mit gedrückter CMD- bzw. STRG-Taste alle User aus und geht unten auf „Save settings“. Nun können bei allen Benutzern die Passwörter nicht mehr über die Passwort-vergessen-Funktion geändert werden.

Ich habe alle User im Bereich "Protected Users" ausgewählt und dann die Einstellung gesichert.

Ich habe alle User im Bereich "Protected Users" ausgewählt und dann die Einstellung gesichert.

Man kann zwar weiterhin das Formular dazu aufrufen und auch eine E-Mail-Adresse oder einen Usernamen eingeben, aber dann erhält man folgende Fehlermeldung:

Für diesen Benutzer ist es nicht erlaubt, das Passwort zurückzusetzen.

Damit war dann auch endlich Schluss mit den nervigen Mails und meine Kundin (und ich) konnten uns wieder auf die Arbeit konzentrieren.

Wenn du auch einen guten Kniff für WordPress hast oder mit einem Problemchen kämpfst, dann lass es mich gerne über die Kommentarfunktion wissen.

–

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft oder bei Patreon unterstützen würdest.

Vielleicht auch interessant?

  • GTranslate.io WordPress-Plugin zur automatischen Übersetzung – mein Pick der Woche KW38
  • NitroPack für WordPress – Pick der Woche KW17
  • WordPress Plugin "Bulk Move": Massenverschieben von Beiträgen zwischen Kategorien
  • Public Post Preview: WordPress-Beiträge vorab zur Ansicht versenden
  • Nachrichten im WordPress-Admin-Bereich individuell abschalten
  • Elegante Popup-Fenster in WordPress einbauen mit dem Plugin Popup-Maker
  • WordPress: Gutenberg Editor abschalten – Anleitung mit und ohne Plugin
  • Amazon Affiliate WordPress Plugin (AAWP) mit 30% Rabatt
Lynne Marie Kleinholz

Mit Lynne ist eine Grafikerin und Designerin ins Team gekommen, die Artikel rum um die Themen Homepage, Webentwicklung und Photoshop beisteuert. Seit Kurzem gehört auch YouTube zu ihren Tätigkeitsbereichen. Lynne ist (ungewollt) sehr gut darin, Fehlermeldungen zu erzeugen und sorgt damit für einen stetigen Zulauf an Problemlöse-Artikeln, die das Sir Apfelot Blog immer wieder zu einer beliebten Anlaufstelle für Mac-User machen.

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Suche auf Sir Apfelot:

Sprache ändern

English EN German DE
Mac kaputt? Hier günstig reparieren lassen![Anzeige] Mit dem Code SIRAPF erhältst du 10 EUR Rabatt auf jede Reparatur bei Sadaghian. Kostenloser Versand, Check und Erstellung eines Reparaturangebots.
Sadaghian Mac Reparatur
Amazon Affiliate Programm

Wer einen beliebigen Artikel über diesen Link bei Amazon.de kauft, unterstützt das Sir Apfelot Blog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Amazon Logo

Kategorien

  • Android
  • Apple
  • Apps
  • Audio
  • Deals
  • Die allwissende Müllhalde
  • Foto
  • Frag' Sir Apfelot!
  • iPad & iPhone
  • Gadgets
  • Hacking
  • Mac
  • News
  • SEO & Homepage
  • Unterhaltung
  • Wearables

Neueste Beiträge

  • Pitaka MagEZ Case Pro fürs iPad mini 6 (+ Event-Ankündigung)
  • eufy Security 4G Starlight – Überwachungskamera mit Mobilfunk für draußen
  • Wo findet man Apple News?
  • Wasserschaden am MacBook Pro oder Air? Keinen Reis ins Gerät schütten!
  • Atlas VPN mit 81% Rabatt und Sir Apfelot Coupon-Code

Beliebte Beiträge

  • Betrug: Fake-Anruf von Europol wegen Missbrauch meines PersonalausweisesBetrug: Fake-Anruf von Europol wegen Missbrauch… Ich habe nun schon zum zweiten Mal einen Anruf bekommen, bei dem es offensichtlich darum geht, persönliche Daten zu stehlen. Es ging damit los, dass…
  • Was bedeuten die Saugkraft-Werte Pa, kPa oder AW bei Staubsaugern?Was bedeuten die Saugkraft-Werte Pa, kPa oder AW bei… Ich schreibe ja häufiger mal Testberichte zu Staubsaugrobotern, Akkustaubsaugern oder normalen netzbetriebenen Bodenstaubsaugern. In diesem Zusammenhang studiere ich in der Regel auch die technischen Daten…
  • [Update] Übersicht: Akku-Kapazität (mAh & Wh) der Apple iPad Modelle[Update] Übersicht: Akku-Kapazität (mAh & Wh)… Wie viel mAh Akkukapazität hat mein iPad? – Diese Frage habt ihr euch vielleicht schon mal auf der Suche nach einer Powerbank, einem Ladegerät oder…
  • iPhone Fotos – Standort als Aufnahmeort hinterlegen aktivieren / deaktiviereniPhone Fotos – Standort als Aufnahmeort hinterlegen… Für Fotos und Videos kann die Kamera-App des Apple iPhone den aktuellen Standort als Aufnahmeort in der Datei hinterlegen. Doch was bringt diese Information und…
  • [Update] Apple iPhone Akku-Kapazität (mAh) aller Modelle[Update] Apple iPhone Akku-Kapazität (mAh) aller Modelle Die Apple iPhone Akku-Kapazität in mAh zu wissen ist wichtig, falls ihr euch beispielsweise eine Powerbank oder ein Akku-Case kaufen wollt. In diesem Beitrag erfahrt…

Neueste Kommentare

  • Levent bei Betrug: Fake-Anruf von Europol wegen Missbrauch meines Personalausweises
  • KM bei Betrug: Fake-Anruf von Europol wegen Missbrauch meines Personalausweises
  • Jens Kleinholz bei Die richtige Festplatte für das Time Machine Backup – meine Empfehlungen
  • Fox bei Die richtige Festplatte für das Time Machine Backup – meine Empfehlungen
  • Jens Kleinholz bei MacBook startet nicht mehr – Tipps und Tricks, die helfen können

Freunde

retracked.net

* = gesponserter Link
Marken, Bestseller, Archiv und Tarifvergleiche

Hinweis: Als Amazon-Partner verdiene ich an qualifizierten Käufen.

Datenschutz | Impressum
© 2021 Sir-Apfelot.de – Alle Rechte vorbehalten.