Passwort-vergessen Funktion in WordPress deaktivieren

Eine meiner Kundinnen erhält seit zwei Wochen täglich solche E-Mails, bei denen jemand versucht, das Passwort für einen WordPress-Benutzer zurückzusetzen. Das heißt, irgendwer tut so, als wäre er der Admin-User und nutzt dann die „Passwort vergessen-Funktion" des WordPress-Login, um diese Mail auszulösen.

Im Wortlaut sieht dass dann so aus:

Betreff: [Name der WordPress-Seite] Passwort zurücksetzen

Jemand hat das Zurücksetzen des Passworts für folgendes Benutzerkonto angefordert:

Name der Website: XYZ

Benutzername: horst (oder wie auch immer der Benutzer heißt)

Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren.

Um dein Passwort zurückzusetzen, besuche folgende Adresse:

(hier folgt dann die URL zum Auslösen des Passwort-Reset)

Über die Funktion "Pasword Reset" kann man zwar nichts Schlimmes anstellen, aber jedermann bzw. jedefrau kann damit den WordPress Admikn mit Mails bombardieren.

Nur nervig, aber kein Sicherheitsrisiko

Die gute Nachricht an der Sache ist: Die vielen „Passwort-vergessen“-Anfragen, die man erhält, sind erstmal nur eine Sache, die stört. Grundsätzlich ist die Sicherheit aber immer noch gegeben, denn der „Angreifer“ kann nicht viel machen, wenn er nicht auch Zugriff auf die E-Mails erhält, denn ohne die Mails kann er einen Password-Reset nicht anstoßen und kein Passwort ändern.

Mit dem kostenlosen Plugin "Login LockDown" lassen sich Brute-Force-Angriffe abwehren, bei den die bösen Jungs oder Mädels wild alle möglichen Passworte ausprobieren möchten.

Trotz allem hatte ich bei meiner Kundin erstmal das Plugin „Login LockDown“ installiert, das Brute-Force-Attacken auf das Admin-Login unterbindet und IPs sperrt, wenn sie mehrmals ein falsches Passwort für das Login nutzen.

Allerdings hören damit die nervenden Passwort-Änderung-Anforderungen nicht auf und die Kundin wurde weiterhin mit Mails bombardiert.

Der Plan: Passwort-vergessen-Funktion abschalten

Die Lösung sollte schließlich sein, dass ich die Funktion „Passwort vergessen“ komplett deaktiviere, denn eigentlich brauchen wir sie nicht. Sowohl meine Kundin als auch ich nutzen seit Jahren das gleiche Login und haben es auch noch nicht vergessen.

Um die Mails zu unterbinden, müsste also einfach nur diese Password-Reset-Funktion deaktiviert werden.

Lösungen mit functions.php funktionieren nicht

Auf der Suche nach Lösungen, wollte ich erstmal ohne zusätzliches Plugin auskommen und ein PHP-Script finden, dass ich in die functions.php des Themes packen kann. Es gab da auch einige freie Scripte, die kurz und gut aussahen, aber – obwohl diese von Anfang 2020 sind – funktionieren sie mit der aktuellen WordPress Version 5.5. nicht mehr.

Nach einigem Rumprobieren mit PHP-Scripten hat sich das Plainview Protect Passwords Plugin letztendlich als die beste Lösung herauskristallisiert.

Plugin „Plainview Protect Passwords“

Letztendlich bin ich durch eine der vielen Anleitungen auf das Plugin „Plainview Protect Passwords“ aufmerksam geworden und habe es installiert. Es schaltet zwar die Passwort-vergessen-Funktion nicht komplett ab, aber man kann eine Passwortänderung für bestimmte (oder alle) Nutzer deaktivieren und so auch den Versand der Passwort-Reset-Mails verhindern.

Ruft man die Seite des Plugins im WordPress-Repository auf, so erhält man zwar folgende Warnmeldung:

This plugin hasn’t been tested with the latest 3 major releases of WordPress. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress.

Die Warnung, dass das Plugin nicht mit den letzten drei großen Versionen von WordPress getestet wurde, ist jedoch grundlos. Bei mir funktioniert es bestens unter WordPress 5.5.

Mit dieser Fehlermeldung quittiert das Plugin den Versuch, ein Passwort für einen Benutzer zurückzusetzen, für den es nicht erlaubt ist.

Plugin „Protect Passwords“ konfigurieren

Dazu installiert man das Plugin und geht dann in Einstellungen > Protect Passwords zum Admin-Bereich des Plugins.

Im zweiten Feld „Protected users“ wählt man nun mit gedrückter CMD- bzw. STRG-Taste alle User aus und geht unten auf „Save settings“. Nun können bei allen Benutzern die Passwörter nicht mehr über die Passwort-vergessen-Funktion geändert werden.

Ich habe alle User im Bereich "Protected Users" ausgewählt und dann die Einstellung gesichert.

Man kann zwar weiterhin das Formular dazu aufrufen und auch eine E-Mail-Adresse oder einen Usernamen eingeben, aber dann erhält man folgende Fehlermeldung:

Für diesen Benutzer ist es nicht erlaubt, das Passwort zurückzusetzen.

Damit war dann auch endlich Schluss mit den nervigen Mails und meine Kundin (und ich) konnten uns wieder auf die Arbeit konzentrieren.

Wenn du auch einen guten Kniff für WordPress hast oder mit einem Problemchen kämpfst, dann lass es mich gerne über die Kommentarfunktion wissen.

Lynne Marie Kleinholz

Mit Lynne ist eine Grafikerin und Designerin ins Team gekommen, die Artikel rum um die Themen Homepage, Webentwicklung und Photoshop beisteuert. Seit Kurzem gehört auch YouTube zu ihren Tätigkeitsbereichen. Lynne ist (ungewollt) sehr gut darin, Fehlermeldungen zu erzeugen und sorgt damit für einen stetigen Zulauf an Problemlöse-Artikeln, die das Sir Apfelot Blog immer wieder zu einer beliebten Anlaufstelle für Mac-User machen.