Home | Über uns | Impressum | AGB | Sitemap 

FAQ / Hilfe

Suchen:     Erweiterte Suche
Kategorien durchblättern:



Loginprobleme Wordpress und Joomla

Gesehen: 4040
Wenn Sie beim Login in Ihr Wordpress oder Joomla den Fehler "403 Forbidden" erhalten, unterliegt der Admin-Bereich Ihres CMS einer Distributed Brute-Force Attacke. Hierbei versucht der Angreifer Passwörter zu erraten. Da dies von mehreren tausend verschiedenen IPs passiert, ist eine selektive Filterung nach der IP-Adresse nicht mehr möglich. Der Server sperrt den Login aus Sicherheitsgründen dann komplett.
Um das Problem zu lösen gehen Sie je nach CMS folgendermaßen vor:

Joomla:
Der Schutz von Joomla ist relativ einfach umzusetzen. Gehen Sie ins Confixx und klicken Sie dort auf Tools/Einstellungen->Passwortschutz. Befindet sich die Installation direkt im Ordner html sollten Sie den Ordner administrator schon sehen, andernfalls müssen Sie in das entsprechende Verzeichnis wechseln. Sobald der administrator-Ordner angezeigt wird, können Sie neben diesem Ordner auf "schützen" klicken. Denken Sie sich einen Benutzernamen und ein Passwort aus, den Bereichsnamen können Sie auch frei wählen. Nach dem dieser Schutz umgesetzt ist, müssen Sie sich ins Joomla zweimal einloggen. Vor der Brute-Force-Attacke sind Sie damit geschützt.

Wordpress:
Da Confixx keine Möglichkeit bietet, einzelne Dateien zu schützen, muss die ohnehin vorhandene .htaccess um folgende Zeilen erweitert werden (hier ist bei AuthUserFile der Pfad natürlich dem Benutzernamen anzupassen!).

<Files wp-login.php>
AuthUserFile /var/www/webXXX/html/htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>


Den Inhalt der Datei htpasswd müssen Sie mit einem Tool erzeugen bspw. zu finden unter http://www.htaccesstools.com/htpasswd-generator/. Geben Sie dort einen Benutzernamen und ein Kennwort ein und er Generator gibt Ihnen etwas in der Form

admin:$apr1$uxTEAI60$FoGHQ3tukO1ugrhOCctJZ.

aus. Dies kopieren Sie in eine leere Textdatei in einem Texteditor Ihrer Wahl, und speichern es als reinen Text (!) unter htpasswd. Laden Sie die Datei und die geänderte .htaccess dann auf den Server. Beim Aufruf des Wordpress-Login müssen Sie sich dann zweimal einloggen, der Login ist dann aber gegen diese Art Angriff geschützt.
Weitere Fragen in dieser Kategorie
document Wie verwende ich PHP5
document Ich erhalte "Internal Server Error" beim Aufruf meiner Seite. Was ist zu tun?
document Was bedeutet: "Warning: fopen(): URL file-access is disabled in the server configuration" ?
document Ich möchte auch Dateien mit anderen Endungen (bspw. .html) durch PHP interpretieren lassen.
document Ich benötige Safe_Mode, register_globals oder mod_rewrite u.v.m.
document Wie verwende ich PHP4
document Wie verwende ich PHP5.3, PHP5.4 und PHP5.5
document Wie verwende ich MySQL 5.5 oder MySQL 5.6