Login-Schutz und Brute-Force-Abwehr

Wir haben auf einem frisch eingerichteten Blog die Login-Versuche mitgeschrieben. Innerhalb von 24 Stunden gab es über 400 fehlgeschlagene Anmeldungen, alle von automatisierten Bots, die Passwortlisten durchprobieren. Der Blog war noch nicht einmal bei Google indexiert.

Das Foodblogliebe Theme reagiert auf solche Angriffe mit einer gestaffelten Sperre. Nach einer definierten Anzahl fehlgeschlagener Login-Versuche von derselben Quelle wird der Zugang temporär gesperrt. Das verlangsamt Brute-Force-Attacken so stark, dass sie praktisch wirkungslos werden.

Die Sperre trifft dabei nur die angreifende Quelle, nicht deinen gesamten Blog. Deine Leser merken davon nichts, und wenn du dich selbst einmal vertippst, hast du noch genügend Versuche, bevor eine Sperre greift.

Was im Hintergrund passiert, ist ein Audit-Log. Das Theme protokolliert fehlgeschlagene Login-Versuche, damit du nachvollziehen kannst, was auf deinem Blog passiert. Dabei werden keine vollständigen IP-Adressen gespeichert. Stattdessen wird ein SHA256-Hash mit einem Tagesschlüssel verwendet. Das bedeutet: Du kannst erkennen, ob Versuche von derselben Quelle kommen, aber die tatsächliche IP-Adresse lässt sich nicht rekonstruieren. Der Tagesschlüssel rotiert automatisch, sodass ältere Einträge nicht mehr zugeordnet werden können.

Das ist DSGVO-konform und trotzdem nützlich.

Manche Sicherheitsplugins speichern vollständige IP-Adressen über Monate. Das ist datenschutzrechtlich heikel und für die reine Brute-Force-Abwehr gar nicht nötig. Es reicht zu wissen, dass gerade jemand zum zwanzigsten Mal das falsche Passwort eingibt, nicht, von welcher Straßenadresse aus.

Unser Tipp: Wirf ab und zu einen Blick ins Audit-Log. Nicht, weil du aktiv werden musst, das erledigt das Theme automatisch, sondern weil die Zahlen zeigen, warum Sicherheitsmaßnahmen kein optionaler Luxus sind.