Zum Hauptinhalt springenZur Fußzeile springen
reportedIP
Anleitungen zu Plugins

12 Angriffssensoren, die WordPress-Angriffe in Echtzeit erkennen

Patrick Schlesinger
Titelbild des Leitfadens zum ReportedIP -Plugin – 12 Sensoren zur Erkennung von WordPress-Angriffen

Die Erkennung von Angriffen auf WordPress ist nur so gut wie die Signale, auf die sie achtet. ReportedIP betreibt 12 unabhängige Sensoren für die Bereiche Anmeldung, Kommentare, REST, XMLRPC und 404-Fehler – jeder mit einem einstellbaren Schwellenwert und einer sinnvollen Standardeinstellung.

In dieser Anleitung sind alle 12 Sensoren, ihre werkseitigen Schwellenwerte und die jeweiligen Angriffe, die sie abwehren, aufgeführt.

Was ist ReportedIP ?

ReportedIP ist ein umfassendes WordPress-Sicherheits-Plugin, das Brute-Force-Schutz, eine vollständige 2FA-Suite und opt-in-basierte Community-Bedrohungsinformationen vereint. Die hier beschriebene Erkennungsfunktion ist in jedem Modus kostenlos, einschließlich des vollständig offline arbeitenden „Local Shield“. Den vollständigen Funktionsumfang ReportedIP finden Sie auf der Produktseite.

Die 12 Erkennungssensoren und ihre Standardeinstellungen

Jeder Sensor zählt Ereignisse pro IP-Adresse innerhalb eines gleitenden Zeitfensters. Wird der Schwellenwert überschritten, wird die IP-Adresse in die Sperrliste aufgenommen. Die Standardeinstellungen sind bewusst konservativ gewählt – Sie können jeden Wert unter „Einstellungen“ → „Schutz“ verschärfen oder lockern.

  • Fehlgeschlagene Anmeldeversuche – 5 Fehlversuche / 15 Min.
  • Passwort-Spray – eindeutige Benutzernamen von einer IP-Adresse, 5/10 Min. Die Zähler werden gehasht, sodass keine Benutzernamen im Klartext gespeichert werden.
  • Kommentarspam – 5 / 60 Min., wird vor dem Ausführen des Kommentarfilters ausgewertet.
  • Missbrauch von XML-RPC — 10 / 60 Min., mit system.multicall separat angesehen.
  • Missbrauch von Anwendungspasswörtern – Versuche, die 2-Faktor-Authentifizierung über REST/XMLRPC-Basic-Auth zu umgehen, 5 / 15 Min.
  • REST-API-Ratenbegrenzung – global 240 / 5 Min., sensible Routen 20 / 5 Min.
  • Abwehr gegen Benutzeraufzählung — Blöcke ?author=N, /wp-json/wp/v2/users sowie oEmbed-Abfragen und die Ausblendung von Anmeldefehlern.
  • 404 / Scanner-Erkennung — 12 / 2 Min., plus eine sofortige Sperrung bei bekanntermaßen fehlerhaften Pfaden wie .env, wp-config.bak und /.git/.
  • Geografische Anomalie – eine Anmeldung aus einem Land, das für diesen Benutzer bisher unbekannt ist; dabei können optional Cookies für vertrauenswürdige Geräte gelöscht werden.
  • Passwortrichtlinie – Mindestlänge, Zeichenklassen und eine optionale „Have-I-Been-Pwned“-Prüfung auf k-Anonymität.
  • WooCommerce-Anmelde-Hooks — Die Formulare für den Bezahlvorgang und „Mein Konto“ werden getrennt von wp-login.php.
  • Endpunkte für die Einwilligung über Cookie-Banner – Real Cookie Banner, Complianz, Borlabs und CookieYes sind standardmäßig von der REST-Ratenbegrenzung ausgenommen.

Warum Suchmaschinen und KI-Crawler sie nicht erkennen

Seit Version 2.0.5 werden Googlebot, Bingbot, GPTBot, ClaudeBot, PerplexityBot und andere verifizierte Crawler von den 404- und REST-Burst-Auslösern ausgeschlossen, sodass ein legitimer Crawl über veraltete URLs niemals dazu führt, dass ein Bot in die Sperrkette gerät. Diese Ausnahme ist beabsichtigt: Eine Anfrage an einen Honeypot-Pfad wie /.env wird immer noch sofort ausgelöst, selbst von einem selbsternannten „Googlebot“ – diese Anfrage ist die Angriffsanzeige.

Wie das Zählen zum Hindernis wird

Die Sensoren im Brute-Force-Stil verwenden alle dieselbe Fehlerzähler-Skala: 3 Fehler → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. Nach dem 15. Fehler wird die IP-Adresse in einen echten Eintrag in der blocked Tabelle über die kanonische Form handle_threshold_exceeded() Pipeline, die daraufhin die Eskalationsleiter auslöst und im Community-Modus einen anonymisierten Bericht in die Warteschlange stellt.

Verwandte Anleitungen

In der Dokumentation des WordPress-Plugins werden die Einstellungen der einzelnen Sensoren ausführlich beschrieben. Sehen Sie sich die vollständigen AnleitungenReportedIP an oder lesen Sie den Quellcode auf GitHub.

Entdecke ReportedIP →

Eine Antwort hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * gekennzeichnet

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.
Sie müssen den Bedingungen zustimmen, um fortzufahren