Progressive IP-Sperrung: Brute-Force-Angriffe stoppen ohne Fehlalarme
Um Brute-Force-Angriffe auf WordPress zu blockieren, ohne echte Nutzer auszuschließen, ist die Dauer der Sperre ebenso wichtig wie der Auslöser. ReportedIP nutzt ein stufenweises System: Ein erstmaliger Verstoß führt zu einer Sperre von 5 Minuten, ein hartnäckiger Angreifer muss mit einer Sperre von bis zu 7 Tagen rechnen.
In diesem Leitfaden werden die Rangliste, das 30-tägige Rücksetzfenster und die Gründe dafür erläutert, warum manuelle Sperren niemals außer Kraft gesetzt werden.
Was ist ReportedIP ?
ReportedIP ist ein umfassendes WordPress-Sicherheits-Plugin – 12 Angriffssensoren, vier 2FA-Methoden und progressive IP-Sperrung in einem kostenlosen, GPL-2.0-konformen Plug-in. Die Sperrung funktioniert im „Local Shield“-Modus vollständig offline. Einen Überblick über den gesamten Funktionsumfang ReportedIP finden Sie hier.
Die Standard-Eskalationsleiter
Wenn ein Sensorschwellenwert überschritten wird, wechselt das IP in die in ReportedIP_Hive_Block_Escalation (hinzugefügt in 1.5.0). Mit jedem neuen Verstoß rückt es eine Stufe nach oben:
- 1. Verstoß – 5 Minuten
- 2. – 15 Minuten
- 3. – 30 Minuten
- 4. – 24 Stunden
- 5. – 48 Stunden
- Ab dem 6. Tag – 7 Tage (Höchstgrenze)
Die Liste lässt sich unter „Einstellungen → Blockierung“ vollständig bearbeiten und wird als durch Kommas getrennte Liste von Minuten angezeigt. Über einen Schalter bleibt der alte Modus mit einheitlicher Dauer für Websites verfügbar, die eine einheitliche Blocklänge bevorzugen.
Warum ein Tippfehler niemals 24 Stunden kostet
Ein Besucher, der zum ersten Mal ins Netz gerät – sei es ein Administrator mit ungeschickten Fingern oder ein legitimer Nutzer hinter einer gemeinsam genutzten CGNAT-Adresse – erhält eine 5-minütige Sperre und kann dann weitermachen. Nur eine IP-Adresse, die immer wieder zurückkehrt, wird mit längeren Sperren belegt. Nach 30 Tagen ohne neuen Verstoß wird die IP-Adresse auf Stufe 1 zurückgesetzt, sodass ein einmaliger Fehler keine bleibenden Spuren hinterlässt.
Manuelle Blöcke gewinnen immer
Wenn Sie auf „Diese IP blockieren“ klicken oder eine CSV-Datei mit bekanntermaßen schädlichen IP-Bereichen importieren, gilt für diese Sperre die von Ihnen gewählte Dauer, und sie wird niemals durch die Eskalationskette außer Kraft gesetzt. Die automatische Eskalation gilt nur für IP-Adressen, die von den Sensoren selbst erkannt werden.
Erst testen, dann umsetzen
Verwenden Sie den Modus „Nur Bericht“ unter Einstellungen → Blockieren um die Entscheidungen der Zugriffskontrolle in den Protokollen zu verfolgen, ohne jemanden abzuweisen. Die 403-Fehlerseite selbst ist cachesicher – sie setzt DONOTCACHEPAGE und Cache-Control: no-storeDaher liefern WP Rocket, W3TC, WP Super Cache und LiteSpeed einem legitimen Besucher niemals einen zwischengespeicherten Block aus.
Verwandte Anleitungen
- Die 12 Sensoren, die die Blockleiter versorgen
- Der „Hardening“-Modus verschärft die Schwellenwerte bei Angriffen
- Community-Netzwerk: Angreifer abweisen, die bereits auf anderen Seiten aufgetaucht sind
Die vollständige Konfiguration finden Sie in der Dokumentation zum WordPress-Plugin. Sehen Sie sich die übrigen Anleitungen zum ReportedIP an oder prüfen Sie die Eskalationsklasse auf GitHub.