Sicherheitsplugin Limit Login Attempts
Wordpress bietet von Haus aus leider noch immer keinen Schutz gegen Brute Force Login-Versuche an, aber da dies jedoch oft einer der einfachsten Wege in eine (durch Benutzung des Standardnutzers Admin und eines unsicheren Passworts) ungeschütze WordPress-Installation ist, sollte man schnellstens einen Riegel davor schieben.
Und das kann man schnell und einfach mit dem Plugin Limit Login Attempts. Man kann einstellen, wie viele Fehlversuche erlaubt sind, nach denen dann der Zugriff für den Benutzer per IP Adresse über einen frei definierbaren Zeitraum gesperrt ist. Der Benutzer wird auf der Anmeldeseite übrigens darauf hingewiesen, dass nur eine bestimmte Anzahl von Fehlversuchen möglich ist, somit sollte sich auch jeder "Mensch" Mühe bei der richtigen Eingabe des Passworts geben.
Es wird auch nicht verraten, ob man den richtigen Benutzernamen verwendet hat! WordPress alleine gibt darauf immer noch den Hinweis, dass das Passwort falsch ist, wenn man den richtigen Benutzernamen herausgefunden hat (wie z.B. admin). Mit Limit Login Attempts bekommt man nun eine neutrale Meldung: "Fehler: Ungültiger Benutzername oder Passwort", so wie es sein sollte!