Hat WordPress Brute-Force-Schutz eingebaut?

Ich verwalte eine WordPress-Site. Die reguläre Seite (außerhalb des Admin-Logins) ist normal, aber als ich mich heute ins Admin-Panel einloggen wollte und diesen Brute-Force-Schutzbildschirm bekam: Brute-Force-Präventionsbildschirm

Ich habe keine Brute-Force-Schutz-Plugins installiert, und ich habe diesen Bildschirm noch nie zuvor gesehen, also mache ich mir Sorgen, dass dies ein Hack ist. Die Quelle der Seite ist dies:

  WordPress Anti Bruteforce  .center { position: fixed; top: 50%; left: 50%; transform: translate(-50%, -50%); text-align: center; } .button-container { margin-top: 30px; } .text { margin-top: 30px; font-family: "Helvetica Neue",Helvetica,Arial,sans-serif; } .button-container { padding-top: 10px; } .button { font-size: 20px; height: 50px; width: 300px; } #logo { width: 540px; height: 122px; background: url('...') /* removed this for brevity - contains a WordPress logo in svg as a data: url */ }    

Please click the Login button to confirm you aren't a bot.

function _login() { document.cookie = "antibot=* 15 character alphanumeric code here *; expires=Thu, 18 Dec 2026 12:00:00 UTC; path=/"; location.reload(); }

Ist das wahrscheinlich ein Hack, oder soll ich einfach weitermachen und auf den Button klicken? Die Plugins, die ich installiert habe, sind Kontaktformular 7 , der Veranstaltungskalender und mb.miniAudioPlayer .

Solutions Collecting From Web of "Hat WordPress Brute-Force-Schutz eingebaut?"

Haben Sie JetPack aktiviert? Es hat einige Brute-Force-Fähigkeiten.

Ich würde auch vorschlagen, den wp-login.php-Code (über Ihren Dateimanager) anzuschauen, um zu sehen, ob er sich geändert hat. Suchen Sie nach anderen Daten als der Rest von ihnen.

Sie können die WP-Software auch manuell neu installieren.

Der Code wird die aktuelle Seite neu laden – ich nehme an, es ist die wp-login.php Seite. Deshalb müssen Sie den Seitencode überprüfen … um zu sehen, ob er sich geändert hat.

Für sich genommen ist der von Ihnen gepostete Code gutartig. Bis auf den Teil, wo die aktuelle Seite neu geladen wird, was “schlecht” sein könnte.

1) Nein, WP hat keine Brute-Force-Vorbeugung eingebaut , obwohl ein solcher Schutz in Betracht gezogen werden sollte .

2) Denken Sie daran, dies könnte etwas sein, das ein Theme installiert hat, oder ein Must-Use-Plugin vom Hosting-Provider.

3) Das heißt, SVGs haben einige Sicherheitsprobleme , daher ist es gut zu wissen, dass es sich um eine unveränderte WP-Svg-Datei handelt. Hier ist eine gute Lektüre, warum sie aus diesem Grund aus dem WP Media Uploader weggelassen wurden .


Überprüfe nicht nur die von Rick erwähnte wp-login.php, sondern untersuche sowohl die functions.php des Themes als auch die Verzeichnisstruktur im Allgemeinen. Eine Suche nach den folgenden Zeichenfolgen kann helfen, Dateien zu lokalisieren:

  add_action( 'login_form, add_action( 'login_footer add_filter( 'login_headerurl, add_filter( 'login_headertitle, add_filter( 'login_message, add_filter( 'login_errors add_action( 'login_enqueue_scripts, add_action( 'login_head. 

Wenn Sie die DB nach Plugins durchsuchen möchten, werden sie in gespeichert

 (table) _options (row) option_name active_plugins 

Wenn Sie über db access verfügen, können Sie alle Plugins mit folgendem SQL deaktivieren: UPDATE wp_options SET option_value = 'a:0:{}' WHERE option_name = 'active_plugins'; Quelle und weitere Informationen zu SQL