Captcha Eingabe beim Admin Login

nickfake · 24.01.2026 19:49:14

Hallo !

ich möchte eine Beobachtung melden. Wenn ich mich mit dem meineseite.de/admin anmelden möchte, muss ein captcha eingegeben werden. Über eingebaute links oder droplets erscheint die Funktion nicht. Da muss man sich allerdings einmal erfolglos anmelden und bei zweiten mal gehts dann.

Ich hab das Thema nicht gefunden und wollte mal was schlaues posten. Ich hoffe das hat geklappt.

gruss Jan

florian · 25.01.2026 08:16:57

Für das Loginbox-Droplet gibt es ein Update und die normale Frontend-Loginseite sollte eigentlich auch das Captcha anzeigen.
Login-Dialoge, die direkt ins Template integriert sind, müssen angepasst werden.
Oder du deaktivierst über

define('NO_LOGIN_CAPTCHA',true);

in der config.php das Captcha.
Ich werde das Captcha wahrscheinlich in der nächsten Version wieder rausnehmen.
Inzwischen nervt mich das selbst.

nickfake

mk70 · 25.01.2026 13:21:09

Moin...

florian wrote:

Inzwischen nervt mich das selbst.

Oh, ok. Evtl. optional drin lassen (im Backend Ein/Aus)?

Wie schon an anderer Stelle geschrieben, setze ich vor jedes Backend nach und nach die htaccess rein.

nickfake · 26.01.2026 11:19:19

Reicht da nicht ein Honypot?

beach · 26.01.2026 14:21:47

florian wrote:

[...]
Inzwischen nervt mich das selbst.

100% ack
Und ein wirkliches Hindernis stellen diese meist auch nicht dar.

Es gab da mal ein tolles Projekt, bot-trap.de hat mir vor vielen vielen Jahren in einem Forum geholfen von mehreren 100 Spambots auf fast 0 runter zu kommen. Noch ein kleiner HoneyPot dazu und es war schlagartig Ruhe...
Hach waren das noch Zeiten.
Leider ist das Projekt aufgrund der DSGVO eingestellt worden. So steht es zumindest auf deren Seite

florian · 26.01.2026 19:35:58

Das Captcha beim WBCE-Login soll Brute-Force-Attacken erschweren, also automatisiertes Durchprobieren von Benutzername/Passwort-Kombinationen. Wir hatten den Hinweis bekommen, dass die vorhandene IP-Sperre ggf. nicht ausreichend sein könnte.
Ich glaube aber, ich habe mit dem Captcha mit Kanonen auf Spatzen geschossen.
Meine vage Idee: das Captcha wird erst nach einer vergleichsweise hohen Zahl fehlgeschlagene Logins in kurzer Zeit, z.B. 10 in einer Minute, aktiviert. Damit sind eigentlich auch fast alle Spatzen gefangen (anstatt erschossen, s.o.)
Muss ich schauen, ob/wie ich das hinbekomme.

beach · 26.01.2026 20:12:39

Als Idee:
ein verstecktes Eingabefeld mit einem, für Bots verlockendem Namen, welches aber für den normalen User nicht sichtbar ist (CSS)
Wenn das Feld Daten enthält, wird das Captcha präsentiert.
Als zusätzlicher Schutz ein Check der Zeit zwischen fertig gerendertem HTML und dem Absendezeitpunkt.
Ist das zu schnell, ists wohl ein Bot. Und Zeit haben die bei Brute Force definitiv keine

kleo · 26.01.2026 21:41:21

Was spricht dagegen, das Anmeldeprozedere in zwei Schritten zu machen?

Zuerst zeigt man den Benutzernamen und die Schaltfläche "Weiter", dann in z.B. 2-3 Sekunden das Passwort und die Schaltfläche "Anmelden".
Bei der falschen Eingabe kann man das erste Fenster auch verzögert zeigen.

Durch diese verzögerte Eingabe wird das automatisierte Durchprobieren von Benutzername/Passwort-Kombinationen auf jeden Fall verlangsamt. Da die IP-Sperre nach drei Fehlversuchen auch noch wirkt, wird das ganze damit auch erschwert.

florian · 31.01.2026 10:53:35

Ich habe mit KI-Unterstützung meine o.g. vage Idee umgesetzt.
https://github.com/WBCE/WBCE_CMS/commit … da9559cac8
Das CAPTCHA wird jetzt erst abgefragt, wenn innerhalb von 5 Minuten mehr als 5 fehlgeschlagene Logins von beliebigen IP-Adressen erfolgen.
Zum Testen die framework/class.login.php durch die hier angehängte austauschen.
Dann einige fehlgeschlagene Logins über eine normale Verbindung und einige über VPN simulieren.

Last edited by florian (31.01.2026 10:54:06)

mk70 · 01.02.2026 10:55:40

Moin Florian,

ich habe das gerade getestet und erhalte statt dem Captcha nach 5 Fehlversuchen nur noch die Meldung:

wbce-Backend wrote:

Excessive Invalid Logins
You have attempted to login too many times

Dahin werde ich weitergeleitet:
domain.de/templates/wbce_flat_theme/templates/warning.html

Ich habe dann mal den Bowser gewechselt, aber auch darin werde ich weiter ausgesperrt.
Die alte class.logon.php wieder eingespielt: Ich werde immer noch gesperrt.

Frage: Wie lange bin ich ausgesperrt, bzw. wo kann man ggf. die Sperre deaktivieren?

Das betrifft nur das Backend. Das Frontend kann ich besuchen.

Bis später... wink

**

EDIT:
Ist das Script aktuell noch nutzbar oder muss es für die letzten Versionen angepasst werden?
https://forum.wbce.org/viewtopic.php?pid=35035#p35035

**

EDIT2:
In der Tabelle "wbce_blocking" den Inhalt geleert. War nur der eine Eintrag. Geht wieder. smile

Last edited by mk70 (01.02.2026 11:29:45)

florian · 01.02.2026 17:55:09

Die IP-Sperre greift weiterhin. Allerdings lässt sie sich z.B. durch VPN umgehen, weshalb als zusätzliche Sicherheitsmaßnahme das Captcha eingeführt wurde, um Brute-Force-Attacken zu erschweren.

Bei der IP-Sperre wird, wie der Name schon sagt, die IP für eine gewisse Zeit gesperrt, d.h. aus ein und demselben Netzwerk aus werden alle Zugriffe blockiert, egal ob als Browser Firefox, Chrome oder Opera verwendet wird. (Sie wird nach 15 Minuten automatisch aufgehoben oder durch das Leeren der blockings-Tabelle mittels oben erwähntem Script bzw. direktem Datenbankzugriff.)
Die Anzahl der Fehlversuche bis zum Greifen der IP-Sperre kann zum Testen in der /admin/login erhöht werden.

Zum Testen des geänderten Captcha-Mechanismus' muss der Zugriff über unterschiedliche IPs erfolgen. Also z.B. über Firefox sowie Opera mit aktiviertem VPN (ist bei Opera integriert) sowie Chrome/Smartphone über mobile Daten.

mk70

mk70 · 02.02.2026 09:46:30

Guten Morgen,

Ok, dann bin ich dem System wohl ein paar Minuten zuvorgekommen. wink

Und danke Dir für die detaillierte Erklärungen thumb_up

WBCE CMS Forum

#1 24.01.2026 19:49:14

Captcha Eingabe beim Admin Login

#2 25.01.2026 08:16:57

Re: Captcha Eingabe beim Admin Login

#3 25.01.2026 13:21:09

Re: Captcha Eingabe beim Admin Login

#4 26.01.2026 11:19:19

Re: Captcha Eingabe beim Admin Login

#5 26.01.2026 14:21:47

Re: Captcha Eingabe beim Admin Login

#6 26.01.2026 19:35:58

Re: Captcha Eingabe beim Admin Login

#7 26.01.2026 20:12:39

Re: Captcha Eingabe beim Admin Login

#8 26.01.2026 21:41:21

Re: Captcha Eingabe beim Admin Login

#9 31.01.2026 10:53:35

Re: Captcha Eingabe beim Admin Login

#10 01.02.2026 10:55:40

Re: Captcha Eingabe beim Admin Login

#11 01.02.2026 17:55:09

Re: Captcha Eingabe beim Admin Login

#12 02.02.2026 09:46:30

Re: Captcha Eingabe beim Admin Login

Board footer