Loginversuche per V-Host global verbieten

19. Juni 2025

Womodo stellt eine Reihe von URLs bereit, über die ein User sich an einer Web-App anmelden kann. Das führt dazu, daß auf vielen Websites unerlaubte (und hoffentlich fehlgeschlagene) Loginversuche beobachtet werden.

Zwar werden User bei wiederholten Loginfehlern für eine gewisse Zeit geblockt (Default nach 5 Versuchen für 30 Minuten). Aber Loginversuche mit anderen Usernamen sind weiter möglich.

Um das System zu schützen haben wir in womodo 7.11.11 deshalb eine Einstellung im V-Host vorgesehen, mit der zum Ausdruck gebracht wird, daß über diesen V-Host keine Logins erlaubt sein sollen.

Bildschirmfoto 2025-07-02 um 16.22.30

In diesem Fall werden alle Loginversuche über die Standard womodo Login URLs mit einem http 403 Statuscode beantwortet und keine Logins über diesen Host ausgeführt.

Wenn eine Web-App Logins ermöglichen soll, kann dies nach wie vor über projektspezifische Loginformulare angeboten werden und ein Login per API-Aufruf durchgeführt werden. Ohne solche projektspezifischen Loginformulare sollte jedoch kein Login mehr möglich sein.

Content Manager

Ein Login am womodo Content Manager wird damit nicht verhindert, weil der Content Manager seine Logins selbst verwaltet.

Wir empfehlen, den Zugriff auf den Content Manager (und den Admin-Client) ebenfalls per V-Host Einstellung und/oder Port-Restriction zu verbieten und für das Content Management und die Administration einen eigenen (nicht öffentlich bekannten) Host (und ggfl. Port) zu verwenden.