Zur Zeit läuft eine verstärkte Welle von Hackerangriffen auf WordPress Installationen.
Der leitende Entwickler von WordPress, Mathew Mullenberg warnt vor dieser Welle, er warnt aber auch davor dem Aufschrei der Sicherheitsfirmen zu erliegen. Häufig hätten diese nur den eigenen Gewinn im Auge.
Um WordPress weitestgehend sicher zu machen bedarf es in der Hauptsache eines sicheren Passwortes.
Erschreckend ist wie häufig Admin und 12345 als Sperre dienen sollen um unerwünschte Angreifer vom Blog fern zu halten. Das ist kein Schutz, das ist wie das Fenster im Erdgeschoss weit offen zu lassen um dann in den Urlaub zu fahren.
Es sind also 2 Dinge notwendig um schon mal auf der sicheren Seite zu sein. Es darf keinen Nutzer mit “Admin” geben. Es muß ein sicheres Passwort vergeben sein.
Wie ändere ich das?
Admin wird von WordPress während der Installation vorgeschlagen. Häufig wird er übernommen. Das liegt daran, dass sich viele Neulinge an WordPress heranwagen und bei der Installation nicht abwägen können welche Gefahren es bergen kann den vorgeschlagenen Admin zu übernehmen.
1) Zuerst einen weiteren Administrator !nicht Admin! anlegen. Dieser Admin kann durchaus auch Leerzeichen enthalten.
2) Dann gleich noch einen Autor anlegen, unter dessen Namen die Artikel erscheinen. Denn wer mit dem Administrator die Artikel verfasst und veröffentlicht gibt ja seine Adminkennung preis.
3) Nachdem diese beiden, ein neuer Administrator und ein Autor festgelegt sind, sich aus WordPress ausloggen und mit dem neuen Administrator wieder einloggen.
4) Nun löschen wir den alten Administrator (Admin). Artikel die unter Admin verfasst wurden gehen nicht verloren. WordPress fragt nach, unter welchem Namen die bisher verfaßten Artikel erscheinen sollen. Einfach aus der Auswahlliste den neuen Autor auswählen und schon taucht nur noch der neue Autor als Verfasser von Artikeln auf. Der Admin ist aus dem Spiel. Es geht nichts verloren!
Eine Aktion die längstens 10 Minuten in Anspruch nimmt.
Sichere Passwörter
Natürlich muß das ganze auch sichere Passwörter enthalten. 12345 ist weiterhin eher als eine Einladung zu betrachten, denn als Sicherheitsmaßnahme.
Wie das geht habe ich im Artikel “WordPress und die Sicherheit” beschrieben.
Da wurde aus dem Dackel Waldemar, geboren 1996 das Passwort “W@ldem@r)6!9”. Und das ohne Kopfzerbrechen und Merkprobleme.
Laut der Seite des Schweizer Datenschutzes würde die Lösung über 4 Millionen Jahre benötigen bei 2 Milliarden Tests in der Sekunde.
Bin ich dann sicher?
Es sei angemerkt, dass nichts sicher ist. Weder WordPress noch eine Atomkraftanlage. Es gibt viele Wege in eine Internetseite einzudringen oder Passwörter zu erschleichen.
Doch nach oben angegebener Art und Weise ist man nahe der 100%.
Mit Admin und 12345 liegt man nahe 0% Sicherheit.
Als weiteres Sicherheitsplugin kann man sich Limit Login Attempts installieren. Das sperrt Hacker nach einer bestimmten Anzahl an Versuchen aus. Zur Not kann diese IP über Jahre hinaus gesperrt werden. Hat aber wenig Sinn wenn es sich um ein Bot Netzwerk handelt, da diese IPs ganz normalen Nutzern gehören die nur keine Ahnung haben, dass ihr Rechner gerade für einen Angriff genutzt wird. Eine Sperre von 24 Stunden ist durchaus ausreichend.
Letzter Tipp
Macht regelmäßig Sicherungen. Wer funktionierende Sicherungen hat schläft beruhigt. Im Falle eines Falles wird die Sicherung eingespielt und alles ist zunächst wieder da. Zumindest ist nichts verloren.
Hi,
ja das genannte Plugin nutze ich auch, außerdem benutze ich noch
secure wordpress by websitedefender
Damit kannst du ausschalten, dass angezeigt wird, ob nur das Passwort
falsch ist oder auch der Nutzername.
Bei mir wird jetzt angezeigt, dass eines oder beides von Beidem
ungültig ist. Somit weiß der potentielle Hacker nicht, ob nur das
Passwortfalsch ist und er schon mal den richtigen Nutzernamen hat oder
ob beides Falsch ist.
Meiner Meinung nach die zwei wichtigsten Plugins überhaupt für die
Sicherheit.