Mehr Sicherheit für WordPress – Admin / Login durch htaccess absichern

htpasswd - Sicherheit für WordPress

Man kann es nicht oft genug sagen, das WordPress Admin / Login sollte man für mehr Sicherheit zusätzlich absichern. Im Backend hat nur der Administrator etwas zu suchen. Gegebenenfalls darf noch der eine oder andere Nutzer mit eingeschränkten Rechten ins Backend. Der Rest soll und muss draußen bleiben.

WordPress ist von Haus aus nicht unsicher und mit dem einen oder anderen zusätzlichen Plugin ist man einer ziemlich sicheren Seite. Dennoch gibt es Schwachstellen. Eine der Schwachstellen sitzt vor dem Computer. Häufig sind es schwache Passwörter oder veraltete Plugins die  Hackern nahezu ungehinderten Zugriff erlauben.

Eines der beliebtesten Stellen um in WordPress einzudringen ist der Loginbereich. Mitunter hatte ich 1500 Angriffe in einer Nacht. Hier versuchen Hacker über die Eingabe von Nutzer und Passwort in den Adminbereich von WordPress zu gelangen. Neben einigen Plugins wie das Limit Login Attempts, das Angriffsversuche aufzeichnet und IP-Adressen ausschließen kann, gibt es den sogenannten .htaccess Schutz (Punkt htaccess). Ein htaccess-Schutz ist in wenigen Minuten eingerichtet und ist äußerst wirkungsvoll. Der htaccess – Schutz schaltet vor der eigentlichen Eingabe nochmals ein Eingabefenster.

weiterlesenMehr Sicherheit für WordPress – Admin / Login durch htaccess absichern

Verstärkte Hackerwelle – WordPress absichern

Wordpress Logo

Zur Zeit läuft eine verstärkte Welle von Hackerangriffen auf WordPress Installationen.

Der leitende Entwickler von WordPress, Mathew Mullenberg warnt vor dieser Welle, er warnt aber auch davor dem Aufschrei der Sicherheitsfirmen zu erliegen. Häufig hätten diese nur den eigenen Gewinn im Auge.

Um WordPress weitestgehend sicher zu machen bedarf es in der Hauptsache eines sicheren Passwortes.

Erschreckend ist wie häufig Admin und 12345 als Sperre dienen sollen um unerwünschte Angreifer vom Blog fern zu halten. Das ist kein Schutz, das ist wie das Fenster im Erdgeschoss weit offen zu lassen um dann in den Urlaub zu fahren.

Es sind also 2 Dinge notwendig um schon mal auf der sicheren Seite zu sein. Es darf keinen Nutzer mit „Admin“ geben. Es muß ein sicheres Passwort vergeben sein.

weiterlesenVerstärkte Hackerwelle – WordPress absichern

WordPress und die Sicherheit

Anmeldefenster WordPress

Es war wieder an der Zeit die Seite einem Rundum Sicherheitscheck zu unterziehen.

Anlass war eine Mail mit dem Titel „Zuviele ungültige Anmeldeversuche“. Der Inhalt: 16 ungültige Anmeldeversuche (4 Sperrung(en)) von IP: xx.xxx.xxx.xx. Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: admin. IP wurde gesperrt für 24 Stunden.

Diese Mail wird von dem Plugin Limit Login Attempts generiert und mir automatisch zugesendet. Dieses Plugin zeichnet fehlerhafte Loginversuche auf und bei einer bestimmten Anzahl, die man selbst einstellen kann, wird man per Mail benachrichtigt. Das war der Auftakt mir meine Installation näher anzusehen.

Obwohl ich schon eine Menge getan habe, so übersieht man möglicherweise doch einiges. Schließlich wächst man mit den Aufgaben. Also ran ans Werk.

weiterlesenWordPress und die Sicherheit

Ein Auto darf nicht bellen

Eine EU-Komission kümmert sich um die Geräusche die ein Auto zu machen hat, bzw. welche Geräusche ein Auto nicht machen darf. Das klingt zunächst etwas seltsam, hat aber in dem Fall seine Richtigkeit. Es geht um geräuschlose E-Autos. Bereits vor über einem Jahr hat sich die UNO darüber Gedanken gemacht. Elektroautos sind nahezu geräuschlos, vor … weiterlesen