Es gibt nach wie vor jede Menge Blogs, die auf WordPress basieren und deren Sicherheit löchrig wie ein Schweizer Käse ist. Wie nachlässig ist man da? Es gibt unzählige Hinweise, wie der eigene Blog abgesichert werden kann. Wieso passiert es denn immernoch, dass da Blogger solche unsicheren Blogs betreiben? Ich bin mal wieder auf neue Hinweise gestoßen, wie ein Blog geschützt werden kann. Das ist alles andere als unwichtig, denn die WordPress-Sicherheit darf nie unterschätzt werden.
Es ist fast drei Jahre her, dass ich eine heftige Brute Force Attacke auf meinen Blog erlebt hatte. In dem Artikel habe dargelegt, was passiert ist und wie ich meinen Blog nun zu schützen gedenke. Das funktioniert prächtig. Da ich ein Freund der Zugriffsstatistiken bin, habe ich natürlich festgestellt, was mit dem Artikel passiert ist. Mit der Zeit wurde dieser nämlich zu einem der erfolgreichsten Artikel in diesem Blog. Also besteht durchaus Handlungsbedarf. Aber wenn wir ehrlich sind, dann stellen wir fest, dass das eigentlich nicht ausreicht. Denn die Einfallstore in der Standard-Einstellung von WordPress sind bekanntermaßen:
Benutzername für den Administrator des Blogs: admin direkter Aufruf der Anmeldemaske des Blogs: domain.tld/wp-login.php
Gut, seit irgendwann wurde WordPress dergestalt verändert, dass bei der Installation bereits ein administrativer Benutzer angelegt werden kann, der nicht zwingend „admin“ heißt. Damit haben die Entwickler die Situation bereits entschärft. Das zieht aber nicht, wenn der Blog bereits besteht. Deshalb muss man da tätig werden. Hinweise gibt es zuhauf. Oder man benennt den Administrator um, was aber nicht ganz einfach ist. Die Änderungen finden halt auf der Datenbank statt, und das muss man eben bedenken.
Für das Problem des Login-Pfades (siehe oben) gibt es aber wenigstens eine Lösung in Form eines Plugins. Außerdem ist mir aufgefallen, dass man eine Zwei-Faktor-Authentifizierung für seinen Blog einführen kann. Das sind Dinge, die sich jeder zumindest mal anschauen sollte. Denn eigentlich sollte einem Blogger der Blog heilig sein. Und deshalb muss ein Blog abgesichert sein. Es gibt keine absolute Sicherheit. Aber man muss keine unnötigen Löcher aufreißen. Zudem ist es wichtig, WordPress, Themes und Plugins aktuell zu halten. Alles andere kann nur mit Ausreden begründet werden.
Hallo Henning,
erst vor kurzem versuchten irgendwelche Trolle bei mir auf dem Hauptblog sich einzuloggen. Sie nutzten sowohl „admin“ als auch „internetblogger.de“ und solche Logins. Aber ich bin da wesentlich schlauer und auch wenn jemand weiss, wie ich als Blog-Autor im Blog präsent bin, wird er es nicht erraten können, wie mein Admin-Login ist. Da setze ich nämlich auch etwas ein, was das verschleiert. Solche tollen Plugins wie Wordfence dürfen auch nicht fehlen und gegen BruteForce-Attacken ist Limit Login Attempts ganz gut. Mich erreichen weiterhin Mails aus meinen WP-Blogs, dass jemand einbrechen wollte und die ersten IP-Adressen wurden bereits gesperrt. Ich stelle das Plugin extrem hart ein, sodass ich selbst aufpassen muss, dass ich mein Passwort nicht vergesse.
Leichtsinnige Blog-Admins gibt es auch, die für das gesamte Portfolio ein paar Passwörter nutzen und ich arbeite mit dem Password Management Tool und muss mir da nun mal nichts merken und kann schwierige Passwörter im Nu generieren. Richtige Hacker verschaffen sich doch überall den Zugriff, seien es allein schon die CHMOD-Rechte im FTP-Account. Das ist auch so ein Aspekt, welcher bedacht werden müsste. Bei einem eigenen Rootserver wird es noch schwieriger und dass da bloss keine falschen CHMOD-Rechte vergeben wurden. Darauf muss ich auch immer achten.