Ja, es wird immer wieder darauf hingewiesen: Leute, sichert eure Blogs ab. Tut man dies nicht, schafft man sich unter Umständen unnötigen Ärger bis hin zum Verlust der Kontrolle über den eigenen Blog. Aus diesem Grund ist es immer wieder notwendig, auf die Möglichkeiten hinzuweisen, wie man seinen WordPress Blog sicherer gestaltet.
Es gibt zu diesem Vorhaben von unzähligen Unternehmen Unterlagen, die man sich unter Umständen kaufen muss. Es gibt auch unzählige Blogartikel, wie eben auch bei mir mindestens 2 Artikel zum Thema existieren. Aber offenbar reicht das immernoch nicht aus, und man muss immer wieder darauf hinweisen.
Login-Attacken
Wie oft wird im Internet darauf hingewiesen, dass es immer wieder Attacken auf den Administrator-Account eines WordPress-Blogs gibt? Das läuft in etwa so ab, dass Angreifer versuchen, das Konto „admin“ durch automatisiertes Ausprobieren von Passwörtern benutzen wollen. Sehr schön sieht man das anhand von Plugins wie Limit Login Attempts. Da kann festgelegt werden, wie oft von ein und derselben IP-Adresse aus versucht werden darf, das Passwort für einen registrierten Benutzer einzugeben.
Existiert der Benutzer, darf man von einem Rechner aus z.B. 3 Mal das Passwort versuchen, und dann wird gesperrt. Existiert der Benutzer nicht, kann auch unter Umständen gleich gesperrt werden. Und die Sperrzeiträume sind frei wählbar. Zudem merkt sich das Plugin „Wiederholungstäter“. Ich finde, ein solches Plugin gehört in jeden Blog. Außerdem muss unbedingt der Benutzer „admin“, der immernoch Standard ist, umbenannt werden. Und das geht wie folgt:
- Anmelden an der Datenbank über PHPMyAdmin (Zugangsinformationen beim Provider erfragen)
- Navigieren Sie dann bitte zur Tabelle „wp_users“
- In der Zeile „user_login“ finden Sie „admin“. Das ändern Sie bitte auf etwas anderes
- Und in „user_pass“ finden Sie das verschlüsselte Passwort. Dort geben Sie bitte das gewünschte Passwort ein und stellen in der Spalte „Function“ den Wert „MD5“ ein
- Dann sollten Sie noch den „user_nicename“ anpassen
- Fertig
Ab jetzt können Sie sich nur noch mit den neuen Daten am Blog anmelden.
Weitere Schutzmaßnahmen
Ich kann Ihnen nur dazu raten, regelmäßige Backups anzufertigen. Womit das geht, habe ich hier schon einmal ausgeführt. Sie sollten auch ernsthaft über solche Dinge wie Virenschutz und Spamabwehr nachdenken. Hierzu habe ich auch schon mindestens einmal geschrieben. Also würde ich wie folgt vorgehen:
- Backup von Datenbank und WordPress durchführen
- Admin gegebenenfalls umbenennen
- Login-Plugin einsetzen
- Antivirus, Security-Plugin und Antispam einsetzen
- Regelmäßige Backups einrichten
Wenn dann doch mal etwas ist, kann man durch Punkt 5 immer auf den zuletzt gesicherten Punkt zurückspringen. Ich weiß, dass das funktioniert. Und Sie sollten sich einfach mal die Informationen von Kaspersky durchlesen.
Ich hoffe, dass Ihnen diese Sachen weiterhelfen, um den WordPress Blog abzusichern.
Hi,
vielen Dank für die Info. Wir haben das Better WP Security Plugin im Einsatz, dass uns viel von der Arbeit abnimmt.
Ich kann es nur empfehlen.
Grüße
Ulrich Eckardt
Hallo Herr Eckardt,
danke für die Info. Um die Last auf meinem Blog zu verringern, ist „Better WP Security“ vielleicht gar nicht schlecht. Ich schau mir das Plugin mal an.