Das ist unfassbar: Da installiert man ein Sicherheitsplugin im Blog und hat dann extra keine sichere Webseite. Danke für nichts. Ich werde mir etwas neues überlegen, wie ich meinen Blog absichern kann. Und ich habe schon eine Idee. Aber erstmal muss ich mich aufregen, während nebenbei ein Backup läuft.
Vor einem knappen Monat hatte ich eine heftige Brute Force Attacke auf die Pingback-Schnittstelle xmlrpc.php. Ich habe daraufhin den Zugriff auf diese unterbunden. Was seitdem nicht mehr möglich ist: Webseiten, die auf mich verlinken und auf WordPress aufbauen, werden nicht mehr als Link unter dem Artikel (Pingback) dargestellt. Das ärgerte mich, denn ich finde das unfair. Also musste ich mir etwas einfallen lassen.
Ich habe immer wieder gesucht. Es muss doch einen Ausweg geben, einerseits die Pingbacks zu realisieren und andererseits auf den Schutz der Schnittstelle zu achten. Letztendlich wurde ich auf ein Plugin aufmerksam gemacht, das mich komplett umdenken ließ. Nein, das Plugin ist – beim kurzen Überfliegen – nicht unbedingt ein neu erfundenes Rad. Aber es brachte mich auf die Idee, auf mein Sicherheitsplugin „iThemes Security“ einzugehen.
Das sichert ja alles mögliche ab. Und das macht den Blog so sicher, dass man sich als Admin schnell selbst aussperren kann, wenn man nicht aufpasst. Jedenfalls hatte ich immer gedacht, dass das wohl eine gute Lösung sei. Aber es verbrauchte immer erstaunlich viel Speicher. Und in letzter Zeit häufen sich die Meldungen, dass es nicht mehr so toll arbeitet, wie man es gewohnt war, als es noch „Better WP Security“ hieß.
Und dann stieß ich auf einen Artikel aus dem August diesen Jahres. Da wurde iThemes selbst gehackt. Nun ja, es wurden Passwörter entwendet und im Klartext zugänglich gemacht. Alles gut und schön. Und was hat das mit dem Pingback zu tun? Nichts, direkt. Aber wer weiß, vielleicht ist ja die Sicherheit von WordPress-Blogs, die mit iThemes abgesichert sind, insgesamt gefährdet? Wer weiß, ob da nicht doch irgendwas eingeschleust werden konnte?
Ja, die iThemes-Leute haben das Alles wunderbar gelöst. Für ihre Dinge. Aber was ist mit den Nutzern? War da ebenfalls eine Lösung greifbar? Wer weiß das schon? Also habe ich mich umgesehen und festgestellt, dass in den meisten Fällen die Brute Force Attacken auf das Backend von WordPress und auf die Pingback-Schnittstelle ganz einfach durch ein Plugin wie eben jenes als erstes verlinkte „Login Security Solution“ gut genug ist. Dann könnte ich eben auch meine Schnittstelle wieder öffnen. Aber vorher muss ich iThemes loswerden, denn die beiden Plugins vertragen sich nicht untereinander.
Alles in allem muss ich sagen, dass ich da derzeit ein wenig von den Socken bin. Ich werde mir das reiflich überlegen, ob ich die Sicherheit auf ein einziges Plugin ruhen lasse. Aber wenn, dann wird es wohl iThemes nicht sein. Und falls jemand fragt: WordFence auch nicht, nachdem da mein Blog immer mit irgendeiner Cloud funkt. Das ist mir irgendwie nichts. Da muss ich mir etwas anderes einfallen lassen.
Habe eben deinen Beitrag nur überflogen und bin immer noch bei Wordfence, weil es einfach Besser ist als andere und Sicherheitslücken werden innerhalb von einem Tag geschlossen!
jap. Wordfence. Und Limit Login Attempts.
@ Thomas
Unqualifiziert! In Wordfence ist Limit Login Attempts bereits drin! ;-)
Wordfence schön und gut. Abr mir wurde von Seiten des Hosters erzählt, dass das pausenlos online scannt und deshalb für Shared Hosting ungeeignet wäre.
Es scannt einmal am Tag! ;-)
Lese mal meinen neusten Beitrag, habe ich paar Gedanken rein geschrieben und eben noch einen Nachtrag gemacht! Ein Kommentar von dir wäre dort gut!
Ja, gelesen habe ich den schon. Man müsste das eben mal Anbietern von Shared Hosting unter die Nase reiben, dass das alles gar nicht so schlimm ist. Wordfence kenne ich ja, ich hatte das lange im Einsatz. Mal sehen, ob ich da Überzeugungsarbeit leisten kann.