Die Popularität von WordPress hat auch seine Nachteile: die Bekanntheit lockt immer wieder «dubiose Gestalten» an. Hacker, die versuchen, in Dein Blog einzudringen und im Backend Dinge anzustellen, die Du selbst ganz bestimmt nie tun würdest.
Es gibt verschiedene Wege, sich davor zu schützen. Ich habe mich bei Blogs und Websites unter meinen «Fittichen» (eigene Blogs wie den JobBlog oder diesen Blog hier, die Websites von Dominique Gisin und Janick Schalch usw.) für diesen dreistufigen Schutz entschieden:
- Stufe 1: Die Hacker versuchen den Zutritt primär über den Standard-Administrator «admin». Deshalb solltest Du bereits bei der Neuinstallation einen anderen Admin-Benutzername vergeben. Für bestehende Blogs/Websites findest Du hier eine gute Beschreibung von zwei Verfahren, den Benutzer umzubenennen.
- Stufe 2: Hacker versuchen den Angriff in der Regel nicht durch Versuche «mit der Hand am Arm», sondern setzen Scripts ein, die endlos verschiedene Benutzer-Passwort-Kombinationen ausprobieren. Diese Scripts kannst Du ins Leere laufen lassen, indem Du die IP-Adresse (temporär) sperrst, von der der Angriff ausgeht. Sehr gute Erfahrungen habe ich mit dem «Limit Login Attempts» Plugin gemacht. Das Plugin habe ich so konfiguriert, dass ich jeweils per E-Mail über Versuche und Sperrungen informiert werde.
- Stufe 3: Die IP-Adressen von Hackern, die vom obigen Plugin gleich mehrfach gesperrt wurden, schliesse ich grundsätzlich vom Zugriff auf die ganze Website aus. Ich verwende dazu das Plugin «IP Filter» und trage in dessen Einstellungen dort die betreffenden IP-Adressen ein.
Diese dreistufige Abwehr ist ganz offensichtlich sicher: noch nie hatte ich einen unberechtigten Zugriff auf eine der von mir betreuten Blogs und Websites.
P.S. In vielen Foren wird als weitere Massnahme empfohlen, den Standardprefix der WordPress-Datenbank von «wp_» umzubenennen. Aus der eigenen Erfahrung empfehle ich diese Schutzmassnahme nur mit Vorsicht: bei meinen Sites gab es einige (unsauber programmierte) Plugins, die ohne «wp_» nicht mehr funktionierten.
Bisher wurde mein Blog meistens verschont – aber die Massnahmen trotzdem einzusetzen ist definitiv nicht falsch!
Danke für die Tipps!
Wenn vom Server her möglich (Berechtigung) wäre das verschieben der wp-config.php Datei in ein höheres Verzeichnis auch noch sehr effektiv, da dort ja relativ heikle Dateien stehen ;-)
(WordPress sucht automatisch bei nicht finden im installationsverzeichnis eine ebene höher.
Sowie den befehl:
add_filter(‚login_errors‘,create_function(‚$a‘, „return null;“));
In der Funktions.php Datei hinterlegen damit beim Login nicht mehr alles offen gelegt wird (heißt bei der Eingabe eines richtige User namens kommt dann nicht mehr die Meldung, dass es das falsche Passwort für den vorhandenen User ist, sondern nur noch ein leeres Fehlermeldung)
So als Ergänzung zum „loging temp Plugin“.
Zwischen Weihnachten und Neujahr hatte ich das Vergnügen von der 28C3 heimgesucht zu werden. Dabei habe ich einiges gelernt was alles zu beachten ist…
Punkt 1 hatte ich schon lange und 2 habe ich nun neu eingerichtet. Deine „PS“-Bemerkung funktioniert bei mir einwandfrei ;)
Das Plug-In Ultimate Security Checker hilft auch seine Blogeinstellungen zu optimieren ;)
Ich Kann mich Klaeui anschliessen, der USC hilft da sehr beim finden von Fehlern. Spontan ist bei dir zB noch die Readme online (man kann sehen welche WP-Version dein Blog hat), auch die Install ist noch da ;)
Danke für den Tipp zum Plugin zu 2.
Marcel, eine Frage zu 3.
Setzt du da voraus, das die Angreifer eine feste IP haben?
Meist werden doch IPs innerhalb 24 Stunden neu vergeben
Martin, das mit dem höheren Verzeichnis hat zumindest bei mir nicht funktioniert. WP meckerte da eine fehlende Konfigurationsdatei an.
Abo dieser Kommentare ist wohl vorübergehend deaktiviert?
Ich sehe nur einen Unterstrich: __
@ Frank
Im «Normalsetup» bleiben IP-Adressen (meines Wissens) unverändert. Ich bin mir aber bewusst, dass jene, die eine Website angreifen wollen, Scripts einsetzen, um die IP-Adresse fortlaufend zu ändern. Nichts desto trotz: der Eintrag von IP-Adressen ist besser als gar keine IP-Schutz (zumal das Plugin auch zulässt, dass IP-Ranges wie 12.345* gesperrt werden können).
Danke für den Hinweis zur fehlenden Checkbox bei den Kommentarabos (typisch «Spielwiese») – ich werde mich so bald als möglich drum kümmern.
Plugins sind installiert und ich fühle mich ein bisschen sicherer. Vielen Dank für den Tipp!
Ich würd das Präfix auf alle Fälle ändern!!
Welche Plugins erlauben denn das nicht? Würd mich echt interressieren!
Es war ein Gallery-Plugin, das aber mittlerweile nicht mehr im Einsatz ist.