Thema WordPress, Thema Sicherheit …

Jeder, der auf WordPress setzt und halbwegs am Thema interessiert ist, weiß um die im Verlauf dieses Jahres extrem forcierten Angriffe auf das System. Es handelt sich hier zumeist um sogenannte BruteForce-Attacken gegen das Administrations-Panel – wobei die Angreifer versuchen, sich mit dem Standard-Benutzer „admin“ einzuloggen. Bei Erfolg wird im Backend eine Backdoor eingerichtet, über die weitere WordPress Blogs attackiert werden. Ziel ist der Aufbau eines Botnetzes – schon klar.

Was kann ich tun?

Die erste, notwendige Maßnahme zum Zwecke der Sicherheit sollte neben einem sicheren Passwort die Anlage eines neuen Benutzers mit anderem Namen sein, um alsdann den Standard „admin“ zu löschen.

Zum Zweiten empfehle ich die Installation des populären Plugins Limit Login Attempts, über welches die Zahl der Anmeldeversuche festgelegt werden kann. Zudem dokumentiert es in einem Protokoll die durchgeführten Anmeldeversuche und erfolgten Sperrungen. Über diese auch für dieses kleine Weblog beeindruckend lange Liste lässt sich schnell erkennen, dass in der Vielzahl der Fälle tatsächlich versucht wird, über den oben erwähnten „admin“ Zugang zu erhalten (es folgen der Seiten-Titel und „administrator“).

Und damit komme ich zur dritten Empfehlung – um endlich auf den Punkt zu kommen und etwas Neues zu sagen. Das noch relativ neue, kongeniale Plugin Rename wp-login.php erlaubt euch die Umbenennung der Login-Seite eurer Installation. Von Hause aus ist diese unter … /wp-login.php zu erreichen – nach der Aktivierung des Plugins erreicht ihr sie über den Pfad eurer Wahl. Der neuerliche Aufruf der Standard-Login Seite wird nun mit dem Fehler 404 Not Found belohnt. So simpel wie effektiv!*

In Summe halte ich diese drei Maßnahmen für ausreichend. Bei weitergehendem Interesse empfehle ich einen Blick auf Wordfence Security – ein opulentes Tool mit zusätzlichen Funktionen.

(* schöner Tipp via)