WordPress unter Attacke – was tun?

In diesen Tagen erhalte ich von Kunden und bisherigen Kursteilnehmern viele Anfragen, weil sie festgestellt haben, dass WordPress in den Medien ein Thema geworden ist. Es handelt sich um Bruteforce-Attacken, wo es darum geht, den Admin-Zugang zu knacken.

Viele haben Angst, dass sie mit WordPress die falsche Wahl getroffen haben. Hier möchte ich etwas die Angst nehmen, indem ich zeige, wie man mit wenig Aufwand die Sicherheit enorm erhöhen kann.

2-Min-Eingriff gegen WordPress-Angriffe

Wer jetzt nicht viel Zeit zum Lesen hat, checkt bitte mal diese 2 Punkte ab:

  1. Nicht admin oder Admin als Benutzernamen verwenden! (wie macht man das?)
  2. Ein sicheres Passwort wählen: min. 8 Zeichen, Sonderzeichen, Gross- und Kleinbuchstaben, Zahlen, …

Das reicht gemäss dem “Frontman” von WordPress Matt Mullenweg für 99% der Fälle.

15-Min-Eingriff gegen WordPress-Angriffe

Wer etwas mehr Zeit hat (wir reden hier nicht von Stunden!), kann mit einem Security-Plugin einiges im Bereich Sicherheit erreichen. Ein gutes Plugin ist WP Better Security. Da hat man wie eine Checkliste, in der man sieht, wie sicher die eigene Website ist.

Das Plugin kümmert sich um viele Sicherheitstricks für WordPress, die sonst manuell gemacht werden sollen. Einige dieser Sicherheits-Eingriffe:

  • Sichere Passwörter von allen Benutzern verlangen
  • Kein Benutzerkonto mit dem Namen admin
  • WordPress-Adminbereich verstecken
  • Datenbank-Tabellenpräfix nicht wp_
  • Zeitverzögerung bei missglückten Login-Versuchen
  • Blacklists
  • Sperrzeiten für Logins einrichten
  • WordPress-Version nicht bekannt geben
  • u.v.m.

Alle diese Eingriffe selber vornehmen braucht ziemlich viel Zeit, besonders wenn man viele Websites hat. Deshalb empfehle ich das Plugin. Dazu bekommt man nämlich auch eine farblich unterstützte Übersicht über den Sicherheitsstatus mit direkten Links um die Fehler sofort selber zu beheben:

systemstatus

 

Man muss kein IT-Security-Guru sein, um dieses Plugin aufsetzen zu können!

 

Linktipps:

Arto Steiner

5 Kommentare

  1. Veröffentlich von Stefan M. am Dienstag, 16. April 2013 um 14:04

    Auch ein gutes Plugin ist Login Lockdown.

    Nach 3 Fehlversuchen wird man standardmässig für 1 Stunde ausgesperrt.
    ABER: Es teilt einem nicht mit, dass man ausgesperrt ist. Es kommen dann einfach auch beim richtigen Passwort ein Fehler und das Login geht nicht.

    So hat man Bruteforce eine wichtige Türe zugemacht.
    Vorteilhaft beim Plugin den Hinweis noch deaktivieren das Login Lockdown aktiv ist 😉

    • Veröffentlich von Arto Steiner am Dienstag, 16. April 2013 um 14:14

      Danke für den Tipp, Stefan. Ich sehe es gibt ein Plugin “LoginLockdown” und ein anderes, neueres “Simple Login Lockdown”. Werde diese mal testen.

      Bei “WP Security” gibt es einen ganzen Reiter zu “Login”, wo ich solche Zeiten auch eingeben kann. Das schöne an “WP Security” ist, dass ich so vieles in einem Plugin habe und nicht für jeden Schutz ein eigenes Plugin brauche.

  2. Veröffentlich von Viktor am Mittwoch, 17. April 2013 um 08:39

    Danke für den Tipp. Bei einer meiner WordPress-Sites hatte ich tatsächlich noch Admin als Admin!

    Vielleicht müsstest Du für den Nicht-Experten präzisieren:
    – Registriere zuerst einen weiteren Benutzer mit Admin-Rechten und ein starkes Passwort
    – melde Dich mit Admin ab und melde Dich mit dem neuen Admin-Benutzer an
    – unbedingt den alten Admin-Admin löschen!

    • Veröffentlich von Arto Steiner am Donnerstag, 18. April 2013 um 14:34

      Danke für den Hinweis. Ich habe den Artikel nun mit deinem Kommentar mit der Erklärung verlinkt.

  3. Veröffentlich von Lukas Blatter am Dienstag, 21. Mai 2013 um 05:47

    Folgender Blog Beitrag erklärt das eine oder andere einiges ausführlicher:
    http://www.kuketz-blog.de/security-plugins-wordpress-absichern-teil3/

Hinterlassen Sie einen Kommentar