Tobias Heuken – privater Blog & Heuken Webservice Rinkerode
Spruch des Moments

WordPress-Sicherheit: keinen admin-User und sichere Passwörter und Sicherheitsplugins sind Pflicht

WordPress Sicherheit

WordPress Sicherheit

Seit einigen Tagen wird eine Kundenwebseite von mir massiv angegriffen: irgendein Netzwerk aus Russland und der Ukraine versucht, in das WordPress-Admin zu gelangen.

Ich sehe dem entspannt, sehr entspannt entgegen … denn:

  1. Man versucht mit dem Benutzernamen “admin” in das System zu kommen … den es dort jedoch nicht gibt
  2. es sind mindestens drei (!) PlugIns installiert, die eine IP bei häufigen Fehlversuchen auf eine Blacklist setzt
  3. Sollte der Angreifer in Admin kommen und Schadcode im Quelltext hinterlassen, wird durch ein viertes Sicherheitsplugin dies sofort erkannt

Da diese Vorkehrungen bei mir Standard sind, habe ich keine Sorgen und sehe dem gelassen entgegen. Zudem stehen Benutzerpasswörter eh in keinem Wörterbuch … Fazit Brutforce-Attacken bringt da wenig.

 

Welchen Schutz setze ich standardmäßig ein?

Folgende PlugIns kommen zum Einsatz:

Auch wenn die beiden bzw. drei erst genannten PlugIns fast die gleichen Aufgaben übernehmen, so arbeiten sie jedoch sehr gut zusammen und bisher ist bei mir noch jeder Angriff somit abgewehrt worden … und Angreifer wurden wochenlang über die IP blockiert. Auch wenn ein Angreifer sich binnen Sekunden eine neue IP besorgen kann (Internetverbindung trennen und neu verbinden), so wird bei erfolglosen Angriffen auch diese IP gesperrt.

 

htaccess-Schutz

Bei ganz hartnäckigen Kandidaten schiebe ich vor das WordPress-Admin noch einen htaccess-Schutz. Für solche Fälle hat Programmierer Sven Ratzlaff unter svera-tools.de sein Programm HTGen zum Download bereit gestellt.

Shortlink:

Eine Antwort auf WordPress-Sicherheit: keinen admin-User und sichere Passwörter und Sicherheitsplugins sind Pflicht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Countdown ...
weeks
2
4
days
0
0
hours
1
1
minutes
0
2
seconds
1
0
News per eMail
Name
Email *
Twitter
Spruch des Moments …
PGP-Schlüssel

Hier kannst Du meine öffentliche PGP-Schlüssel herunterladen

Weitere Infos zu diesem Thema bei Wikipedia


PGP - öffentliche Schlüssel

News-Archiv