WordPress ist, wie andere Software auch, immer wieder gezielten Angriffen ausgesetzt. Grade jetzt, im April 2013, macht eine neue Angriffswelle von sich Reden. Dabei wird über ein Botnetz versucht, Zugang über das Standard Administratoren Konto, mit dem User-Namen „admin“ zu erhalten.
Dieses Konto, bzw. der Name wird bei der Installation vorgeschlagen, eingerichtet und in vielen Installationen einfach weiter verwendet – somit ist die erste Hürde für einen Angreifer schon einmal genommen – kennt er doch den Usernamen schon – in Verbindung mit einem zu einfach gewählten Passwort ist man im aktuellen Fall einer „Brute Force Attacke“ relativ schutzlos ausgeliefert.
Jeder Admin sollte versucht sein, möglichst viele Hindernisse zu konfigurieren, damit ein Angriff zeitaufwändig und somit möglicherweise „unattraktiv“ wird – und nicht einfach von Maschinen ausgeführt werden kann.
Wie man seine WordPress Installation schützen kann
1. Für die redaktionelle Arbeit kein Administratoren Konto verwenden
Wer von Anfang an unter einem Autorenkonto postet, veröffentlicht und kommentiert, der vermeidet, daß das Adminkonto nach Außen namentlich bekannt wird. Im Übrigen ist dieses Verhalten kein Novum.
Außerdem sollte man ungenutzte Accounts löschen.
Einstufung: dringend zu empfehlen
2. Das Benutzerkonto „admin“ gegen eines mit anderem Namen ersetzen
Bei bereits mit Inhalt gefüllten Instanzen würde ich im ersten Schritt eine Sicherung der Datenbank durchführen !
Im Anschluss wird im Adminbereich ein neuer Benutzer mit der Rolle „Administrator“ und einem nicht leicht zu erratenden Namen angelegt (und einem starken Passwort, siehe Tipp 3); im Anschluss ab- und mit dem neu angelegten Admin Benutzer wieder anmelden.
Ein Hinweis vor dem nächsten Schritt: Bereits vorhandene Beiträge können übernommen, bzw. einem anderen User (am besten einem Autor und keinem Admin, siehe unter Punkt 1.) zugeordnet werden. Nun löscht man den User „admin“ – bereits vorhandene Beiträge sollte man dabei übernehmen.
Alternativ sollte man schon bei der Installation (ab wp 3.0) darauf achten, den Namen des Admin Kontos zu ändern.
Einstufung: dringend zu empfehlen
3. Ein sicheres Passwort für das Backend verwenden
Gegen „Brute Force Attacken“ schützt ein halbwegs komplexes und nicht zu kurzes Passwort WordPress Tipps für sichere Passwörter
Und immer daran denken: Nimm nicht für jedes Onlinetool, jeden Account und Zugang die gleiche Kombination von Mailadresse, Benutzername und Passwort. Je mehr Variationen Du hast um so besser – ein gutes Passwortkonzept macht es auch nicht zu komplex.
Einstufung: alternativloses – absolutes Muss
4. Das Backend-Login per SSL (https://) absichern und aufrufen
Somit werden auch die Logindaten verschlüsselt übertragen. Und allen anderen Verlautbarungen zum Trotz: Auch der SSL Proxy Deines Hosters ist besser als gar kein SSL – besonders, wenn man WLAN nutzt und Skriptkiddies in der Nachbarschaft wohnen 😉
Nutzt man SSL muss man einen Eintrag in der wp-config.php ergänzen:
define(‚FORCE_SSL_ADMIN‘, true);
Einstufung: sinnvoll und wichtig, aber im Verhältnis teuer, wenn kein SSL Proxy geboten wird
Weiterlesen →
VN:F [1.9.22_1171]
Rating: 5.0/5 (12 votes cast)