WordPress vor Angriffe schützen

Aufrufe: 13

Ursprünglich veröffentlicht am 04.09.2019

Hallo allerseits. Heute Morgen wollte ich wie jeden Morgen, mich in meinen Blog einloggen und schauen was die Google-Analytics Statistik sagt. Aber zu meiner großen Überraschung erschien nur eine Seite, die mir in englisch mitteilte, dass der Blog derzeit nicht erreichbar ist. Darauf hin habe ich mich bei meinem Webspaceanbieter eingeloggt und dort geschaut, was los ist. Es war ziemlich viel los. In der Nacht gab es 271 Angriffe auf meinen Blog. Prima, kaum Besucher, aber massenweise Hacks. Hier musste etwas getan werden.

Was kann ich tun um den Blog zu sicher zu machen?

SSL

An erster Stelle steht natürlich ein SSL-Zertifikat. Dieses war bei meinem Webspacepaket gleich inklusive und wird für diesen Blog genutzt. Die Verwendung von SSL ist an https:// an Stelle von http:// und dem grünen Schloss in der Firefox-URL-Zeile erkennbar.

Anderer Login-Name

An Zweiter Stelle steht ein Login-Name der mit dem Autornamen nichts gemein hat. Mein Loginname hat beispielsweise nichts mit meinem Autornamen “Stefan” zu tun. Bei meinem Loginnamen handelt es sich um einen Fantasienamen.

komplexes Passwort

Das Passwort sollte möglichst nicht aus gebräuchlichen Wörtern bestehen und viele verschiedene Zeichen beinhalten. WordPress bietet zum Beispiel in der Nutzerverwaltung die Möglichkeit ein Passwort zu generieren. Hier wird ein Passwort generiert, welches große und kleine Buchstaben, Zahlen und Zeichen beinhaltet. Also genau das, was immer empfohlen wird. Und dieses Passwort sollte in regelmäßigen Intervallen gewechselt werden.

Anmeldeversuche begrenzen

Beim Onlinebanking ist es Gang und Gebe, dass man 3 Login-Versuche hat. Ist auch beim dritten Versuch das Passwort falsch, wird der Zugang gesperrt. Leider ist dem bei WordPress von Haus aus nicht so. Hier hat man unzählige Versuche frei, es tritt keine Sperre in Kraft. Auch nach dem 100.000sten Fehlversuch nicht. Das machen sich Bots zu Nutze und probieren unermüdlich unzählige Nutzername-Passwort Kombinationen durch. Haben sie Erfolg, hat jemand anderes Zugriff auf den Blog und kann damit nun machen, was er möchte. Er kann auf dem Blog Werbung für dubiose Produkte machen, mittels mieser Beiträge Euren Ruf durch den Dreck ziehen, oder den Blog einfach löschen.

Aber man kann auch hier durch Plugins nach helfen und die Anmeldeversuche begrenzen. Ich habe mir das Plugin “Limit Login Attemps” installiert. Hier kann nicht nur die Zahl der Fehlversuche auf einen beliebigen Wert begrenzt werden, auch gibt es die Möglichkeit einer Blacklist und einer Whitelist, sowohl für IP-Adressen, als auch für Login-Namen. Jeder der nicht auf der Whitelist steht, kann sich erst garnicht anmelden.

Das sieht dann so aus:

ZweiFaktor-Identifikation

Auch hier habe ich zugelangt. Es gibt die App “Google Authenticator” fürs Smartphone und “MiniOrange 2-Factor” für WordPress. Weiterhin wird nur ein Google-Konto benötigt, welches jeder Android-Nutzer ohnehin haben sollte. Über einen QR-Code, welcher von MiniOrange generiert und vom Handy eingescannt wird, synchronisieren sich die beiden. Meldet man sich nun erneut bei WordPress an, so wird erst wie gewohnt Benutzername und Passwort abgefragt. Danach folgt aber die Aufforderung zur Eingabe des Codes welche “Google Authenticator” (benötigt eine aktive Datenverbindung) gerade anzeigt. Dieser Code wird alle 30 Sekunden geändert.

Und das sieht dann so aus:

Erst wenn auch dieser Code stimmt, wird man in den Administrationsbereich von WordPress gelassen.

Tipp: Die 2-Faktor-Identifikation sollte nicht allein auf WordPress beschränkt bleiben. Viele Maildienste, wie auch GMX bieten sie an. Wer ohnehin immer sein Smartphone in Reichweite hat, sollte sie nutzen. Macht zwar etwas Aufwand, aber sollten Benutzername und Passwort bei einer Hack-Attacke mal ausgespäht werden, hat der Angreifer noch immer keinen Zugriff auf die Mails.

Weitere Blogs zum Thema

In diesem Blog werden weitere Tipps wie das Ändern der Login-PHP-Datei und Verzeichnisschutz genannt. Möglichkeiten, die ich auch noch umsetzen werde.

Nun denn, hoffen wir, dass Euer wie mein Blog nie gehackt werden 😉 .

Nachtrag 09.10.2019

Gestern Abend, in der Zeit von 20:52 Uhr bis 22:52 Uhr hat sich irgendwer die Mühe gemacht und 41 mal versucht als Admin in diesen Blog einzuloggen. Natürlich hat es nicht geklappt. Der Jenige hat es mit dem Nutzernamen “admin” versucht. Solche Login-Namen verwende ich natürlich nicht. Da steckt schon etwas mehr Mühe drin. Zudem sind die Anmeldeversuche begrenzt. Erfolgen zu viele fehlgechlagene Loginversuche, wird die IP-Adresse gesperrt. Auch verwendet dieser Blog die 2-Faktor-Identifikation. Sollten also korrekte Nutzernamen und Passwort gefunden werden, so ist immer noch der richtige Code anzugeben, welche die 2-Faktor-App von Google alle 30 Sekunden ändert. Schon interessant, wie sich manche Leute abmühen, in der Hoffnung irgendwelche Logins zu knacken.

Werbung: