Wordpress : Administrator besser absichern
Auf einer WordPress-Seite, an der ich beteiligt bin, ist das Plugin „Limit Login Attempts” installiert. Das sperrt Zugriffe von IPs, wenn das Benutzerpasswort zu oft falsch eingegeben wurde. Seit ein paar Wochen bekomme ich ständig Benachrichtigungen über Sperrungen. Von IPs aus aller Welt wird versucht, das Passwort des Administrators zu erraten. Das war Anlass für mich, zu schauen, was man machen kann, um den Administrator besser abzusichern.
- Wer eine neue WordPress-Installation hat, sollte zunächst einen zweiten Benutzeraccount anlegen und den nur mit Redakteurs-Rechten ausstattet. Der sollte ein gutes, aber merkbares Passwort bekommen. Mit dem sollte man dann bloggen.
- Dann sollte man einen Account anlegen, der Admin wird. Und mit dem sollte man den alten Admin löschen (siehe). Natürlich ist das „Security by Obscurity” und keine echte Sicherheit. Die automatisierten Angriffe, die ich festgestellt habe, versuchen aber immer nur sich mit dem Benutzernamen „Admin” einzuloggen. Die hätten man alleine durch den neuen Benutzernamen abgewehrt.
- Den Admin-User sollte man mit einem wirklich guten Passwort schützen. Das Passwort kann man dann im Passwort-Manager speichern.
- Wer eine bestehende WordPress-Installation hat und bisher unter dem Admin-Account gebloggt hat, kann den Account nachträglich in der Datenbank umbenennen. Man sollte dann auch gleich einen neuen Admin-Account anlegen und dem eigenen Account nur noch Redakteurs-Rechte geben.
- Wer eine WordPress-Multiinstallation betreibt, muss dem neuen Admin dann auch die Super-Adminrechte per Datenbank zurückgeben – warum das über den Benutzernamen und nicht die ID geht, soll mir mal jemand erklären…
- Man sollte dann noch das Limit Login Attempts Plugin installieren, damit Skripte nicht so einfach alle möglichen Passwörter durchprobieren können.
Das alles schützt natürlich nicht vor richtigen Hacks, aber es schützt zumindest schon einmal die „Haustür” vernünftig vor Skripten, die einfach mal ausprobieren, ob das Passwort vielleicht zu einfach ist.
Kommentare
Warum hast Du die htaccess-Absicherung nicht erwähnt?
7. Januar 2013 um 18:08Den Ordner wp-admin und die wp-login.php via htaccess schützen: http://www.pressmin.de/wordpress-wpadmin-login-php-htaccess-schuetzen-1007.html
Dann ist Ruhe im Karton!
Danke für den Hinweis. Für Leute, die ihr Blog alleine betreiben, ist das sicher noch eine sehr gute Ergänzung.
7. Januar 2013 um 18:09Hallo Nachbar, gute Tipps hier!
7. Januar 2013 um 23:31Ich habe meinen WP admin mit duosecurity auf 2‑Faktor Authorisierung umgestellt:
https://www.duosecurity.com/docs/wordpress
Da muss ich den Login am Handy bestätigen. Nutze das bereits über ein Jahr und das funktioniert sehr gut – aber man macht sich auch von dem Dienst abhängig (kostenlos für einen account).
Für yubico gibts auch ein Plugin, die Dinger kann ich nur empfehlen!
http://www.yubico.com/applications/content-management-systems/wordpress/
Limit Login Attempts ist mittlerweile sinnfrei, weil die Angriffe mittlerweile verteilt kommen. Ist einer ausgesperrt, macht der Nächste an derselben Stelle weiter. Ein schwaches Passwort ist damit schnell geknackt. Was hilft, ist ausschließlich ein sicheres Passwort.
10. Januar 2013 um 0:25limit 0 für den geänderten admin, für redakteure limit 1, gutes PW und immer schön Backups machen !
6. März 2013 um 9:43dann klappts auch.
Hallo Steffen,
10. August 2015 um 16:19ich nutze auch das WordPress-Plugin, welches du hier erwähntest. Dann heisse ich schon mal nicht „admin” im Admin-Account und ansonsten werden natürlich tägliche FTP-Datenbank-Backups gemacht, für den Fall der Fälle, die mal so auftreten können.
Deine Kommentarfunktion hier ist sehr unbequem, da man nur eine Zeile Text sieht. Wäre das möglich, es anders zu gestalten, wie bei WordPress üblich ist?!