Wordpress

Administrator besser absichern

Vorhängeschloss
Vorhängeschloss | Some rights reserved by oxfordian.world

Auf einer Word­Press-Sei­te, an der ich betei­ligt bin, ist das Plug­in „Limit Log­in Attempts“ instal­liert. Das sperrt Zugrif­fe von IPs, wenn das Benut­zer­pass­wort zu oft falsch ein­ge­ge­ben wur­de. Seit ein paar Wochen bekom­me ich stän­dig Benach­rich­ti­gun­gen über Sper­run­gen. Von IPs aus aller Welt wird ver­sucht, das Pass­wort des Admi­nis­tra­tors zu erra­ten. Das war Anlass für mich, zu schau­en, was man machen kann, um den Admi­nis­tra­tor bes­ser abzusichern.

  1. Wer eine neue Word­Press-Instal­la­ti­on hat, soll­te zunächst einen zwei­ten Benut­zer­ac­count anle­gen und den nur mit Redak­teurs-Rech­ten aus­stat­tet. Der soll­te ein gutes, aber merk­ba­res Pass­wort bekom­men. Mit dem soll­te man dann bloggen.
  2. Dann soll­te man einen Account anle­gen, der Admin wird. Und mit dem soll­te man den alten Admin löschen (sie­he). Natür­lich ist das „Secu­ri­ty by Obscu­ri­ty“ und kei­ne ech­te Sicher­heit. Die auto­ma­ti­sier­ten Angrif­fe, die ich fest­ge­stellt habe, ver­su­chen aber immer nur sich mit dem Benut­zer­na­men „Admin“ ein­zu­log­gen. Die hät­ten man allei­ne durch den neu­en Benut­zer­na­men abgewehrt.
  3. Den Admin-User soll­te man mit einem wirk­lich guten Pass­wort schüt­zen. Das Pass­wort kann man dann im Pass­wort-Mana­ger speichern.
  4. Wer eine bestehen­de Word­Press-Instal­la­ti­on hat und bis­her unter dem Admin-Account gebloggt hat, kann den Account nach­träg­lich in der Daten­bank umbe­nen­nen. Man soll­te dann auch gleich einen neu­en Admin-Account anle­gen und dem eige­nen Account nur noch Redak­teurs-Rech­te geben.
  5. Wer eine Word­Press-Mul­ti­in­stal­la­ti­on betreibt, muss dem neu­en Admin dann auch die Super-Admin­rech­te per Daten­bank zurück­ge­ben – war­um das über den Benut­zer­na­men und nicht die ID geht, soll mir mal jemand erklären…
  6. Man soll­te dann noch das Limit Log­in Attempts Plug­in instal­lie­ren, damit Skrip­te nicht so ein­fach alle mög­li­chen Pass­wör­ter durch­pro­bie­ren können.

Das alles schützt natür­lich nicht vor rich­ti­gen Hacks, aber es schützt zumin­dest schon ein­mal die „Haus­tür“ ver­nünf­tig vor Skrip­ten, die ein­fach mal aus­pro­bie­ren, ob das Pass­wort viel­leicht zu ein­fach ist.

Steffen Voß

Schlagwörter

, , ,

Ähnliches Thema

Beliebte Artikel


Neueste Artikel

Folge mir

Kommentare

  1. Avatar von Kai Breker
    Kai Breker

    War­um hast Du die htac­cess-Absi­che­rung nicht erwähnt?
    Den Ord­ner wp-admin und die wp-login.php via htac­cess schüt­zen: http://www.pressmin.de/wordpress-wpadmin-login-php-htaccess-schuetzen-1007.html
    Dann ist Ruhe im Karton!

  2. Avatar von Steffen Voß
    Steffen Voß

    Dan­ke für den Hin­weis. Für Leu­te, die ihr Blog allei­ne betrei­ben, ist das sicher noch eine sehr gute Ergänzung.

  3. Avatar von Lutz Griesbach
    Lutz Griesbach

    Hal­lo Nach­bar, gute Tipps hier!
    Ich habe mei­nen WP admin mit duo­se­cu­ri­ty auf 2‑Faktor Aut­ho­ri­sie­rung umgestellt:
    https://www.duosecurity.com/docs/wordpress
    Da muss ich den Log­in am Han­dy bestä­ti­gen. Nut­ze das bereits über ein Jahr und das funk­tio­niert sehr gut – aber man macht sich auch von dem Dienst abhän­gig (kos­ten­los für einen account).
    Für yubico gibts auch ein Plug­in, die Din­ger kann ich nur empfehlen!
    http://www.yubico.com/applications/content-management-systems/wordpress/

  4. Avatar von Alex
    Alex

    Limit Log­in Attempts ist mitt­ler­wei­le sinn­frei, weil die Angrif­fe mitt­ler­wei­le ver­teilt kom­men. Ist einer aus­ge­sperrt, macht der Nächs­te an der­sel­ben Stel­le wei­ter. Ein schwa­ches Pass­wort ist damit schnell geknackt. Was hilft, ist aus­schließ­lich ein siche­res Passwort.

  5. Avatar von weltenbummler
    weltenbummler

    limit 0 für den geän­der­ten admin, für redak­teu­re limit 1, gutes PW und immer schön Back­ups machen !
    dann klappts auch.

  6. Avatar von Alex L
    Alex L

    Hal­lo Steffen,
    ich nut­ze auch das Word­Press-Plug­in, wel­ches du hier erwähn­test. Dann heis­se ich schon mal nicht „admin“ im Admin-Account und ansons­ten wer­den natür­lich täg­li­che FTP-Daten­bank-Back­ups gemacht, für den Fall der Fäl­le, die mal so auf­tre­ten können.
    Dei­ne Kom­men­tar­funk­ti­on hier ist sehr unbe­quem, da man nur eine Zei­le Text sieht. Wäre das mög­lich, es anders zu gestal­ten, wie bei Word­Press üblich ist?!

  7. Mein Kommentier Sonntag am 09.08.2015

    […] Blog von Stef­fen sei­tens Kaffeeringe.de mit dem Arti­kel Admi­nis­tra­tor bes­ser absichern […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert