Steffen Voß - Technologie & Gesellschaft

Auf einer WordPress-​Seite, an der ich beteiligt bin, ist das Plugin „Limit Login Attempts” installiert. Das sperrt Zugriffe von IPs, wenn das Benutzerpasswort zu oft falsch eingegeben wurde. Seit ein paar Wochen bekomme ich ständig Benachrichtigungen über Sperrungen. Von IPs aus aller Welt wird versucht, das Passwort des Administrators zu erraten. Das war Anlass für mich, zu schauen, was man machen kann, um den Administrator besser abzusichern.

1. Wer eine neue WordPress-​Installation hat, sollte zunächst einen zweiten Benutzeraccount anlegen und den nur mit Redakteurs-​Rechten ausstattet. Der sollte ein gutes, aber merkbares Passwort bekommen. Mit dem sollte man dann bloggen.
2. Dann sollte man einen Account anlegen, der Admin wird. Und mit dem sollte man den alten Admin löschen (siehe). Natürlich ist das „Security by Obscurity” und keine echte Sicherheit. Die automatisierten Angriffe, die ich festgestellt habe, versuchen aber immer nur sich mit dem Benutzernamen „Admin” einzuloggen. Die hätten man alleine durch den neuen Benutzernamen abgewehrt.
3. Den Admin-​User sollte man mit einem wirklich guten Passwort schützen. Das Passwort kann man dann im Passwort-​Manager speichern.
4. Wer eine bestehende WordPress-​Installation hat und bisher unter dem Admin-​Account gebloggt hat, kann den Account nachträglich in der Datenbank umbenennen. Man sollte dann auch gleich einen neuen Admin-​Account anlegen und dem eigenen Account nur noch Redakteurs-​Rechte geben.
5. Wer eine WordPress-​Multiinstallation betreibt, muss dem neuen Admin dann auch die Super-​Adminrechte per Datenbank zurückgeben – warum das über den Benutzernamen und nicht die ID geht, soll mir mal jemand erklären…
6. Man sollte dann noch das Limit Login Attempts Plugin installieren, damit Skripte nicht so einfach alle möglichen Passwörter durchprobieren können.

Das alles schützt natürlich nicht vor richtigen Hacks, aber es schützt zumindest schon einmal die „Haustür” vernünftig vor Skripten, die einfach mal ausprobieren, ob das Passwort vielleicht zu einfach ist.