kaffeeringe.de

Wordpress: Administrator besser absichern

Vorhängeschloss
Vorhängeschloss | Some rights reserved by oxfordian.world

Auf einer WordPress-Seite, an der ich beteiligt bin, ist das Plugin „Limit Login Attempts“ installiert. Das sperrt Zugriffe von IPs, wenn das Benutzerpasswort zu oft falsch eingegeben wurde. Seit ein paar Wochen bekomme ich ständig Benachrichtigungen über Sperrungen. Von IPs aus aller Welt wird versucht, das Passwort des Administrators zu erraten. Das war Anlass für mich, zu schauen, was man machen kann, um den Administrator besser abzusichern.

  1. Wer eine neue WordPress-Installation hat, sollte zunächst einen zweiten Benutzeraccount anlegen und den nur mit Redakteurs-Rechten ausstattet. Der sollte ein gutes, aber merkbares Passwort bekommen. Mit dem sollte man dann bloggen.
  2. Dann sollte man einen Account anlegen, der Admin wird. Und mit dem sollte man den alten Admin löschen (siehe). Natürlich ist das „Security by Obscurity“ und keine echte Sicherheit. Die automatisierten Angriffe, die ich festgestellt habe, versuchen aber immer nur sich mit dem Benutzernamen „Admin“ einzuloggen. Die hätten man alleine durch den neuen Benutzernamen abgewehrt.
  3. Den Admin-User sollte man mit einem wirklich guten Passwort schützen. Das Passwort kann man dann im Passwort-Manager speichern.
  4. Wer eine bestehende WordPress-Installation hat und bisher unter dem Admin-Account gebloggt hat, kann den Account nachträglich in der Datenbank umbenennen. Man sollte dann auch gleich einen neuen Admin-Account anlegen und dem eigenen Account nur noch Redakteurs-Rechte geben.
  5. Wer eine WordPress-Multiinstallation betreibt, muss dem neuen Admin dann auch die Super-Adminrechte per Datenbank zurückgeben – warum das über den Benutzernamen und nicht die ID geht, soll mir mal jemand erklären…
  6. Man sollte dann noch das Limit Login Attempts Plugin installieren, damit Skripte nicht so einfach alle möglichen Passwörter durchprobieren können.

Das alles schützt natürlich nicht vor richtigen Hacks, aber es schützt zumindest schon einmal die „Haustür“ vernünftig vor Skripten, die einfach mal ausprobieren, ob das Passwort vielleicht zu einfach ist.

Pingbacks

  1. Mein Kommentier Sonntag am 09.08.2015

Kommentare

Kai Breker

Warum hast Du die htaccess-Absicherung nicht er­wähnt?

Den Ordner wp-admin und die wp-login.php via htac­cess schüt­zen: http://www.pressmin.de/wordpress-wpadmin-login-php-htaccess-schuetzen-1007.html

Dann ist Ruhe im Karton!

Steffen Voß

Danke für den Hinweis. Für Leute, die ihr Blog al­lei­ne be­trei­ben, ist das si­cher no­ch ei­ne sehr gu­te Ergänzung.

Lutz Griesbach

Hallo Nachbar, gu­te Tipps hier!

Ich ha­be mei­nen WP ad­min mit duo­se­cu­ri­ty auf 2-Faktor Authorisierung um­ge­stellt:
https://www.duosecurity.com/docs/wordpress

Da muss ich den Login am Handy be­stä­ti­gen. Nutze das be­reits über ein Jahr und das funk­tio­niert sehr gut – aber man macht si­ch auch von dem Dienst ab­hän­gig (kos­ten­los für ei­nen ac­count).

Für yu­bi­co gibts auch ein Plugin, die Dinger kann ich nur emp­feh­len!

http://www.yubico.com/applications/content-management-systems/wordpress/

Alex

Limit Login Attempts ist mitt­ler­wei­le sinn­frei, weil die Angriffe mitt­ler­wei­le ver­teilt kom­men. Ist ei­ner aus­ge­sperrt, macht der Nächste an der­sel­ben Stelle wei­ter. Ein schwa­ches Passwort ist da­mit schnell ge­knackt. Was hilft, ist aus­schließ­li­ch ein si­che­res Passwort.

weltenbummler

li­mit 0 für den ge­än­der­ten ad­min, für re­dak­teu­re li­mit 1, gu­tes PW und im­mer schön Backups ma­chen !
dann klappts auch.

Alex L

Hallo Steffen,
ich nut­ze auch das WordPress-Plugin, wel­ches du hier er­wähn­test. Dann heis­se ich schon mal nicht „ad­min“ im Admin-Account und an­sons­ten wer­den na­tür­li­ch täg­li­che FTP-Datenbank-Backups ge­macht, für den Fall der Fälle, die mal so auf­tre­ten kön­nen.

Deine Kommentarfunktion hier ist sehr un­be­quem, da man nur ei­ne Zeile Text sieht. Wäre das mög­li­ch, es an­ders zu ge­stal­ten, wie bei WordPress üb­li­ch ist?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?