kaffeeringe.de

Wordpress: Administrator besser absichern

Vorhängeschloss
Vorhängeschloss | Some rights reserved by oxfordian.world

Auf einer WordPress-Seite, an der ich beteiligt bin, ist das Plugin „Limit Login Attempts“ installiert. Das sperrt Zugriffe von IPs, wenn das Benutzerpasswort zu oft falsch eingegeben wurde. Seit ein paar Wochen bekomme ich ständig Benachrichtigungen über Sperrungen. Von IPs aus aller Welt wird versucht, das Passwort des Administrators zu erraten. Das war Anlass für mich, zu schauen, was man machen kann, um den Administrator besser abzusichern.

  1. Wer eine neue WordPress-Installation hat, sollte zunächst einen zweiten Benutzeraccount anlegen und den nur mit Redakteurs-Rechten ausstattet. Der sollte ein gutes, aber merkbares Passwort bekommen. Mit dem sollte man dann bloggen.
  2. Dann sollte man einen Account anlegen, der Admin wird. Und mit dem sollte man den alten Admin löschen (siehe). Natürlich ist das „Security by Obscurity“ und keine echte Sicherheit. Die automatisierten Angriffe, die ich festgestellt habe, versuchen aber immer nur sich mit dem Benutzernamen „Admin“ einzuloggen. Die hätten man alleine durch den neuen Benutzernamen abgewehrt.
  3. Den Admin-User sollte man mit einem wirklich guten Passwort schützen. Das Passwort kann man dann im Passwort-Manager speichern.
  4. Wer eine bestehende WordPress-Installation hat und bisher unter dem Admin-Account gebloggt hat, kann den Account nachträglich in der Datenbank umbenennen. Man sollte dann auch gleich einen neuen Admin-Account anlegen und dem eigenen Account nur noch Redakteurs-Rechte geben.
  5. Wer eine WordPress-Multiinstallation betreibt, muss dem neuen Admin dann auch die Super-Adminrechte per Datenbank zurückgeben – warum das über den Benutzernamen und nicht die ID geht, soll mir mal jemand erklären…
  6. Man sollte dann noch das Limit Login Attempts Plugin installieren, damit Skripte nicht so einfach alle möglichen Passwörter durchprobieren können.

Das alles schützt natürlich nicht vor richtigen Hacks, aber es schützt zumindest schon einmal die „Haustür“ vernünftig vor Skripten, die einfach mal ausprobieren, ob das Passwort vielleicht zu einfach ist.

Pingbacks

  1. Mein Kommentier Sonntag am 09.08.2015

Kommentare

Kai Breker

Warum hast Du die htaccess-Absicherung nicht erwähnt?

Den Ordner wp-admin und die wp-login.php via htaccess schützen: http://www.pressmin.de/wordpress-wpadmin-login-php-htaccess-schuetzen-1007.html

Dann ist Ruhe im Karton!

Steffen Voß

Danke für den Hinweis. Für Leute, die ihr Blog alleine betreiben, ist das sicher noch eine sehr gute Ergänzung.

Lutz Griesbach

Hallo Nachbar, gute Tipps hier!

Ich habe meinen WP admin mit duosecurity auf 2-Faktor Authorisierung umgestellt:
https://www.duosecurity.com/docs/wordpress

Da muss ich den Login am Handy bestätigen. Nutze das bereits über ein Jahr und das funktioniert sehr gut – aber man macht sich auch von dem Dienst abhängig (kostenlos für einen account).

Für yubico gibts auch ein Plugin, die Dinger kann ich nur empfehlen!

http://www.yubico.com/applications/content-management-systems/wordpress/

Alex

Limit Login Attempts ist mittlerweile sinnfrei, weil die Angriffe mittlerweile verteilt kommen. Ist einer ausgesperrt, macht der Nächste an derselben Stelle weiter. Ein schwaches Passwort ist damit schnell geknackt. Was hilft, ist ausschließlich ein sicheres Passwort.

weltenbummler

limit 0 für den geänderten admin, für redakteure limit 1, gutes PW und immer schön Backups machen !
dann klappts auch.

Alex L

Hallo Steffen,
ich nutze auch das WordPress-Plugin, welches du hier erwähntest. Dann heisse ich schon mal nicht „admin“ im Admin-Account und ansonsten werden natürlich tägliche FTP-Datenbank-Backups gemacht, für den Fall der Fälle, die mal so auftreten können.

Deine Kommentarfunktion hier ist sehr unbequem, da man nur eine Zeile Text sieht. Wäre das möglich, es anders zu gestalten, wie bei WordPress üblich ist?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?