Die „Einbruchsversuche“ ins Backend von WordPress nehmen stetig zu. Von diesen Vorkommnissen bekommt der Administrator weitestgehend nichts mit… zumindest solange es beim Versuch bleibt. Führt so ein Versuch jedoch zum Erfolg bzw. ins Backend ist es zu spät um geeignete Schutzmaßnahmen zu ergreifen.

Anzeige

Wer jetzt vielleicht denkt, „ach bei mir versucht das keiner“, der sollte sich das Plugin mal installieren und die Statistik beobachten.

„Admin“ nicht als Username zu verwenden wie es bei der Standardinstallation von WordPress der Fall ist und der Einsatz eines guten Passwortes sollte für jeden Blogbetreiber eine Selbstverständlichkeit sein. Das sind dann schon mal wie ein Sprichwort sagt „die Hälfte der Miete“. Als vollkommen ausreichenden Schutz würde ich das noch nicht ganz sehen.

Bis vor zwei Jahren war die zusätzliche Absicherung des Administratorenbereichs   mit dem Plugin Login Attempts noch völlig ausreichend. Die damit verhinderten Hackversuche hielten sich in Grenzen, die IPs wurden entsprechend der Einstellungen von Login Attempts gesperrt.

Limit Login Attempts alleine reicht nicht mehr aus

Ich möchte das Plugin von seiner Leistung her nicht kritisieren, immerhin verhindert es hier im Blog nach wie vor den unberechtigten Zugang. Doch die „Qualität und Quantität“ der Hackversuche nimmt zu wie das nachfolgende Bild deutlich macht. Seit 1. Januar gab es hier 450 Sperrungen von 172 unterschiedlicher IP ´s.   In der Zeit zwischen 23 Uhr und 4 Uhr morgens kommt es zu den meisten Versuchen.

login attempts

durchschnittlich werden täglich 23 Zugriffsversuche blockiert

Mit der steigenden Anzahl der Versuche steigt zwangsläufig auch die Gefahr, dass es zu unberechtigten Zugriffen kommt. Limit Login Attempts ist hier gewissermaßen am eigenen Limit angekommen und schreit förmlich nach einer Unterstützung.

Zusätzliche Absicherung durch .htaccess

Der Login zu WordPress wird über die Datei wp-login.php gesteuert. Mit einer erweiterten .htaccess kann diese Datei zusätzlich mit einem Passwort vor unberechtigten Zugriffen geschützt werden. Auch hier versteht sich die Verwendung eines sicheren Passwortes. Das Plugin Limit Login Attempts lasse ich trotzdem aktiviert. Dadurch entsteht gewissermaßen eine doppelte Hürde für Hacker sich Zugang ins Backend zu verschaffen.

Diese Erweiterung

# schutz der wp-login.php
<files wp-login.php>
AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile /lokaler-pfad-zu/.htpasswd
require valid-user
</files>

in die bereits bestehende .htaccess im WordPress-Verzeichnis mit einfügen und noch entsprechend anpassen (Pfad für das AuthUserFile). Dieser Pfad verweist auf den Ablageort der noch zu erstellenden Passwort-Datei namens .htpasswd. Zum Erstellen beider Dateien kann auch dieser htaccess-Generator verwendet werden.

Hierzu mein Tipp: Die Passwort-Datei nicht in einem WordPressverzeichnis ablegen sondern bspw. in der Root Deines Webservers. Das erhöht die Sicherheit noch zusätzlich, da die Datei nicht so leicht „aufgestöbert“ werden kann.

Die .htaccess ebenso wie die .htpasswd mittels FTP auf den Server hochladen und schon ist der Schutz um ein großes Stück erweitert worden. Für den Login zu WordPress ist künftig zunächst Benutzername und Passwort für den generellen Zugang zum Login erforderlich, erst danach kann man sich mit den gewohnten Daten ins Backend einloggen.