Die „Einbruchsversuche“ ins Backend von WordPress nehmen stetig zu. Von diesen Vorkommnissen bekommt der Administrator weitestgehend nichts mit… zumindest solange es beim Versuch bleibt. Führt so ein Versuch jedoch zum Erfolg bzw. ins Backend ist es zu spät um geeignete Schutzmaßnahmen zu ergreifen.
Wer jetzt vielleicht denkt, „ach bei mir versucht das keiner“, der sollte sich das Plugin mal installieren und die Statistik beobachten.
„Admin“ nicht als Username zu verwenden wie es bei der Standardinstallation von WordPress der Fall ist und der Einsatz eines guten Passwortes sollte für jeden Blogbetreiber eine Selbstverständlichkeit sein. Das sind dann schon mal wie ein Sprichwort sagt „die Hälfte der Miete“. Als vollkommen ausreichenden Schutz würde ich das noch nicht ganz sehen.
Bis vor zwei Jahren war die zusätzliche Absicherung des Administratorenbereichs mit dem Plugin Login Attempts noch völlig ausreichend. Die damit verhinderten Hackversuche hielten sich in Grenzen, die IPs wurden entsprechend der Einstellungen von Login Attempts gesperrt.
Limit Login Attempts alleine reicht nicht mehr aus
Ich möchte das Plugin von seiner Leistung her nicht kritisieren, immerhin verhindert es hier im Blog nach wie vor den unberechtigten Zugang. Doch die „Qualität und Quantität“ der Hackversuche nimmt zu wie das nachfolgende Bild deutlich macht. Seit 1. Januar gab es hier 450 Sperrungen von 172 unterschiedlicher IP ´s. In der Zeit zwischen 23 Uhr und 4 Uhr morgens kommt es zu den meisten Versuchen.
Mit der steigenden Anzahl der Versuche steigt zwangsläufig auch die Gefahr, dass es zu unberechtigten Zugriffen kommt. Limit Login Attempts ist hier gewissermaßen am eigenen Limit angekommen und schreit förmlich nach einer Unterstützung.
Zusätzliche Absicherung durch .htaccess
Der Login zu WordPress wird über die Datei wp-login.php gesteuert. Mit einer erweiterten .htaccess kann diese Datei zusätzlich mit einem Passwort vor unberechtigten Zugriffen geschützt werden. Auch hier versteht sich die Verwendung eines sicheren Passwortes. Das Plugin Limit Login Attempts lasse ich trotzdem aktiviert. Dadurch entsteht gewissermaßen eine doppelte Hürde für Hacker sich Zugang ins Backend zu verschaffen.
Diese Erweiterung
# schutz der wp-login.php <files wp-login.php> AuthName "Admin-Bereich" AuthType Basic AuthUserFile /lokaler-pfad-zu/.htpasswd require valid-user </files>
in die bereits bestehende .htaccess im WordPress-Verzeichnis mit einfügen und noch entsprechend anpassen (Pfad für das AuthUserFile). Dieser Pfad verweist auf den Ablageort der noch zu erstellenden Passwort-Datei namens .htpasswd. Zum Erstellen beider Dateien kann auch dieser htaccess-Generator verwendet werden.
Die .htaccess ebenso wie die .htpasswd mittels FTP auf den Server hochladen und schon ist der Schutz um ein großes Stück erweitert worden. Für den Login zu WordPress ist künftig zunächst Benutzername und Passwort für den generellen Zugang zum Login erforderlich, erst danach kann man sich mit den gewohnten Daten ins Backend einloggen.
Ich empfehle dir „BetterWPSecurity“ (hoffe ist richtig geschrieben) – dort kannst du das Adminpanel auch ganz sperren, wenn du zum Beispiel von 22 Uhr bis 6 Uhr keinen Zugriff auf deinen Blog brauchst. Oder du richtest dir einen festen Zeitraum ein, in welchem der Zugang zum Adminpanel erlaubt ist.. Solange man alleine Blogt, ist dass ja kein großes Problem.
@Sven: Das BetterWPSecurity werde ich mir mal ansehen, danke für den Tipp.
@Marcus: Mit dem Einsatz der .htaccess war hier schlagartig Ruhe. Von daher ist die Lösung gut. Natürlich steht und fällt der „doppelte Zugang“ wieder mit entsprechendem Usernamen und Passwort. Sonderzeichenkombinationen sollten es schon sein würde ich mal behaupten. Limit Login Attempt läuft auch hier weiterhin.
@Lumini: Du liegst mit Deiner Vermutung richtig. Für diese Schutzmaßnahme brauchst Du Zugriff zum Server.
@Stephan: Der verwendete Benutzername war auch hier stets „Admin“ / „admin“. Diese Erkenntnis gibt auch mir Sicherheit in Sachen Benutzernamen gewissermaßen die richtige Wahl getroffen zu haben. Benutzername bei der .htaccess und dem Login selbst sollten natürlich nicht identisch sein. Die Umbenennung wäre natürlich die optimale Lösung… wenn sie so aussieht, dass die Änderung nicht irgendwo wieder einsehbar ist. Mal sehen was die nächsten Versionen bringen.
@John: Der „Admin-User“ ist fatal wenn man den verwendet, dann braucht es nur noch das passende Passwort. Wäre also ein wichtiger Schritt in Richtung Absicherung ;-) .
Bei mir gibts die vorgeschaltete Passwort-Abfrage schon seit einer gefühlten Ewigkeit!
Aber nichts desto trotz gibt es regelmäßige Sperrungen durch Limit Login Attemps
Hm, ich stelle fest, mir muss mal jemand WordPress erklären. Das trifft vermutlich nur zu, wenn man die Domain hat und alles selbst verwaltet, oder?
Die gleiche Erfahrung habe ich auch gemacht: Es werden immer mehr Login-Versuche. Ca. 99% davon zwar mit „admin“ als Benutzername, aber trotzdem. Daher ist dein Tipp sehr gut.
Und es wäre noch besser, wenn es in WP endlich möglich wäre, ähnlich wie das Verzeichnis „wp-conten“ auch „wp-admin“ umbenennen zu können.
Hi,
ich habe die .htaccess – Hürde auch schon seit längerer Zeit eingebaut und kann das nur weiterempfehlen; allerdings habe ich das nicht bei allen Projekten gemacht, weil mir das sonst zu viel Aufwand wäre. Aber ich werde nach Deinem Beitrag hier auf jeden Fall auch noch bei allen übrigen Installationen den „admin-user“ ersetzen, wo noch vorhanden:D
Für die Umbennung gibt es ein Plugin… wenn diese blöden Trackbacks durchkommen würden, wäre es hier sogar verlinkt ;-)
Guckst Du halt hier. Mich hat so eine Welle nämlich auch erwischt und ich hatte genaui wie Du das Gefühl, daß Login-Attempts nicht mehr ausreicht…
Pingback: Broken Spirits | In Eigener Sache
Wow, 450 Versuche innerhalb keinen 3 Wochen?
Ich habe insgesamt 691 Sperrungen seit letztem Zurücksetzen und das war seit der Installation des Plugins. Irgendwann 2011 oder 2012.
99% der Fälle kann man schon abdichten, indem man NICHT admin heißt.
Alledings ist bei vielen Blogs auch der richtige Loginname sichtbar, wenn man denn weiß wie man ihn rausfinden kann.
Daher haben Sascha und ich uns Gedanken gemacht und er kam mit folgender hervorragender Idee:
http://gesichtet.net/wartung.html
Seitdem fühle ich mich sicherer und alle anderen, die es mit admin bei mir versuchen, können sich gerne die Zähne ausbeißen.
Man sollte jedoch auch bei den Einstellungen von Limit login attempts die Strafen höher setzen als per „default“.
Wünsche allen eine sichere und gute Woche.
Pingback: Better WP Security, die Sicherheit im Blog erhöhen
Zufall?
Ich hatte nun wochenlang immer mal hier und da einen Login Attempt. Und nun folgendes:
Ich habe hier am 21.1. kommentiert und…
… am 22.1. 13 Login Versuche.
Am 25.1. 61 Logins.
Am 27.1. wieder 61.
Und heute auch schon wieder 35.
Könnte man sich glatt fragen, ob es vielleicht besser gewesen wäre, ich hätte hier nicht kommentiert?!
Zwischen dem 9.1.-21.1. waren es lediglich 4 Stück.
@Alex: Ich würde sagen „ja Zufall“. Ich kann mir nicht vorstellen, dass es mit diesem Artikel zusammenhängt. Schlicht und einfach grasen diese Spinner die Blogosphäre ab und jetzt stehst Du mit auf ein paar Listen. ;-)
Keine Bange, Thomas.
Ich hatte auch schon davor zig und aber zig Login Attempts gehabt, nur schwankt das halt immer sehr. Mal tage- oder wochenlang etwas Ruhe, dann wieder ein Ansturm. Momentan ist eben wieder Flut gemeldet, nur passte es dieses Mal zu gut übereinander mit dem kommentieren hier zusammen! :)
Naja, wird auch wieder ruhiger werden – hoffe ich.
Ich werde eh erst nervös, wenn der Einbruch NICHT mit admin versucht wird! :D