Manchmal bestätigt sich eben, dass der Einsatz von Plugins für die Sicherheit ganz sinnvoll ist. Möglichkeiten zur Absicherung des Webservers gibt es viele und eine .htaccess dürften nahezu alle im Einsatz haben. Ein unwohles Gefühl in der Magengegend bleibt dennoch bestehen, weil man nicht weiß ob und wann sich jemand am Login bei WordPress zu schaffen macht.

Schnelle Abhilfe bringt hier das Plugin Limit Login Attempts von Johan Eenfeldt aus Schweden. Das Plugin regelt die zulässigen Anmeldeversuche die bei falschem Benutzernamen bzw. falschen Passwort und sperrt nach der eingestellten Anzahl die zugreifende IP-Adresse. Wie lange die Sperre andauern soll kann auch vom Admin bestimmt werden.

Für die erste Sperre sollte zur eigenen Sicherheit eine nicht zu hohe Stundenzahl gewählt werden, schnell vertippt man sich selbst und wird in der Folge daraus von eigenen Blog ausgesperrt. Erst mit dem zweiten Versuch sich mit fehlerhaften Anmeldedaten einzuloggen sollte die Stundenzahl der Sperre drastisch erhöht werden.

limit-login-attempt

Zeitoptionen der Zugangssperre

Sehr praktisch finde ich die Option, sich per E-Mail benachrichtigen zu lassen wenn es zu „Einbruchsversuchen“ und einer IP-Sperre gekommen ist. Ich bin dadurch informiert, dass sich jemand am Login zu schaffen gemacht hat und kann entsprechend reagieren, z.B. das Admin-Passwort wieder mal ändern. Letzteres sollte man sowieso in einem refelmäßigen Abstand tun um es den Unholden zusätzlich etwas schwerer zu machen.

Im Zusammenhang mit der Sicherheit für WordPress möchte ich an dieser Stelle auch noch das Plugin WP Security Scan von Michael Torbert erwähnen. Das Plugin deckt vorhandene Schwachstelle auf und gibt praktische Tipps diese erfolgreich zu schließen.

Diesen Beitrag und den Hinweis auf Limit Login Attempt schreibe ich aus aktuellem Anlass. Bist Du Dir sicher, dass sich ohne Dein Wissen nicht jemand hinten herum versucht Zugang zum Backend zu verschaffen? Mitbekommen würdest Du es leider erst dann, wenn bereits Schaden angerichtet wurde die die Arbeit von Monaten und Jahren zerstört ist.

Plugins gibt es eine Menge auf dem Markt, viele davon ohne wirklichen Mehrwert für den Blogger. Die Installation von Limit Login Attempt hat einen Mehrwert und sei es nur der, dass man informiert ist was sicher außerhalb so abspielt.