Wordpress-User sollten den User "admin" möglichst vermeiden

Screenshot: derStandard.at/Wisniewska

Die Fehlermeldungen bei fehlgeschlagenen Login-Versuchen können ausgeblendet werden

Screenshot: derStandard.at/Wisniewska

Backups in regelmäßigen Abständen sichern zumindest Inhalte

Screenshot: derStandard.at/Wisniewska

Gegen eine DDoS-Attacke ist man meist völlig machtlos. Die Wahrscheinlichkeit, eine Brute-Force-Attacke zu verhindern, steigt aber mit einfachen Sicherheitsvorkehrungen. Bei dieser Art des Angriffs, wie sie im Moment gegen den Blog-Anbieter Wordpress passiert, können schon kleine Maßnahmen eine Kontrollübernahme verhindern. Bei den Angriffen werden verschiedene Passwortkombinationen mit dem standardmäßig eingestellten Benutzer "admin" durchprobiert. Da sehr viele Rechner gleichzeitig operieren, sind die Angriffe zu einem Teil erfolgreich.

Backend-Maske verstecken

Eine erste und erhebliche Hürde lässt sich ganz einfach dadurch gestalten, den vorgegebenen Benutzernamen „admin" in einen eigens gewählten umzuwandeln. Bevor man diesen Schritt geht, sollte man aber die unter "blogname.at/wp-admin" verborgene Einstiegsmaske versuchen zu schützen. Sergej Müller von "Playground.de" hat dies schon in aller Ausführlichkeit beschrieben: In der .htaccess-Datei, die im Wordpress-Folder am Server liegt, werden dazu zwei Code-Blöcke hinzugefügt. Zuvor legt man eine leere .htpasswd-Datei an, in die man das Ergebnis des Htpasswd Generators einträgt. Der Code, der dann in .htaccess hinzugefügt wird, garantiert, dass es vor der Einstiegsmaske zu einer Passwortabfrage kommt – doppelter Schutz, auch wenn die Eingabe zweier Passwörter mühsam erscheint.

"Admin"-Account eliminieren

Im Wordpress-Dashboard angekommen, legt man einen neuen User mit Admin-Rechten an. Die E-Mail-Adresse, die man für den "admin"-Account verwendet, darf hier nicht erneut eingegeben werden. Ist man mit dem neu angelegten User eingeloggt, löscht man ganz einfach den Admin-Account. Wichtig ist, dass der neue User auch wirklich Admin-Rechte besitzt. Beim Löschen fragt Wordpress ab, was mit den Beiträgen, die unter "admin" gepostet wurden, passieren soll. Hier sollte man sicherstellen, dass sie dem neuen User übertragen werden. Eine englische Schritt-für-Schritt-Anleitung mit Bildern bietet hier "digitalkonline".

Passwort

Wie auch bei allen anderen Diensten im Internet sollte man ein angemessen starkes Passwort verwenden. Dazu gehören entweder mit einem Passwort-Generator generierte Zahlen- und Buchstabenkombinationen oder gleich ganze Passphrasen. Ein weiterer Schritt ist laut "t3n" die Verwendung des Plugins "Limit Login Attempts". Damit lässt sich die Anzahl von Login-Versuchen begrenzen. Allerdings beschränkt sich das Plugin auf eine IP-Adresse, sodass die Wahrscheinlichkeit erfolgreicher Versuche, in das Dashboard zu kommen, mit der Anzahl der verwendeten IP-Adressen steigt - wie in der groß angelegten aktuellen Brute-Force-Attacke.

Fehlermeldungen ausschalten

Zusätzlich kann man mit einer Zeile Code ausschalten, dass Wordpress angibt, welcher Fehler beim Login begangen wurde. Im Normalfall äußert sich Wordpress zu einem falschen Usernamen oder falschem Passwort. Dies kann verhindert werden, indem in der functions.php-Datei diese Zeile eingegeben wird: add_filter ('login_errors', create_function('$a', "return null;"));
Nicht versierte Wordpress-User oder PHP-Neulinge sollten auf die korrekten Zeichen achten. Das Fehlen eines Semikolons macht den gesamten Befehl unbrauchbar.

Backups, Backups, Backups

Anzuraten ist Wordpress-Usern auch, regelmäßig Backups der Datenbank zu speichern. Mit dem Plugin "Wordpress Database Backup" lassen sich Backups on demand erstellen. Es gibt auch die Möglichkeit, automatisiert in bestimmten Intervallen Sicherungen per E-Mail an die eigene Mailadresse schicken zu lassen. Sollte ein Angriff nämlich nicht mehr verhindert werden können, sind so zumindest sämtliche Inhalte gesichert. (iw, derStandard.at, 15.4.2013)