Mehr Sicherheit beim WordPress Login

, zuletzt aktualisiert: 18. Januar 2014

Wordpress Login mit dem Usernamen AdminHeute morgen habe ich wieder feststellen müssen, dass jemand mit einer Brute Force Methode versucht hat, sich Zutritt zum Backend meiner Webseite zu verschaffen.

Angriffsziel war die Login Seite, wobei der Angreifer versucht hat, sich mit dem Usernamen Admin einzuloggen. Ergreift man keine Vorsichtsmaßnahmen, dann können in kürzester Zeit automatisiert hunderttausende Passwörter ausprobiert werden. Die Kombination zwischen dem User Admin und dem zufällig richtigen Passwort ermöglicht dem Angreifer dann einen vollen Zugriff auf alle wichtigen Bereiche. Der Gau für jeden Webmaster.

Im Folgenden werde ich die 3 kurzen, aber sehr effektiven Möglichkeiten zeigen, wie man ganz einfach solchen Angriffen entgehen kann.

1. Den User Admin vollständig löschen

Jede frische WordPress Installation hat einen User namens Admin. Da viele Blogging-Anfänger, aber auch teilweise erfahrene Blogger diesen User/Account mit höchster Berechtigungsstufe nicht löschen, ist er ein willkommenes Angriffsziel. Daher rate ich jedem, unbedingt einen zweiten Nutzer mit Admin-Berechtigung anzulegen und den ursprünglichen Administrator Account zu löschen.

Neuen Nutzer mit anderem Namen als Admin anlegen

Bevor der Admin gelöscht werden kann, muss natürlich ein zweiter, neuer Account mit Admininstrator-Rechten angelegt werden. Dieser sollte einen willkürlichen Namen haben, der schwer zu erraten ist. Das Passwort sollte (siehe Punkt 2) auch gut gewählt werden.

Dann kann der ursprüngliche Admin-Account gelöscht werden. Dieser Account hatte übrigens die User-ID 1. Wenn man den User also nur umbenennen würde, dann bliebe die ID trotzdem gleich – das mag auch ein Sicherheitsrisiko darstellen. Durch die vollständige Löschung umgeht man das Problem.

User für das Posten von Beiträgen anlegen

Der neu angelegte Admin-Account sollte möglichst nur für administrative Arbeiten genutzt werden. Auf keinen Fall sollten Artikel damit gepostet werden, denn dann wird bei den meisten Themes der Name mit angegeben. Ein engagierter Angreifer kennt dann wieder den Admin-Namen, ein Teil der Sicherheitsbemühungen wäre dann umsonst gewesen.

Daher sollte ein weiterer Nutzer angelegt werden, der nur Redakteurs-Rechte besitzt. Der Name ist hier für die Sicherheit unwichtig, da er nachher öffentlich in jedem Post angezeigt wird. Mit diesem User werden dann alle Artikel veröffentlicht und bestenfalls auch kommentiert. Sollte ein Angreifer diesen User knacken, so kann er im Blog nur wenig Unheil anrichten, da die meisten Rechte fehlen. Trotzdem würde ich auch hier ein starkes Passwort vergeben.

Wer nicht auf die Bequemlichkeit verzichten möchte, sich immer mit dem Admin Account einzuloggen, der kann geschriebene Posts auch nachträglich dem Redakteurs-Account zuweisen. So kann man die volle Sicherheit bei maximalem WordPress Kompfort erreichen.

Dazu muss man als erstes oben rechts den Optionen-Reiter einblenden, indem man auf den entsprechenden Button klickt.
Wordpress Optionen einblenden

Dann aktiviert man das Häckchen bei „Autor“. Jetzt erscheint unter dem Post ein Bereich, in dem man einen beliebigen Autoren zuweisen kann (es werden natürlich nur User zur Auswahl gestellt, die vorher unter dem Menüpunkt „Benutzer“ angelegt worden sind).

2. Das richtige Passwort

Man liest immer wieder, welche Anforderungen ein gutes Passwort erfüllen muss. Aber scheinbar halten sich viele Nutzer noch immer nicht an diese Regeln, sonst wären die Angriffe auf Internet-Accounts nicht so erfolgreich und ertragreich.

Mit heutigen Rechnern ist es kein Problem, in kürzester Zeit hunderttausende Passwort-Kombinationen auszuprobieren. Namen, Wörterbuch-Listen, Zufallskombinationen… Daher sollte das Passwort möglichst recht willkürlich gewählt werden und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthalten.

Den eigenen Namen, das eigene Geburtsdatum, Telefonnummern und ähnlich naheliegende Zeichenfolgen sollten auf keinen Fall angewendet werden, denn selbst wenn der Angreifer sie nicht kennt, sind sie sehr leicht zu knacken.

Auch die Länge des Passworts spielt eine Rolle. Je mehr Zeichen es enthält, desto mehr zufällige Kombinationen muss ein Computerprogramm ausprobieren, bis es die richtige Abfolge findet. Persönlich würde ich für wichtige Accounts nie weniger als 8 Zeichen verwenden, besser noch ein paar Zeichen mehr.

3. Die möglichen Login Versuche begrenzen

Das Plugin Login Limit Attempts erhöht die WordPress SicherheitEine unbedingt empfehlenswerte Maßnahme ist auch die Begrenzung der erlaubten Login-Versuche. WordPress ist hier leider etwas nachlässig und beschränkt von Haus aus nicht die Anzahl von gescheiterten Login-Versuchen. Das kann man ändern, indem man das kostenlose Plugin „Limit Login Attempts“ von Johan Eenfeldt installiert.

Dort kann man dann einstellen, wie oft der Anmeldeversuch von der selben IP fehlschlagen darf, bevor das Login für diese IP dann gesperrt wird. Brute Force Angriffe werden so im Keim erstickt (zumindest, solange sie von nur einem Rechner unter einer einzigen IP stattfinden).

Das Schöne an dem Plugin ist, dass es die gescheiterten Anmeldeversuche protokolliert und auf Wunsch auch eine Email an den Administrator schickt. So habe ich von dem oben erwähnten Angriff heute morgen erfahren. Normalerweise würde man als WordPress Nutzer solche Vorgänge gar nicht mitbekommen.

Weitere Möglichkeiten für stark erhöhte Sicherheit

Die drei oben genannten Vorsichtsmaßnahmen sind natürlich noch nicht alles, was man zur Absicherung der Login Seite tun kann. Es ist z.B. möglich, per HTACCESS auch noch eine weitere Passwort Abfrage einzuschalten, bevor das Login angezeigt wird. Ich halte das derzeit für übertriebene Sicherheit, denn wer die drei oben genannten Maßnahmen knackt, der kennt wahrscheinlich auch zahlreiche weitere Tricks, wie er Unheil anrichten kann. Ich persönlich hätte keine Lust, immer 2 Passwörter eingeben zu müssen, bevor ich eingeloggt bin.

Vielleicht ändert sich meine Meinung dazu noch. Was sind Ihre Erfahrungen mit der Sicherheit? Was unternehmen Sie, oder waren Sie bisher zu nachlässig? Ich freue mich über Kommentare.

Ein Kommentar

Trackbacks und Pingbacks

    Kommentieren


    Die Kommentare werden moderiert !

    Blog
    Über den Autoren
    Autorenfoto
    Thomas Merkel unterstützt kleine Unternehmen und Selbstständige im Bereich Online Marketing. Er steht ein für eine ganzheitliche Betrachtung, bei der Design, Psychologie und Analytik eng verzahnt zusammenarbeiten: der clevere Webdesign Prozess.
  • Letzte Beiträge

  • Kategorien