Stellen Sie sich vor, Sie sitzen abends gemütlich auf Ihrem Sofa – und plötzlich hören Sie, wie sich jemand an Ihrer Haustür zu schaffen macht. Sie wissen, Sie haben eine richtig gute Haustür, massiv und nahezu unkaputtbar. Und das Schloss, neueste Generation feinster Schlossertechnik. Nach menschlichem Ermessen sollten Sie hinter dieser Tür also sicher sein. Ein höchst unangenehmes Gefühl bleibt trotzdem. – So ungefähr fühlt es sich an, wenn Sie realisieren, dass jemand sich illegitim Zugang zu Ihrer WordPress Website verschaffen will. Da steht plötzlich einer vor Ihrer Anmeldeseite und versucht auf Teufel komm raus, Ihre Zugangsdaten zu erraten. Spätestens in dem Moment stellt sich die Frage, wie Sie Ihr WordPress Login schützen können.
WordPress ist so sicher, wie es nur geht
WordPress an sich ist sicher. So sicher, wie es nur geht. Denn das sollte klar sein: Hundertprozentige Sicherheit gibt es nicht. Das beliebte Content-Management-System unterliegt es wie jede Software immer wieder Hackerangriffen. Immer wieder aber reagiert die weltweite Community, die WordPress mit- und weiterentwickelt, sofort auf solche Attacken und stopft die neu gefundenen Lücken. Der wichtigste Schutz für Ihre WordPress Website ist und bleibt also das regelmäßige Aktualisieren der Software.
Eine ganz andere Sicherheitslücke ist Ihr persönlicher Zugang zu Ihrer WordPress Installation.
Admin und 12345
Grundsätzlich kann Ihr WordPress Login nur so sicher sein, wie Ihre Zugangsdaten es zulassen. Admin als Benutzer und des Deutschen Lieblingspasswort 12345 stellen keinen Zugangsschutz dar. Mit diesen Angaben könnten Sie auch gleich ganz auf Zugangsdaten verzichten. Sollte Ihr Administrator tatsächlich Admin heißen, sollten Sie dies sofort ändern. Was in diesem Fall zu tun ist, haben wir in dem Beitrag Benutzernamen ändern erklärt. Ihrem neuen Benutzer sollten Sie dann auch gleich ein gutes Passwort verpassen. Wie Ihr neues Passwort aufgebaut sein sollte, haben wir in unserem Beitrag zum Thema gutes Passwort erläutert.
Brute Force Attacks
Über Brute Force Attacken (Angriffe mittels brachialer Gewalt) hat man schon oft gelesen. Wohl dem, der ihnen noch nicht ausgeliefert war! Bei einer solchen Attacke testet ein automatisiertes Computerprogramm, ein sogenannter Bot, Zugangsdaten aus. Und weil es sich um ein Programm handelt, macht es dies sehr schnell und effektiv. Binnen kürzester Zeit füllt es die beiden Felder Benutzername und Passwort aus und erweist sich dabei schlimmstenfalls auch noch als erschreckend clever. So benutzt es neben dem bekannten Admin für den Benutzernamen auch Begriffe, die es auf der Website sieht. Wenn Sie es nicht davon abhalten, macht es das so lange, bis es per Zufall die passende Zeichenfolge für beide Felder gefunden hat.
Wie beim Einbrecher an Ihrer Haustür ist es auch hier nicht möglich, den Einbruchsversuch von vornherein zu verhindern. Kriminelle Energien gibt es immer und überall. Bei Ihrer Haustür rufen Sie die Polizei, die bestenfalls früh genug am Tatort erscheint und den Einbrecher in flagranti stellt. Doch welche Polizei sollen Sie rufen, wenn sich ein Bot an Ihrem Login zu schaffen macht?
WordPress Login schützen mittels .htaccess
Es gibt durchaus Möglichkeiten, das WordPress Login zu schützen. Eine Option besteht darin, Ihrem Login – also der Datei wp-login.php – eine Anmeldung vorzuschalten. Bei dem Bild mit der Haustür würde dies bedeuten, vor dieser eine weitere massive Tür mit tollster Schlosstechnik zu installieren. Auf dem Server funktioniert dies über eine entsprechend konfigurierte .htaccess, die eine von Ihnen anzulegende Datei .htpasswd benötigt und dafür sorgt, dass jeder Aufruf der wp-login.php eine Authentifizierung erfordert. Der WordPress Codex beschreibt, wie es geht: Password Protect wp-login.php. Grundsätzlich klingt das gut, bedeutet aber eigentlich nur, dass die Axt-Attacke nun eine Tür zuvor stattfindet.
Anzahl der Anmeldeversuche einschränken
Eine andere Möglichkeit besteht in dem Einschränken der Anmeldeversuche. Plugins wie Login Lockdown, WP Limit Login Attempts oder IP Blacklist Cloud (um nur einige zu nennen) sorgen dafür, dass nur eine begrenzte Anzahl an Anmeldeversuchen in einem vorgegebenen Zeitraum möglich ist. Also sagen wir: drei Versuche in zehn Minuten. Oder fünf Versuche innerhalb einer Stunde. Login Lockdown sorgt dann dafür, dass die Anmeldefunktion für den IP-Adressen Bereich, aus dem die fehlgeschlagenen Anmeldeversuche kamen, für einen bestimmten Zeitraum nicht mehr zur Verfügung steht. IP Blacklist Cloud übernimmt zudem die IP-Adresse, über die die Attacke kam, in eine Schwarze Liste. In dem Sinne sammelt es also IP-Adressen, was hierzulande grundsätzlich als nicht datenschutzkonform gilt. Da es aber nur IP-Adressen aufzeichnet, die im Zusammenhang mit Hackversuchen stehen – und nicht solche von normalen Nutzern, die fern von böser Absicht einfach nur auf der Website surfen –, soll dieses Vorgehen bei mir kein schlechtes Gewissen erzeugen.
Die Anmeldefunktion verschleiern
Schließlich gibt es auch noch die Möglichkeit, die Anmeldefunktion zu verschleiern. Mit dem Plugin WPS Hide Login können Sie den Zugriff auf Ihre wp-login.php unterbinden und die Anmeldung über eine Adresse Ihrer Wahl erstellen. Das Backend ist dann nur noch über diese neue URL (nennen wir Sie zum Beispiel www.Ihre-Domain.de/meine-tuer/) zu erreichen, weshalb Sie sich diese Adresse unbedingt gut merken sollten. Andernfalls haben Sie sich selbst ausgeschlossen.
So oder so: Diese Hackerangriffe sind die Pest. Gänzlich verhindern kann man sie leider nicht. Aber zumindest kann man ihnen das Leben schwer machen.
Beitragsbild: Britta Kretschmer
Schreibe einen Kommentar