Schlagwort-Archiv: Wordpress absichern

Brute-Force Angriff auf WordPress

Auch meine WordPress Installationen sind durch den weltweiten Brute-Force Angriff auf WordPress betroffen. Und zwar wurde vom Hoster die Login Möglichkeit zum Backend gesperrt, weshalb ich nicht auf dem üblichen Weg auf meine administrative Ebene zugreifen kann.

Ich komme aber ansonsten überall heran. Aber eben auf einem anderen Weg. Und zwar über den webbasierten Zugang zu meinem Hosting Paket über das ganz normale Kunden Login.

Meine sämtlichen Blogs sind eigentlich sowieso schon abgesichert, so dass nichts passieren kann. Nirgendwo benutze ich den von WordPress vorgegebenen admin, sondern das ist natürlich ein anderer Name.

Mein Name unter dem ich veröffentliche entspricht auch nur einem Phantasienamen und wird zudem versteckt.

Die Login Möglichkeiten sind beschränkt. Wer also jemals versuchen sollte sich einzuloggen, wird nach einer kleinen Anzahl von Fehlversuchen gesperrt.

Außerdem muss man sich noch zusätzlich anders authentifizieren, weil alles was mit administrativen Dingen zu tun hat, nochmals durch einen weiteren Passwortschutz in der htacces abgesichert ist.

Wer es also wirklich wissen möchte bzw. versucht einzudringen, scheitert eigentlich ganz schnell und kommt nicht mehr weiter. Von daher sind meine WordPress Installationen auf der sicheren Seite.

Das hilft mir aber nicht beim Schreiben oder Veröffentlichen, weil ja der Hoster bestimmte Pfade pauschal bei allen komplett blockiert. Auch bei denen, die sich bewusst abgesichert haben.

Diesen Blog Beitrag schreibe ich daher auch nicht über das normale Backend, sondern mit dem Live Writer, der auf eine ganz andere Schnittstelle zugreift und daher die Veröffentlichung zustande kommt.

Hoffen wir, dass dieser Brut-Force Angriff bald eine Ende findet. 

Autor in WordPress verstecken

Das gleiche  WordPress Theme behandelt die Sichtbarkeit des Autors in den Beiträgen unterschiedlich. Auf meinem Philippinen Blog zeigte es den Autor an, aber hier auf Enjoy nicht.

Ich weiß absolut nicht, weshalb dies so ist. Aber ich weiß eines definitiv, dass es auf dem anderen Blog erforderlich war, den Autor auszublenden bzw. zu verstecken.

Denn unter jedem meiner Beiträge stand …author/admin , auch wenn dieser dann im Blogbeitrag selbst einen Spitzname anzeigte. Ging man mit der Computermaus auf diesen Spitznamen, dann hatte es jedoch den richtigen Admin Namen angezeigt. Dieser wird nun mal benötigt, um sich als Betreiber und Schreiber des Blogs einloggen zu können.

Jetzt hatte ich in den vergangenen Wochen immer wieder Versuche aus von uns östlich gelegenen Ländern, dass sich jemand einloggen wollte.

Daher hatte ich das WordPress Plugin Limit Login Attempts installiert, welches IP´s  nach einer bestimmten Anzahl von Fehlversuchen blockiert.

Ein weiterer Schutz um WordPress abzusichern, ist natürlich auch, dass man sich nicht selbst admin nennt, sondern einen anderen Nutzernamen hat, den man gleich nach der Installation von WordPress anlegen sollte.

Schlecht war jedoch, dass eben genau dieser Administrator- und Benutzername angezeigt wurde…und jetzt schließt sich der Kreis und wir sind wieder am Beginn dieses Blog Eintrages.

Gut war jedoch, dass diese Leute, die sich unberechtigt einloggen wollten, es immer mit admin, admins, administration etc. versuchten und nicht auf die Idee kamen, mit dem Mauszeiger über den Author zu fahren, dann hätten sie es nämlich bemerkt, was sie benutzen hätten müssen. Dann wäre dieser Part schon mal richtig gewesen.

Seit kurzem gibt es jedoch ein Plugin, welches sich Show/Hide Author nennt und damit kann man den Autor verstecken. Es nimmt einen Eingriff in der php Datenbank vor. Aber das Plugin wurde bisher nur auf einer Hand voll Themen getestet. Dies steht in der Beschreibung.

Wer also Bedarf und den Wunsch hat, die Autoren Namen nicht anzuzeigen, sieht sich mal dieses genannte  WordPress Plugin näher an.