Wachhund

WordPress Plugin: Cerber Limit Login Attempts

WordPress ist unter anderem so beliebt, weil das System einfach ist. Es ist einfach, mit WordPress schnell eine Webseite aufzusetzen, mit WordPress Inhalte online zu stellen, und es ist einfach WordPress zu hacken. Zumindest, wenn man es als Betreiber versäumt, weitere Sicherheitsmaßnahmen, wie beispielsweise das Einspielen von Updates oder das Ändern des Admin-Usernamen, zu ergreifen. Wie schlecht es bei vielen Betreibern um die WordPress-Sicherheit bestellt ist, zeigen immer wiederkehrende Angriffswellen auf WordPress-Seiten. Das Thema Sicherheit sollten Webseitenbetreiber daher ganz oben auf ihrer Agenda stehen haben.

Um WordPress abzusichern, empfehlen sich einige generelle Vorgehensweisen:

  • Sichere Passwörter verwenden
  • Den Default-Admin-Username ändern
  • Die Two-Step-Authentication von WordPress nutzen
  • Master-Passwort für den Admin-Bereich vergeben
  • Die aktuellste Version von WordPress nutzen
  • Security Plugins verwenden

Die Sicherheit einer Webseite zu gewährleisten ist eine wichtige, wenn auch keine leichte Aufgabe. Security-Plugins können dem Betreiber eine Menge Arbeit bei der Absicherung abnehmen. Man sollte bei der Wahl der Plugins stets beachten, dass diese von einer vertrauenswürdigen Quelle kommen. Die Wahl eines oder mehrerer geeigneter Security-Plugins kann den weniger versierten Betreiber einer WordPress-Seite überfordern; denn Plugins gibt es wirklich in Hülle und Fülle.

Cerber Limit Login Attempts

Cerber Limit Login Attempts

Mit Cerber Limit Login Attempts (als Alternative zum umfangreicheren Plugin Wordfence) kann festgelegt werden, wie viele fehlgeschlagene Anmeldeversuche unternommen werden dürfen. Hat ein Angreifer erst einmal einen korrekten Usernamen einer WordPress-Installation herausgefunden, kann er sich bei nicht limitierter Anzahl von Versuchen so richtig austoben. Das sollte in jedem Fall vermieden werden.

Sobald eine IP zu viele Anmeldeversuche generiert hat, sendet Limit Login Attempts eine E-Mail an den Administrator. Diese Nachricht erhält dann Infos zu der Ursprungs-IP, von der die Angriffe ausgegangen sind. Alle Versuche können protokolliert werden, so dass leicht nachvollzogen werden kann, ob eine Systematik dahinter steckt.

Voraussetzung für den erfolgreichen Einsatz von Cerber Limit Login Attempts ist natürlich erstens ein „vernünftiges“ Passwort, sowie ein geänderter Benutzernamen. „Admin“ ist bei allen Versuchen immer noch die absolute Nummer Eins bei Hackerangriffen. Hat ein Hacker erst einmal den Benutzernamen erraten, braucht er jetzt nur noch das Passwort und schon ist es passiert. Wer sich beim Erstellen eines guten Passwortes schwer tut, kann sich auch im Internet eines generieren lassen.

Die Einstellungen sind einfach vorzunehmen. Man findet sie im Dashboard unter Einstellungen – Limit Login Attempts. Darin stellt man ein, nach wie vielen Angriffsversuchen eine vorübergehende Sperrung erfolgen, und wie lange diese sein soll. Hier ein paar Tipps zu bewährten Einstellungen:

  1. Drei Anmeldeversuche reichen völlig aus. Somit ist es möglich sich auch mal selbst zu vertippen, ohne gleich geblockt zu werden.
  2. Bei der Sperrzeit ruhig an die Obergrenze von 9999 Minuten gehen. Das entspricht in etwa knapp sieben Tagen, die bei der ersten Sperrung verhängt werden. Die Eingabe ist maximal vierstellig möglich.
  3. Kommt es zu einer zweiten Sperrung, kann man die verwendete IP-Adresse deutlich länger blocken. Die Einstellung liegt in eigenem Ermessen, kann jedoch auf höchstens 4320 Stunden erweitert werden.
  4. Es lässt sich außerdem einstellen, nach wie vielen Stunden fehlgeschlagene Logins wieder zurückgesetzt werden. Hacker werden es erfahrungsgemäß mehrmals versuchen. Auch hier sollte ein möglichst hoher Zeitraum gewählt werden.
  5. Um wiederkehrende Hacker identifizieren zu können, sollte eine Benachrichtigung per E-Mail gewählt werden. IP-Adressen werden dabei protokolliert und man hält sich so selber immer über alle stattfindende Aktionen auf dem Laufenden.

Wie ändert man den Benutzernamen von Admin?

Dazu muss man in das Installationsverzeichnis gehen. Unter phpMy Admin findet man die eigenen Datenbanken. Dort einfach die Datenbank wp_users auswählen. Anschließend findet man zwei Spalten die mit user_login und user_nicename betitelt sind. Einfach den user_nicename von admin auf einen anderen Namen abändern. Nach dem Sichern, kann der neue Benutzername ab sofort verwendet werden.

WordPress Plugins und Themes sicher einsetzen

WordPress-Plugins sollten generell nur mit Bedacht zum Einsatz kommen und nicht nach dem Motto „viel hilft viel“. Das hat zwei Gründe:

  • Je größer die Anzahl der Plugins, desto wahrscheinlicher kommen sich diese untereinander in die Quere und/oder verlangsamen das System.
  • Die allermeisten Plugins stammen von Drittanbietern. Viele dieser Autoren sind erfahrene Programmierer. Aber da es vergleichsweise einfach ist, ein Plugin zu entwickeln, erstellen auch viele ambitionierte Feierabend-Programmierer die Erweiterungen. Dabei kann ein Sicherheitsrisiko entstehen, denn nicht alle verstehen es, ihr Plugins auch tatsächlich sicher zu machen.

Alle eingesetzten Plugins sollten deshalb auch aus dem offiziellen Verzeichnis von WordPress stammen. Hier muss sich jeder Autor registrieren, der ein Plugin zur Verfügung stellen möchte. Ist irgendetwas an der Erweiterung nicht in Ordnung, wird das früher oder später jemandem in der großen Community auffallen und entsprechend auf der WordPress-Webseite kommentiert. Auch die Anzahl der Downloads, die Zahl und Qualität der Bewertungen, sowie die letzten zehn Foren-Beiträge auf der Übersichtsseite eines Plugins geben Anhaltspunkte für die Qualität eines Plugins und machen eventuelle Fehler oder Sicherheitslücken aufmerksam. Analog verhält es sich übrigens mit den Themes. Wer kostenlose Themes testen möchte, sollte sich diese ebenfalls aus dem offiziellen Verzeichnis holen.

WordPress-Anwendungen lassen sich schon mit wenigen, schnellen Schritten viel sicherer machen. Das Fundament ist die sichere Installation: der Einbau der Sicherheitsschlüssel, die Wahl eines individuellen Nutzernamens und eines sicheren Passworts, sowie ein individuelles Präfix für die Datenbank-Tabellen. Mit einer Erweiterung wie „Limit Login Attempts“ begrenzt man zudem die ungültigen Anmeldeversuche und hält so automatische Angreifer auf Abstand. Blogger, die viel unterwegs sind, sollten sich einen separaten Redakteurs- oder Autoren-Account zulegen. Wer sich dann auch noch zu neuen Sicherheitsaspekten auf dem Laufenden hält, sorgt dafür, dass die Sicherheit seiner WordPress-Installation auch künftig gewährleistet bleibt.

Zudem gibt es noch viele weitere Maßnahmen, um die Sicherheit bei WordPress zu erhöhen. Dazu gehören zum Beispiel der serverseitige Passwortschutz für die Login-Datei oder Plugins, die die WordPress-Installation um eine Zwei-Wege-Authentifizierung erweitern.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert