3
3

Noch mehr Sicherheit für Ihr WordPress-System

Ich meine mich erinnern zu können, dass ich vor einiger Zeit hier schon mal über das Plugin „limit-login-attempts“ berichtet habe.

Dieses begrenzt die für Hacker und andere miese Zeitgenossen die Anzahl der Einlogg-Versuche, z.b. auf drei und macht dann zu, es sind keine weiteren Login-Versuche mehr möglich.

So weit so gut. Doch warum nicht noch weiter oben ansetzen? Warum lässt man einen Angreifer überhaupt auf die Datei „wp-login.php“ zugreifen?

Die einfachste und wahrscheinlich auch die beste Lösung besteht darin, die Datei einfach umzubenennen.

Im Prinzip richtig, aber: Wenn man die Datei einfach so umbenennt wird man mit Sicherheit erhebliche Probleme bekommen. Denn schließlich wissen wir gar nicht an wie vielen Stellen im WordPress Quellcode auf eine Datei namens wp-login.php zugegriffen wird. Wenn diese Datei dann plötzlich anders heißt, gibt es Schwierigkeiten.

Natürlich kann man diese Umbenennung tatsächlich manuell machen und es gibt auch etliche Anleitungen dazu (einfach mal googlen nach „wp-login.php umbenennen„). Aber dieses Herumbasteln an systemrelevanten Dateien ist nicht jedermanns Sache und immer auch gefährlich.

Also sollte man diese Aufgabe einem geeigneten Plugin überlassen. Doch es ist gar nicht so einfach, ein gutes Plugin für diese Aufgabe zu finden. Welchem Plugin-Autor kann man wirklich vertrauen? HInter einem Plugin-Autor könnte sich theoretisch ja auch ein Hacker verbergen. Schreibt dieser dann ein Sicherheits-Plugin für Wordpress und sorgt für dessen große Verbreitung, dann wird dieses Plugin Wordpress wahrscheinlich löchrig wie einen Schweitzer Käse machen und den Plugin Programmierer mit allen Details versorgen, die er braucht, um dieses Wordpress System unter seine Kontroller zu bringen.

Daher sollte man bei jedem Plugin, das man installieren möchte, den Namen des Autors mal googlen. Man kann ja nie wissen.

Das Plugin, welches ich gefunden und getestet habe, nennt sich „Lockdown WP Admin“. Es ist schnell installiert und konfiguriert. Es macht genau 2 Dinge, die Ihrem WordPress System zusätzliche Sicherheit geben:

Es versteckt die WP-Admin Oberfläche, also das Admin-Dashboard gegenüber nicht eingeloggten Usern und leitet bei Aufruf derselben, also z.B. www.meinedomain.de/wp-admin/ nicht automatisch auf die Login-Seite weiter. Sie aktivieren diese Funktion mit „
Es verändert die Wordpress Login URL. Standardmäßig lautet diese ja

www.meinedomain.de/wp-login.php

. Das weiß natürlich auch jeder halbwegs versierte Angreifer. In den Einstellungen können Sie nun festlegen, dass der URL-Bestandteil „wp-login.php“ durch einen beliebige alphanumerische Zeichenkette ersetzt wird, die der Angreifer natürlich nicht kennt, also z.B. „lassmichrein“. Die neue Login-URL lautet dann:

www.meinedomain.de/lassmichrein

Ruft ein Angreifer die vermeintlich korrekte Adresse mit dem Bestandteil „wp-login.php“ auf, erhält er eine 404-Fehlerseite.

Eine sehr sinnvolle Absicherung also. Leider ist das Plugin komplett in englisch. Wer also gar kein Englisch kann, der sollte sich jemanden suchen, der englisch kann und ihm bei der Installation und Einrichtung behilflich ist.

[wysija_form id=“3″]