Männig

WordPress gegen Angriffe sichern

Wie so viele andere Blogs und Webseiten läuft auch dieser Internetauftritt auf der Basis von WordPress. Und wie bei so vielen anderen WordPress-Seiten versuchten Unbekannte auch hier in den vergangenen Monaten verstärkt, ins Backend der Webseite einzudringen. In den allermeisten Fällen wird dazu die Login-Seite wp-login.php aufgerufen, wo mit verschiedenen Kombinationen von Benutzernamen und Passwörtern versucht wird, sich Zutritt zu verschaffen.

Schon seit längerer Zeit ist hier das WordPress-Plugin Limit Login Attempts im Einsatz, das es erlaubt, dieser Art von Eindringversuchen einen Riegel vorzuschieben. Gleichzeitig dokumentiert das Plugin auch sämtliche Versuche des Einloggens und die Benutzernamen, mit denen ein Login probiert wurde. In über 95 Prozent der Fälle wurde hier der Benutzername admin oder Admin verwendet, was sehr deutlich zeigt, warum man den von WordPress standardmäßig schon bei der Installation angelegten Nutzer sofort wieder löschen sollte.

In der letzten Zeit hatte sich die Zahl der Aufrufe der Datei wp-login.php auf maennig.de trotz restriktiver Einstellungen im Plugin Limit Login Attempts auf über 190 pro Stunde eingependelt. Zeit also, weitere Maßnahmen zu ergreifen. Vielfach empfohlen wird beispielsweise, den Login-Bereich seinerseits wieder per .htaccess durch ein Passwort abzusichern. Man muss dann also zunächst einen Benutzernamen und ein Passwort eingeben, um seinen Benutzernamen und sein Passwort eingeben zu dürfen. Na ja, wer’s mag …

Was mir besser gefallen hat, ist der Ansatz des WordPress-Plugins Rename wp-login.php. Dieses Plugin erlaubt es, die Loginseite der eigenen WordPress-Installation umzubenennen – eine Prozedur, die in Handarbeit recht mühsam wäre und obendrein nach jedem WordPress-Update wiederholt werden müsste. Standardmäßig schlägt das Plugin [domain.tld]/login/ als Adresse zum Einloggen vor, jedoch lässt sich der Pfad login auch durch jeden anderen Begriff ersetzen. Der Aufruf von [domain.tld]/wp-login.php wird dagegen nach dem Aktivieren des von Rename wp-login.php konsequent mit Fehler 404 Not Found quittiert.

Die Folge der Installation des Plugins Rename wp-login.php: Statt wie bisher gut 190 Eindringversuchen pro Stunde sind nun zunächst einmal 0 (in Worten: null) zu verzeichnen. Interessant ist dabei, dass die Zahl der 404-Aufrufe nicht im eigentlich erwarteten Verhältnis gestiegen ist. Die Möchtegern-Eindringlinge scheinen also in der Tat die Lust zu verlieren, wenn die wp-login.php nicht am erwarteten Ort vorgefunden wird.

Das WordPress-Plugin Rename wp-login.php kann ich folglich nach meinem derzeitigem Kenntnisstand und aufgrund der bisherigen Erfahrungen wärmstens empfehlen. Längerfristig solle man sich aber dann doch einmal Gedanken über eine leichtere, schlankere und sicherere Alternative zu WordPress machen.

Headerbild basierend auf dem Foto Doors of Future Days Past von anyjazz65 auf flickr, Lizenz CC BY-NC-SA 2.0