In diesem Artikel möchte ich euch kurz erklären, wie Ihr die Login Seite eures WordPress Blogs schützen könnt. – Warum Ihr dies machen solltet? Ein guter Grund hierfür ist zum Beispiel das seit geraumer Zeit ein Botnet WordPress Installationen angreift. Hier gibt es einen Artikel von Heise Security darüber.
Um euch wirkungsvoll dagegen zu schützen solltet Ihr vier wichtige Sachen beachten.
- Verwendet immer sichere Passwörter! Dies gilt nicht nur für WordPress – Überall dort wo man angemeldet ist sollte man dies machen. Grundsätzlich gilt:
– kein Passwort zweimal verwenden
– es soll nicht in einem Wörterbuch zu finden sein
– Sonderzeichen, Zahlen, große und kleine Buchstaben sollen vorkommen
– zehn Zeichen oder mehr sollte es haben
– keine Verbindung mit euch (Name, Geburtsdatum etc.) soll bestehen
Da einige Webseiten-Betreiber nicht in der Lage sind einen vernünftigen Login zu erstellen, solltet Ihr die folgenden Zeichen nicht verwenden da dies zu Fehlern führen kann: & (und) ‚ (Apostroph) “ (Anführungszeichen)
- Das Plugin SI CAPTCHA Anti-Spam ist ein wirkungsvolles Tool im Kampf gegen Bots. Dadurch das es nötig ist eine Kombination von einem Bild abzutippen, erfolgt ein wirkungsvoller Test ob man es mit einem Menschen oder einer Maschine zu tun hat.
In den Optionen sollte man bei „CAPTCHA difficulty level“ „High“ einstellen. Keine Sorge, es ist immer noch gut zu erkennen. Wenn Ihr die Haken so setzt wie ich, habt ihr ein Captcha auf der Login Seite, beim Registrierungsformular (falls man sich in eurem Blog als Benutzer registrieren kann) sowie auf der Passwort-Vergessen Seite.
- Das Plugin Limit Login Attempts soll euch nun noch vor Menschen schützen die sich Zugriff auf euren Blog verschaffen wollen.
Ich habe das Plugin so eingestellt, dass nach drei fehlgeschlagenen Login-Versuchen die IP des Benutzers für 60 Minuten gesperrt wird. Wenn er anschließend drei weitere fehlgeschlagene Login-Versuche hat, wird er für 48 Stunden gesperrt.
- Haltet immer eure Plugins und die WordPress Installation auf dem neusten Stand! Durch erscheinende Updates werden oft Sicherheitslücken geschlossen!
[…] meinem letzten Blog-Eintrag habe ich euch eine Möglichkeit beschrieben, wie Ihr die Login Seite eures WordPress Blogs […]