Die „Attacken“ auf WordPress-Blogs haben in der letzten Zeit deutlich zugenommen. Es wird versucht über die Login-Seite in das Backend einzudringen und den Blog zu übernehmen. Die Arbeit verrichten dabei Bots, die mittels automatisierten Scripten Login-Kombinationen aus Benutzernamen und Passwörtern durchprobieren. Dabei haben die Bots es wohl speziell auf den „admin“-Account abgesehen, da dieser standardmäßig bei jeder WordPress-Installation automatisch angelegt wird.

Um solchen Brute Force Angriffen nicht zum Opfer zu fallen und WordPress ein Stückchen sicherer zu machen, empfehlen sich folgende Maßnahmen:

  • den Benutzer „admin“ umbenennen,
  • ein sicheres Kennwort wählen und regelmäßig ändern sowie
  • Plugin „Limit Login Attempts“ installieren.

Das Plugin sowie die Umbenennung des Admin-Accounts habe ich vor einiger Zeit bereits vorgestellt bzw. beschrieben. Ich denke es ist eine gute Gelegenheit den Artikel nochmal wieder vorzukramen.

Ich sehe am Protokoll des Plugins, dass sich gefühlte 99,9 % aller Login-Fehlversuche auf den Benutzer „admin“ beziehen. Wer also den Benutzernamen „admin“ ändert, hat den Angreifern schon den Wind aus den Segeln genommen und macht es den Bots doppelt schwer. Denn so müssen sie nicht nur das Passwort „erraten“ sondern auch noch den Benutzernamen.

Auch zum Thema sichere Kennwörter habe ich einen Artikel verfasst, der dem ein oder anderen bei der heutigen Flut an Kennwörtern hilfreich sein kann.