Für das erste Türchen habe ich mir ein Thema ausgesucht, das ein echter Dauerbrenner ist. Es geht um die Sicherheit der eigenen WordPress-Installation. Besser gesagt die gefühlte Sicherheit. Viele hilfreiche Tipps, wie sie beispielsweise mein „Kollege“ Ernesto Ruge auf seinem Blog präsentiert, können nämlich nicht verhindern, dass Blogbetreiber vor Situationen stehen, die sie nicht richtig einschätzen können.

Das kann beispielsweise eine Flut von E-Mails eines Sicherheitsplugins sein, das brav meldet, wenn sich jemand Zugang verschaffen wollte. Das ist an und für sich ja eine gute Sache, wird aber sehr schnell lästig, wenn ein Botnet zu Besuch kommt. Dann prasseln auf eine WordPress-Installation innerhalb kurzer Zeit Hunderte oder Tausende Loginversuche ein. Vorausgesetzt, der Webserver ist in der Lage, diese Massen zu meistern (dazu hinter einem späteren Türchen noch mehr), hat das zur Folge, dass der Blogbetreiber und Flut von Benachrichtigungen über fehlgeschlagene Loginversuche bekommt. Verständlicherweise verursacht dieser Ansturm dann schon ein flaues Gefühl im Magen. Abgesehen von der Frage nach dem Sinn, endlos einzelne Benachrichtigungen zu verschicken, statt Meldungen zusammenzufassen, wird dann unter Umständen als schnelle Maßnahme erst einmal das Plugin abgeschaltet.

Diese Aktion geht natürlich genau in die falsche Richtung (niemals den Boten erschießen, der die schlechte Nachricht bringt!). Stattdessen gilt es, Ruhe zu bewahren und dann einfach zu überprüfen, ob das eigene Blog sicher genug vor solchen Angriffen ist. Die meisten automatisierten Angriffe fallen in zwei Kategorien:

  • Ausprobieren von Logindaten
  • Abklopfen bekannter Sicherheitslücken

Zu Gegenmitteln für Angriffe der zweiten Kategorie komme ich später noch, schauen wir uns erst einmal an, wie das Ausprobieren von Logindaten funktioniert. Technisch ist das sehr simpel: Die Standard-URL für den Login ist bekannt, also ist es leicht, automatisiert fast beliebig viele Paare von Nutzername und Passwort durchzuprobieren. Das wird auch weidlich ausgenutzt, typische Angriffe kommen leicht auf vierstellige und fünfstellige Versuche. Dagegen gibt es mehrere Mittel, die je nach Webhoster mehr oder weniger einfach umzusetzen sind. Einige davon präsentiere ich noch in den nächsten Tagen, heute geht es aber zuerst einmal um das simpelste Mittel, solchen Angriffen zu begegnen: Starke Passwörter und Nutzernamen.

Ein Passwort, das Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen enthält, und zudem eine gewisse Mindestlänge hat, ist die halbe Miete. Die andere Hälfte ist zum einen ein Username, der sich nicht einfach erraten oder aus der WordPress-Installation abgreifen lässt. Das bedeutet vor allem: Eigennamen, Namensteile und Standardnamen wie „admin“ oder „Administrator“ (auch „wp_admin“ würde dazu zählen!) sind Tabu.

Abgerundet wird die zweite Hälfte durch die sinnvolle Konfiguration der Nutzer in WordPress. Dazu gehört vor allem die Vergabe eines Spitznamens der nichts mit dem Benutzernamen zu tun hat. Der öffentliche Name sollte auf der Profilseite dann ebenfalls auf den Spitznamen umgestellt werden. So lässt sich der Benutzername nicht mehr aus der WordPress-Installation auslesen, wie es etwa durch Ausprobieren von URLs wie
www.example.com/?author=<0, 1, 2, 3, ...>
möglich ist.

Last but not least sollte für die Administration des Blogs ein Administrator-Account vorhanden sein, der auch wirklich nur zu diesem Zweck verwendet wird, während redaktionelle Arbeiten mit einem zweiten Account erledigt werden, der nur den Rang „Redakteur“ hat. Obige Ideen gelten natürlich für alle Nutzer des Blogs, sofern sie nicht nur Abonnenten sind. Denen kann man nur schwer vorschreiben, wie sie ihr Profil gestalten, dafür können diese Nutzer in der Regel aber auch keinen großen Schaden anrichten.

Das soll als Denkanstoß für heute reichen, morgen geht es für die technisch interessierten Leser mehr ans Eingemachte. 🙂 Und natürlich freue ich mich sehr über Fragen und Anregungen, die ich gerne aufgreife und beantworte.