Vorab: ich bin kein Freund von „Ein Plugin, und ich bin rundum angesichert“-Lösungen. Sicherheit sollte ein fortlaufender Prozess sein und es macht mehr Sinn, wenn du verstehst, was du warum als Schutz gegen Angriffe unternimmst.
Nehmen wir ein einfaches Beispiel: Es wird gerne behauptet, dass es ein Sicherheitsrisiko sei, das WordPress die Versionsnummer auf jeder Webseite im Quellcode als Meta-Tag ausgibt. Deshalb aktivieren Anwender dann die Option „Versionsnummer nicht anzeigen“, was unter Umständen aber nur das Meta-Tag „Generator“ ausblendet. Die Versionsnummer ist aber an vielen anderen Stellen leicht zu ermitteln. Wer sich nun durch Aktivierung dieser „Schutzmaßnahme“ sicher fühlt und meint, er bräuchte WordPress nicht so schnell aktualisieren („die Versionsnummer sieht ja keiner“), erliegt einem fatalen Irrtum und gefährdet die Sicherheit seiner Webseitenbesucher.
Das von dir verwendete Plugin weist ausrücklich darauf hin, dass es an verschiedenen Stellen Änderungen vornimmt. Das sind inbesondere die WordPress-Konfigurationsdatei wp-config.php
(die du nicht ohne Grund vorher sichern sollst), die Server-Konfigurationsdatei .htaccess
sowie Einträge in eigenen Datenbank-Tabellen, die alle mit aiowps_
beginnen. In den Tabellen aiowps_failed_logins
, aiowps_global_meta
, aiowps_login_activity
, aiowps_login_lockdown
und aiowps_permanent_block
dürfte protokolliert worden sein, wer sich durch mehrfache Fehlversuche bei der Passworteingabe als potentieller „Terrorist“ qualifiziert hat. Die Tabellen kannst du, nachdem du das Plugin deaktiviert und gelöscht hast, über die Datenbankverwaltung deines Webhosters (in der Regel phpMyAdmin) löschen. Eine Löschung durch das Plugin ist anscheinend nicht vorgesehen, wenn sich seit diesem Beitrag im Support-Forum des Plugins nichts geändert hat.
Die meisten Angriffe lassen sich mit dem Versuch einer Jugend-Gang vergleichen, die auf einem abgelegenen Parkplatz nach unabgeschlossenen Autos sucht und nicht unbedingt als erstes ein mehrfach gesichertes Fahrzeug mit Wegfahrsperre auswählen wird. Gegen automatisierte Angriffe reicht oft schon, die XML-RPC-Schnittstelle per .htaccess
zu sperren (Anleitungen findest du im Web) und das Anmeldeformular mit einem Plugin (z.B. Rename wp-login.php, etwas angestaubt aber gut) zu sichern. Vorsichtige Menschen verwenden dann noch eine Zwei-Faktor-Authentifikation, brauchen sich aber keine Sorgen machen, wenn sie mal ein Passwort falsch eingegeben haben.
PS: Die Lösung, wie man mit dem Generator-Tag mit der WordPress-Version umgeht, ist, Aktualisierungen immer möglichst rasch vorzunehmen. Dann kann dir auch die Versionsnummer egal sein.