Für eine Weile haben viele Anwender aus Bequemlichkeit den in älteren Versionen von WordPress vorgegebenen Benutzernamen „admin“ einfach übernommen. Deshalb gibt es immer wieder Versuche, durch eine geschickte Kombination aus dem Benutzernamen „admin“ und einem zufällig gewählten Passwort in eine der zahlreichen WordPress-Installationen einzubrechen, um dann dort irgendwelchen Mist anzustellen. Kurz: Angriffe auf wp-admin sind nichts außergewöhnliches. Sie sind aber, wenn du nicht selber gerade eine Kombination aus „admin“ und „password“ verwendest, auch nicht wirklich gefährlich.
Es gibt verschiedene Wege, wie man sich gegen diese Angriffe schützt.
- Du kannst ein Plugin (z.B. Login Lockdown) installieren, dass die IP-Adresse nach einer vorgegebenen Anzahl von fehlgeschlagenen Anmeldungen blockiert, um ein „Durchprobieren“ von Passwortkombinationen zu unterbinden.
- Du kannst ein Plugin für Zwei-Wege-Authorisierung (z.B. Two Factor) installieren, um die Anmeldung mit einer weiteren Identifikationshürde zu versehen.
- Du kannst per .htaccess den Zugriff auf
wp-admin mit einem weiteren Passwort zu schützen. (Anleitung findest du z.B. hier)
- Du kannst das Anmeldeformular „verschieben“ und die Anmeldung per
wp-admin komplett unterbinden. Dazu gibt es z.B. das Plugin Rename wp-login.php
- Eine Kombination der o.g. Möglichkeiten ist natürlich auch möglich, nur nerven einen dann die zusätzlichen Hürden irgendwann selbst.
Hallo Herr Garde,
Vielen Dank für die vielen Ausführugen. Ehrlich gesagt bin ich gerade etwas „überfordert“.^^
OK, Admin selbst habe ich auf die „Speerliste“ des PLugins (IP Blacklist) gesetzt. Also sollte ein Versuch mit admin kommen, wird er gleich geblockt.
Mittels .htaccess wollte ich erst tun, aber ich habe mehrere Admins bzw. Moderatoren, die dann 2x sich anmelden müssten. Einmal über das Hauptlogin (.htaccess) und dann über wp-login. Zumindest stelle ich mir das gerade so vor.
Die beiden anderen Plugins Deiner Ausführung werde ich mir die Tage genauer anschauen. Sicher ist eines der beiden etwas für mich.
Eine Frage zu meinem derzeit verwendeten Plugin (IP-Blacklist) habe ich dennoch. Ich habe gestern versucht die erten Seiten mit IP-Einträgen der IP-Liste gelöscht. Die Anzhzal, die mir gezeigt wird, sollte normal ja weniger werden. Aber sie steigt kontinuierlich an. Was ist das für ein Phänomen? Jedenfalls mit händigem Löschen kommt man nicht weiter. Ich habe auch den Anschein, dass das Plugin im Backend WordPress ausbremst. Kann ich das PLugin einfach löschen? Werden somit auch die Einträge von diesem Plugin mit gelöscht? Sorry, wenn ich mich etwas schwer tue.^^
Bis dahin schöne Restwoche und ein schönes Wochenende.
GRuß Mike
Kann ich das PLugin einfach löschen?
Ja.
Werden somit auch die Einträge von diesem Plugin mit gelöscht?
Das kommt darauf an, ob das Plugin sauber programmiert wurde. Normalerweise sind Plugin-Autoren angehalten, eine Deinstallationsroutine einzubauen, die diese Daten löschen. Manchmal gibt es auch ein Optionsfeld „Daten beim Löschen des Plugins entfernen“. Ansonsten wäre die Datenbank ein wenig voller als nötig, aber wirklich schaden sollte das nicht.
Wie ich schon sagte, kann man allerlei Absicherungen betreiben, „nur nerven einen dann die zusätzlichen Hürden irgendwann selbst.“ Ich würde erst einmal Login Lockdown ausprobieren – das dürfte den Schabernack schon deutlich reduzieren.
Nochmals herzlichen Dank für Deine schnelle Rückantwort. Habe das Plugin installiert und werde es die nächsten Tage überwachen bzw. testen. ;O)
IP Blacklist wurde jetzt von mir verbannt. Nun ist auch das Backend schneller. Weis aber nicht, ob es unbedingt an dem Plugin lag.
Viele Grüße Mike
Das hört sich doch schon mal prima an. Ich setze den Thread jetzt mal auf „resolved“. Wenn noch Fragen auftauchen, kannst du dich ja wieder melden. 🙂
