WordPress absichern

wp-login
(Dies ist ein Wortspiel der englischen Wörter »login« und »clog«, was »verstopfen« heißt)

Seit längerer Zeit habe ich keine Probleme mehr mit Spamregistrierungen. Dies liegt hauptsächlich an einem Plugin, das ich nun für essentiell in jeder WordPress-Installation halte. Ich empfehle es schwerstens, dieses Plugin zu installieren.

Bei dem Plugin handelt es sich um »Rename wp-login.php«. Wie der Name schon sagt, kann man mit diesem Plugin die Login-Seite von WordPress umbenennen. Das hört sich zuerst unpraktisch an, hat aber auf die Benutzung und für den normalen Besucher keine Auswirkung. Wenn man sich auf dieser Seite rechts das Meta-Widget mit dem Registrieren-Link ansieht, erkennt man, dass die URL nicht mehr der WordPress-Standard ist. Da aber jeder normale Besucher diese Links benutzt (einschließlich mir), hat die Umbenennung keine praktische Auswirkung oder Einschränkungen zur Folge.

Die meisten (alle?) Spam-Bots und -Skripte sind scheinbar auf wp-login[.php] hardgecodet, sodass diese von nun an nur einen 404-Fehler zu Gesicht bekommen.

Seit der Installation von Rename wp-login hatte ich keine einzige Spam-Registrierung mehr.

Ein weiteres simples Plugin ist »Ban Hammer«. Mit diesem Plugin können Email-Domains von der Registrierung ausgeschlossen werden. Bevor ich Rename wp-login hatte, hat dieses Plugin eine Menge schadhafter Registrierungen geblockt. Besonders oft gehackt und für Spam missbraucht werden Email-Adressen bei Yandex.ru und Yahoo.com, ich empfehle diese Domains zu blockieren.

Um den Login weiter abzusichern, habe ich auch »Limit Login Attempts« (Begrenzte Login Versuche) installiert. Wie der Name schon impliziert, begrenzt dieses Plugin die Anzahl der Anmeldeversuche mit falschem Passwort. Es gibt viele Hacks, die versuchen, den WordPress-Login zu brute-forcen. Dabei werden gängige Benutzernamen und Passwörter durchprobiert. Dieses Plugin verhindert genau dies. Wenn von einer IP-Adresse zu viele Anmeldeversuche für einen Benutzernamen auftreten, wird diese IP für 15 Minuten blockiert. Wird diese IP-Adresse dreimal hintereinander für 15 Minuten blockiert, wird die IP-Adresse schließlich für 24 Stunden blockiert. Ich habe die Anzahl der Anmeldeversuche auf 6 eingestellt, da ich manchmal unfähig bin, mein Passwort korrekt einzugeben 😛

Da ich noch ein paar weitere Sicherheitsplugins installiert habe, werde ich diesen Beitrag erweitern, sobald ich Zeit habe.

Leave a Reply