WordPress ist, wie jedes andere CMS auch, ständigen Angriffen aus dem Netz ausgesetzt. Dabei geht es in den allermeisten fällen nicht darum dem Webseitenbetreiber persönlich zu schaden, sondern mit Hilfe von Bots so viele Webseiten wie möglich abzugrasen und diese auf bekannte Schwachstellen und schwache Passwörter zu testen um die Webseiten als Spam- oder Malewareschleuder zu missbrauchen. Doch mit einfachen Mitteln, lässt man eine Vielzahl Solcher Bot-Angriffe ins leere laufen.
Bots die Webseiten auf schwache Passwörter untersuchen können problemlos ein paar tausend Passwort Kombinationen in kurzer Zeit testen. Solche Angriffe sind in der Regel automatisiert. Gezielte Angriffe lohnen sich für Hacker nur wenn auf der Webseite viele lukrative Daten zu holen sind.
Eine beliebte Angriffsmethode ist der Bruteforce Angriff. Hierbei werden tausende Passwort-Kombinationen an der WordPress Webseite ausprobiert.
Um solchen automatisierten Bruteforce Angriffen aus dem Weg zu gehen muss man dem Angreifer die Möglichkeit nehmen seine Passwort-Kombinationen zu testen. Dazu muss man wissen das Angriffe auf Passwörter nicht nur auf den WordPress Admin direkt gefahren werden können sondern auch über die XML-RPC Schnittstelle.
Mit der Installation von WPS Limit Login und WPS Hide Login lässt sich solchen Angriffen aus dem Weg gehen.
WPS Hide Login fügt in den WordPress Einstellungen einen neuen Eintrag hinzu mit dem man den WordPress Login verstecken kann. Anstatt sich dann wie üblich über /wp-admin/ einzuloggen loggt man sich über den selbst gewählten Pfad wie z. B. „/hinterhof/“ ein. Dadurch laufen viele automatische Angriffe ins leere.
Mit WP Limit Login lassen sich dann auch noch Bruteforce Angriffe auf die XML-RPC Schnittelle blockieren.
Wer die XML-RPC Schnittelle nicht benötigt, kann diese auch ganz abschalten, z. B. mit dem Plug-in Assets CleanUp Lite.
Natürlich sollte man sich nicht darauf verlassen das ein Angreifer keine Möglichkeit findet den WordPress Adminbereich ausfindig zu machen. Das verstecken des Adminbereichs und der Schutz vor Bruteforce Angriffen dient lediglich dazu die Sicherheit einer Webseite zu erhöhen und damit einen weiteren Schutz-Layer zu installieren.
An den Basics der Websicherheit führt kein Weg vorbei:
