WordPress unter Beschuss

Seit einigen Tagen versuchen Hacker über ein Botnetz Webseiten zu hacken, bei denen das CMS/Blogskript WordPress zum Einsatz kommt. Das Ziel der Hacker ist bislang unbekannt, doch die Gefahr ist nicht zu unterschätzen.

Hier ein paar Tipps, wie man sich vor solchen Attacken schützen kann.

Nach Möglichkeit sollte als Username nicht admin genommen werden, wie WP bei der Installation immer vorgibt. Sollten Sie doch admin als Login Namen verwendet haben, dann legen Sie über dieses Konto einfach einen neuen Account mit Adminberechtigung an, loggen sich mit dem neuen Account ein und deaktivieren Sie dann den alten admin Account. Nicht vergessen, Beiträge, die unter dem alten Account veröffentlicht wurden auf den neuen Account umzustellen.

Wählen Sie ein sicheres Passwort mit einer Zeichenstärke von minimum 12 Zeichen. WordPress erlaubt Leerzeichen im Passwort, so könnten Sie zum Beispiel einen ganzen Satz als Passwort nehmen.

Man kann WordPress zusätzlich mit Sicherheitsplugins schützen. In diesem Fall wäre das Plugin Limit Login Attempts hilfreich, da es IPs nach einer einstellbaren Anzahl von Fehlversuchen beim Login für eine ebenfalls einstellbare Dauer für weitere Login Versuche sperrt. Ebenfalls empfohlen wird in einem Beitrag von heise Security das plugin AskApache doch dieses setzt den Einsatz der .htaccess in WordPress vorraus und benötigt mod_rewrite auf dem Server, wie aus der Beschreibung und den Screenshoots hervor geht.

Natürlich muss man auch an dieser Stelle immer wieder predigen, die Software, die Plugins und die WordPress Themes immer auf dem aktuellen Stand zu halten und Updates zu installieren, wenn diese verfügbar sind.

Erstellt am: 15. April 2013