Es gibt nach wie vor jede Menge Blogs, die auf WordPress basieren und deren Sicherheit löchrig wie ein Schweizer Käse ist. Wie nachlässig ist man da? Es gibt unzählige Hinweise, wie der eigene Blog abgesichert werden kann. Wieso passiert es denn immernoch, dass da Blogger solche unsicheren Blogs betreiben? Ich bin mal wieder auf neue Hinweise gestoßen, wie ein Blog geschützt werden kann. Das ist alles andere als unwichtig, denn die WordPress-Sicherheit darf nie unterschätzt werden.
Es ist fast drei Jahre her, dass ich eine heftige Brute Force Attacke auf meinen Blog erlebt hatte. In dem Artikel habe dargelegt, was passiert ist und wie ich meinen Blog nun zu schützen gedenke. Das funktioniert prächtig. Da ich ein Freund der Zugriffsstatistiken bin, habe ich natürlich festgestellt, was mit dem Artikel passiert ist. Mit der Zeit wurde dieser nämlich zu einem der erfolgreichsten Artikel in diesem Blog. Also besteht durchaus Handlungsbedarf. Aber wenn wir ehrlich sind, dann stellen wir fest, dass das eigentlich nicht ausreicht. Denn die Einfallstore in der Standard-Einstellung von WordPress sind bekanntermaßen:
Benutzername für den Administrator des Blogs: admin direkter Aufruf der Anmeldemaske des Blogs: domain.tld/wp-login.php
Gut, seit irgendwann wurde WordPress dergestalt verändert, dass bei der Installation bereits ein administrativer Benutzer angelegt werden kann, der nicht zwingend „admin“ heißt. Damit haben die Entwickler die Situation bereits entschärft. Das zieht aber nicht, wenn der Blog bereits besteht. Deshalb muss man da tätig werden. Hinweise gibt es zuhauf. Oder man benennt den Administrator um, was aber nicht ganz einfach ist. Die Änderungen finden halt auf der Datenbank statt, und das muss man eben bedenken.
Für das Problem des Login-Pfades (siehe oben) gibt es aber wenigstens eine Lösung in Form eines Plugins. Außerdem ist mir aufgefallen, dass man eine Zwei-Faktor-Authentifizierung für seinen Blog einführen kann. Das sind Dinge, die sich jeder zumindest mal anschauen sollte. Denn eigentlich sollte einem Blogger der Blog heilig sein. Und deshalb muss ein Blog abgesichert sein. Es gibt keine absolute Sicherheit. Aber man muss keine unnötigen Löcher aufreißen. Zudem ist es wichtig, WordPress, Themes und Plugins aktuell zu halten. Alles andere kann nur mit Ausreden begründet werden.