02.01.2013 | Artikel von   Facebook flickr Twitter

Blogs mit einfachen Mitteln absichern

Zum neuen Jahr wird sich ja erfahrungsgemäß immer viel vorgenommen, was dann doch nicht eingehalten werden kann. Mein Vorschlag für einen realisierbaren guten Vorsatz wäre:



Mehr Sicherheit im Netz

Wie ich darauf komme? In letzter Zeit fällt mir immer häufiger auf, dass Accounts von Kontakten geknackt wurden und auch hier auf lens-flare.de werden die Versuche, Zugang zu erlangen immer professioneller.



Für WordPress Blogs möchte ich euch neben einem sicheren und nicht zu kurzen Passwort folgende Tipps ans Herz legen:

1. Nicht den default User Admin verwenden
Jeder der Zugriff auf euren Blog erhalten möchte, wird als erstes versuchen das Passwort für diesen User herauszufinden. Dabei werden meist Listen mit gängigen Passwörtern durchprobiert. Wenn dieser User bei euch erst gar nicht existiert, macht ihr es dem Angreifer deutlich schwerer.
Aber keine Angst dass etwas verloren geht, wenn ihr den Admin löschen wollt. WordPress fragt euch, ob die Artikel einem anderen User zugeordnet werden sollen. Bitte verwendet aus gleichen Gründen auch nicht den am Artikel nach außen hin sichtbaren Autorennamen als Login.

2. PlugIn Limit Login Attempts oder ähnliches verwenden
Dieses PlugIn sperrt das Anmeldeformular nach einer einstellbaren Anzahl von fehlerhaften Anmeldungen und informiert, wenn gewünscht, über die gescheiterten Loginversuche. So ist es nicht mehr so einfach möglich, eine große Anzahl von Passwörtern an eurem Blog auszuprobieren.

3. WordPress regelmäßig aktualisieren
Neben einem sicheren Account ist es genauso wichtig, WordPress auf dem aktuellen Stand zu halten. Die Sicherheitslücken, welche immer wieder mit diesen Updates ausgemerzt werden, sind nicht nur den WordPress Entwicklern, sondern auch den bösen Jungs bekannt, welche gezielt nach unsicheren Versionen suchen.

Wer diese drei einfach realisierbaren Tipps beherzigt, steigert die Sicherheit seines Blogs enorm und schützt sich so vor bösen Überraschungen im neuen Jahr.

Bei Google empfehlen:

Kategorie: Allgemein

Kommentare

Windmeer sagt:

Vielen Dank für den Plugin-Tip! Habe es installiert und bin gespannt, wie oft es anschlägt.

Nicole sagt:

Vielen Dank auch von meiner Seite! Kann mich “Windmeer” nur anschließen, bin auch gespannt…

Steffen sagt:

Bei mir gabs heute 4 Versuche :-(

Deine Tipps sind auf jeden Fall wichtig. Ich bemerke bei mir auch immer mehr automatisierte Versuche, in das Blog einzubrechen. Neben dem Sicherheitsrisiko verbraucht das auch unnötig Resourcen und bremst echte Besucher sogar aus, wenn die Datenbank überlastet wird.

Ein sehr nützliches Plug-In für WordPress ist in dem Zusammenhang der Google Authenticator. Dabei muss man neben dem Kennwort auch einen Code eingeben, der sich mit der Zeit ändert und mit einer Smartphone-App erstellt wird. Diese Sicherung nennt man allgemein Two-Factor-Authentication und ich empfehle das im Bekanntenkreis wann immer möglich.

Steffen sagt:

Guter Tipp Andreas. Habs gleich installiert :-)

Steffen sagt:

Habe gerade entdeckt, dass ich das PlugIn wieder deinstallieren muss. Leider harmoniert es nicht mit der WordPress App für Android :-(

Neufi sagt:

Ich hätte da noch einen wichtigen Tipp, denn wie wohl “fast” jeder weiss wird HTTP umverschlüsselt übertragen. Also jeder kann mit einfachen Mitteln den Datenverkehr an eurem Webserver mitschneiden und abwarten bis ihr euch anmeldet – unschwer zu erraten was dann passiert, hoffentlich hab ihr jetzt ein gutes Backup – ach der Datenbank…
Also Login nur verschlüsselt (https://…) durchführen und für ein zuverlässiges Backup sorgen!!!

Michael W. sagt:

Habe das oben genannte Plugin auch seit längerem in der Anwendung und bin immer wieder entgeistert, wie oft man versucht meinen Blog zu hacken. Zusätzlich ist noch das Plugin WP-Ban http://wordpress.org/extend/plugins/wp-ban/ interessant. Damit kann man IP Adressen sperren. Die Möglichkeiten sind da fast unendlich.

Den User “Admin” sollte man bei einem WordPress Blog immer gleich als erstes ändern. Darüber versuchen die es immer und immer wieder.

Zusätzlich kann man sich das Plugin Google Authenticator http://wordpress.org/extend/plugins/google-authenticator/ installieren. Damit muss man bei der Anmeldung zusätzlich noch einen Token eingeben, dann man über eine App nur auf seinem Smartphone angezeigt bekommt. Somit sollte euer Blog dann dreifach (Benutzername, Passwort, Token) abgesichert sein.

Michael W. sagt:

Hab grad gelesen den Tipp mit Google Authenticator gab es schon. Und ich kann bestätigen das es nicht mit der WordPress App harmoniert. Wenn ich weiß das ich heute was von unterwegs schreiben will, deaktiviere ich es via heimischen PC, bevor ich losgehe. Und später wenn ich nach Hause komme, aktiviere ich es wieder. Das klappt immer ganz gut und somit habe ich zu trotzdem zu 95% eine Dreifach-Absicherung ;)

Steffen sagt:

Ich habe das Plug-In jetzt so eingestellt, dass nach dem ersten Versuch die IP gleich für 9999 Stunden gesperrt wird. Na und an- und ausstellen vom Authenticator würde ich sicher vergessen …

Michael W. sagt:

Denk aber dran, dass du dich nicht selbst aussperrst. Ansonsten ist dein Blog für 9999 Stunden allein und nichts passiert hier mehr ;) Hättest dann aber genügend Zeit ein paar Blogbeiträge schon mal vorzubereiten und dann ab Stunden 10000 die gebaltten Blog-Power los zu ballern ;)

Steffen sagt:

Du wirst lachen, das habe ich schon geschafft :-D

Michael W. sagt:

Ich aber auch, gut das ich da noch die IP nur für 6 Stunden gesperrt hatte :D

Steffen sagt:

Hihi. Du kannst aber auch die Internetverbindung trennen und wieder herstellen. Dann hast du ne neue IP.

Michael W. sagt:

Nicht auf der Arbeit, wo die IP Adresse fest vergeben ist. Und hier mal den Router bzw. das ganze Rack (da ich nicht weiß auf welchem ich drauf bin) neustarten ist auch ne ganz schlechte Idee. Bei ca. 400 Mitarbeitern am Standort :D

Steffen sagt:

Ach während der Arbeit … ;-)

Michael W. sagt:

Aber in der Pause natürlich ;)

tyce sagt:

Hallo. Vielen Dank für den tollen Beitrag. Seit erscheinen des Beitrages habe ich das Plugin installiert und nun seit ca. 1 Woche überhöhte versuche meine Seite zu knacken. Bisher alles gut verlaufen… ;o)

Steffen sagt:

Cool, freut mich!

Nikita sagt:

Danke für die Tipps. Ich habe auch erst angefangen mit Bloggen und verwende dafür WordPress.

Mark sagt:

Danke für den Artikel, werde Limit Login Attempts in jedem Fall bald mal installieren! Sehr nützlich in diesem Zusammenhang ist auch das Plugin “Hotfix”, ist so eine Art inoffizielles Plugin von WordPress, dort werden Sicherheitsupdates bzw. Fixes oftmals schon vor Veröffentlichung der großen WordPress Updates geliefert. Damit ist man also wirklich immer auf dem neusten Stand – das vielleicht noch als kleine Ergänzung! :)

Vielen Dank für den Artikel und Tipps! Ich verwende auch WordPress und möchte einen Fotoblog kreieren, von daher sehr interessant. Danke!

RSS-Feed zu diesem Beitrag

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

© 2007 - 2014 lens-flare.de – Fotografie Blog is proudly powered by WordPress.