oder: WordPress absichern – was man wissen sollte…
“die im Dunkeln sieht man nicht”, hatte mein Freund Sven vor einiger zeit einen Blogbeitrag betitelt. Er bezog sich zwar auf etwas anderes – doch der Hintergrund ist auch dort kriminell, und es geht darum, jemandem langfristig zu schaden.
Doch zurück zum Thema: Glaubt Ihr eigentlich eure WordPress Installation ist sicher? Und wisst Ihr eigentlich, was passiert, wenn Ihr nicht zu Hause seit? Wie viele Leute versuchen euch zu hacken, um eure Daten zu verändern?
Nun, das werdet Ihr nicht wissen, weil Ihr es in der Regel gar nicht mitbekommt, nur das leider traurige Ergebnis, wenn deine Installation gehackt wurde. Eine Sicherung ist – falls überhaupt vorhanden – meistens überaltert. WordPress bringt von Haus aus leider nicht viel mit um eine “feindliche Übernahme” zu verhindern. Mit Askimet werden grade mal die schlimmsten Spammer aussen vor gelassen – richtig funktioniert hat es aber bei mir nicht.
Nun sind Spammer noch das kleinere Übel. Stellt man in den WordPress Einstellungen ein, dass ein Kommentator erst von einem Admin überprüft werden muss, landen die meisten gar nicht erst in deinen Beiträgen um andere Leser mit dem Hinweis auf “cheap Viagra” zu nerven.
Richtig übel sind die Hacker, die Zugriff auf deine Installation haben wollen und sich über das Login als Admin einschleichen wollen. Das dumme daran: ohne ein Plug-In bekommst Du das gar nicht erst mit, was sich alles für Gesindel die Klinke in die Hand gibt, um bei Dir einzubrechen.
Und dass da ordentlich an der Tür gerüttelt wird, zeigt das linke Bild – seit dem letzten zurücksetzen sind schon wieder 972 Sperrungen aktiv. Alles böse Jungs, die nur eines wollen: deine WordPress Installation kapern. Ohne dieses Plugin würdest Du davon gar nichts mitbekommen.
Das Plugin schickt Dir (wenn Du willst) die Infos auch per Mail.
Auf dem Screenshot sieht man, dass da jemand versucht hat sich als admin (den Standard-Namen bei der Installation) einzuloggen. Den ‘admin’ gibt es aber bei meiner Installation nicht mehr. Als kleiner Sicherheitstip: man sollte den Super-Administrator mit Namen “admin” aus dem System verbannen. Die meisten WordPress Installationen haben den – damit hat der Angreifer schon mal 50% des Logins. Nun braucht er nur noch das Passwort, welches er mittels Brute Force Attacke herauszufinden versucht. Wer nicht weiß, wie das geht, hier in kurz: Neuen Benutzer mit ausgefallenem Namen und anderer aber gültiger Mail-Adresse anlegen (geht bei jedem Freemailer) > nach Aktivierung des Users und einmaligem 
Es gibt noch weitere Tools, welche die Standard Login Seite umbenennen. Dies ist bei Bots hilfreich. Ein User aus Fleisch und Blut ruft diese Seite manuell auf. Dem wird dann auch die korrekte Seite angezeigt. Es gibt noch weitere Möglichkeiten – sperren der .htaccess Datei für bestimmte IP-Ranges (vornehmlich aus Ländern aus dem Raum China und GUS). dazu gibt es im Internet einiges. Einfach mal googeln.
Ein anderes Problem sind die zahllosen Spammer, die wirklich schlimmer nerven als Scheisshausfliegen. Da gibt es auch gute Tools – kostenlos vor allem, und trotzdem sehr professionell.
Mein Favorit ist Wangguard. Es erkennt Spammer (nennt die Splogger, ein Kunstwort aus Spammer und Blogger) und blockt die zuverlässig. Man sieht, da ist auch einiges los auf meinem Blog. Was das Wachstum angeht ist meine Community ja eher zurückhaltend – was die Spammer angeht aber nicht. Am Tag um die 80 Versuche sich bei mir zu registrieren. Wangguard überprüft die Mail-Adresse und checkt, ob der User schon auffällig 
Hierbei will ich es erstmal belassen. Die Aufzählung ist sicher nicht vollständig. Es gibt auch noch andere Tools. ‘Projekt Honeypot’ oder ‘Antispam Bee’ um nur 2 zu nennen. Ich wollte auch eigentlich nur mal das Thema Sicherheit wieder in den Fokus bringen. Man ist einfach der Meinung, es geht schon irgendwie gut – aber man bemerkt leider nicht, wie viele böse Buben es auf der Welt gibt, die deinen Blog zerstören wollen..