Aktell versucht gerade jemand, mit unzähligen Anmeldeversuchen von diversen IPs in meine Wordpress Podcast-Homepage zu gelangen. Den Benutzernamen hat er noch nicht richtig erraten, geschweige denn das Passwort. Dies bringt mich zu einem allgemeinen Thema, welches wohl viele hier interessieren könnte bzw. sollte:
Wie schützt man seine (Podcast-)Homepage vor feindlichen Übergriffen?
Muss ich jetzt da zusehn und abwarten, bis dem die Motivation, die IPs oder der Strom ausgeht? Kann ich da was anderes tun?
Das habe ich zum Glück auch installiert. Wenn ich da jetzt noch die E-Mail-Benachrichtigungen deaktiviere (was ich eigentliche irgendwie nicht will), hätte ich erstmal Ruhe.
Vielleicht ein Tipp meinerseits:
Der Benutzer sollte nicht “admin” heissen. Auch nicht “Name meiner Webseite (domain)”. “test” auch nicht.
Wählt ein eigenes, sonst nirgends verwendetes Passwort. Der ist alt, trotzdem machen’s die wenigsten User.
Ich habe nun spontan nach weiteren Plugins gesucht, welche hier helfen könnten. Sehr umfassend scheinen WP Simple Firewall, Wordfence oder iThemes Security zu sein. Etwas moderner als Limit Login Attempts scheint BruteProtect. Hat jemand Erfahrung mit diesen Plugins?
Ich habe meinen Adminbereich mit einer ‘.htaccess’ Datei nach dieser Anleitung geschützt.
Ergebnis: Totenstille Logisch, durch die zusätzliche Passwortabfrage gelangt so leicht niemand zum Admin-Login um dort die Zugangsdaten zu “raten”.
Alles andere (Blog,Feed usw.) funktioniert natürlich weiterhin ganz normal und ohne Passwort
Nachdem ich einmal ein Wordpress aufgrund eines Angriffs reparieren mußte, setze ich diverse Maßnahmen ein: Neben verschiedenen Absicherungsmmechanismen wie Plugins und modifizierten htaccess-Dateien verwende ich bei jeder Wordpress-Installation unterschiedliche Benutzernamen und Passworte. Jedes jeweils 50stellig. Nicht nur für Log-In, sondern auch für den Datenbank-Namen, den Datenbank-Benutzernamen, das Datenbank-Passwort. Nur den Datenbank-Prefix ändere ich mit 16 Stellen.
Jetzt hoffe ich nur, dass mir die Datenbank, mit der ich meine Installationendaten verwalte, nicht flöten geht.
Ach so: Ich lass das Ganze natürlich auf einer eigenen Maschine laufen und nicht im Webspace eines Providers.
Das habe ich auch so gemacht. Einfach eine zusätzliche Hürde für Bots, die es auf bekannte Sicherheitslücken im Adminbereich von Wordpress abgesehen haben.
Das mit der Bearbeitung der .htaccess Datei habe ich nun auch versucht - leider ohne Effekt. Das mag vielleicht daran liegen, dass bei mir die .htaccess Datei schon (mit anderem) Inhalt existiert hat und diese Anleitung entsprechend nicht mit meiner Installation kompatibel ist.
Logisch, durch die zusätzliche Passwortabfrage gelangt so leicht niemand zum Admin-Login um dort die Zugangsdaten zu “raten”.