Gerade gemerkt das einige WordPress Blogs offline sind. Wahrscheinlich weil seit letzter Woche ein Brute-Force-Angriff auf verschiedene WordPress Blogs im Gange ist. Es wird vermutet, dass diese Angriffe von einem Bot-Netz ausgehen. Aus diesem Grund gibt es hier ein paar Tipps um sein WordPress Blog abzusichern:
- Die eingesetzte WordPress Version immer aktuell halten. Momentan ist WordPress 3.5.1!
- Genauso wie WordPress selbst sollte man auch darauf achten, dass die benutzten PlugIns in der aktuellen Version benutzt werden. Wenn nicht, dann updaten! Ich erinnere mal nur an das Problem mit TimThumb.
- Eigentlich ist es selbstverständlich, aber man kann es nicht oft genug sagen: Benutzt sichere Passwörter für den Administrationsbereich! „Sex“, „Gott“, „RocknRoll“ oder „root“ sind keine sicheren Passwörter. Gerade bei einem Brute-Force-Angriff sind diese schnell geknackt. Wer Hilfe für das richtige Passwort braucht, der kann bei SafePasswd sich ein neues generieren lassen oder mit The Password Meter sein altes überprüfen lassen.
- Ändert den Benutzernamen „admin“ in was anderes, z.B. „wpbackend“ oder „WadminP“. „admin“ wird standardmäßig von WordPress bei der Installation angelegt und daher wird man es mit diesem Benutzernamen zuerst ausprobieren.
- Angriffe auf den Adminbereich können mir diversen Plugins, z.B. Limit Login Attempts oder Google Authenticator etwas abgesichert werden. Allerdings kommt man trotzdem bis zum Login des Adminbereichs durch. Besser wäre es den Zugriff per .htaccess einzuschränken. Auch dafür gibt es einige Generatoren im Internet. Einfach mal googeln.
Es gibt sicherlich noch weitere Tipps (z.B. SSL), aber für den Anfang sollte dies reichen.