Gerade gemerkt das einige WordPress Blogs offline sind. Wahrscheinlich weil [seit](http://www.webhostlist.de/2013/04/verstarkte-angriffe-gegen-wordpress-installationen-bei-deutschen-hostern/ Verstärkte Angriffe gegen WordPress Installationen bei deutschen Hostern) [letzter](http://www.webhostlist.de/2013/04/wordpress-angriffe-jetzt-weltweit/ WordPress Angriffe jetzt weltweit) [Woche](http://techcrunch.com/2013/04/12/hackers-point-large-botnet-at-wordpress-sites-to-steal-admin-passwords-and-gain-server-access/ Hackers Point Large Botnet At WordPress Sites To Steal Admin Passwords And Gain Server Access) [ein](http://www.heise.de/newsticker/meldung/Angriffswelle-auf-1-1-Server-1841085.html Angriffswelle auf 1&1-Server) [Brute-Force-Angriff](http://codex.wordpress.org/Brute_Force_Attacks Brute Force Attacks) auf verschiedene WordPress Blogs im Gange ist. Es wird vermutet, dass diese Angriffe von einem Bot-Netz ausgehen. Aus diesem Grund gibt es hier ein paar Tipps um sein WordPress Blog abzusichern:
- Die eingesetzte WordPress Version immer aktuell halten. Momentan ist [WordPress 3.5.1](http://wpde.org/ WordPress Deutschland)!
- Genauso wie WordPress selbst sollte man auch darauf achten, dass die benutzten PlugIns in der aktuellen Version benutzt werden. Wenn nicht, dann updaten! Ich erinnere mal nur an das Problem mit [TimThumb](http://www.perun.net/2012/04/14/wordpress-timthumb-sicherheitsluecke-immer-noch-im-umlauf/ WordPress: TimThumb-Sicherheitslücke immer noch im Umlauf).
- Eigentlich ist es selbstverständlich, aber man kann es nicht oft genug sagen: Benutzt sichere Passwörter für den Administrationsbereich! Sex, Gott, RocknRoll oder root sind keine sicheren Passwörter. Gerade bei einem Brute-Force-Angriff sind diese schnell geknackt. Wer Hilfe für das richtige Passwort braucht, der kann bei [SafePasswd](http://www.safepasswd.com/ SafePasswd) sich ein neues generieren lassen oder mit [The Password Meter](http://www.passwordmeter.com/ The Password Meter) sein altes überprüfen lassen.
- Ändert den Benutzernamen admin in was anderes, z.B. wpbackend oder WadminP. admin wird standardmäßig von WordPress bei der Installation angelegt und daher wird man es mit diesem Benutzernamen zuerst ausprobieren.
- Angriffe auf den Adminbereich können mir diversen Plugins, z.B. [Limit Login Attempts](http://wordpress.org/extend/plugins/limit-login-attempts/ Limit Login Attempts) oder [Google Authenticator](http://wordpress.org/extend/plugins/google-authenticator/ Google Authenticator) etwas abgesichert werden. Allerdings kommt man trotzdem bis zum Login des Adminbereichs durch. Besser wäre es den Zugriff per [.htaccess](http://de.wikipedia.org/wiki/Htaccess .htaccess) einzuschränken. Auch dafür gibt es einige Generatoren im Internet. Einfach mal googeln.
Es gibt sicherlich noch weitere Tipps (z.B. SSL), aber für den Anfang sollte dies reichen.