Frage an die Wordpress Profis

[Legolas]

Servus

ich habe eine kleine Webseite mit WP erstellt und versucht alle Punkte die das Thema Sicherheit betreffen zu berücksichtigen, SSL, so wenig wie möglich Plugins etc. Um das Thema "Login auf die Admin Seiten" zu sichern habe ich das Plugin "Limit Login Attempts". Das klappt soweit so gut. Mein Admin Account heisst nicht banal admin sondern hat einen sehr kryptischen Namen. Nun hat tasächlich jemand versucht si mit diesem kryptischen Namen anzumelden. Wie kommt der da drauf? Habt Ihr einen Tipp?

Danke
SW

 

[Departet]

Aus Reddit:

It's pretty easy to write something that iterates through the following to find valid usernames... ie http://mydomain.com/?author=1

 

[Legolas]

Ok,

der kann rausfinden wie der Username lautet aber ist dann das o. g. Plugin noch ein sinnvoller Schutz, vorrausgesetzt man nimmt s. g. starke Passwörter?

Danke
SW

 

[BlubbsDE]

Wenn Deine Wordpress Installation im Netz erreichbar ist, dann wirst Du ständig Login Versuche haben. Ist einfach so.

Deine Sicherheit steht und fällt mit dem Password. Das ist der wichtige Punkt.

Wenn schon ein Plugin. Dann würde ich ein 2FA Plugin nutzen.

 

[Helge01]

Erstelle eine .htpasswd für die HTTP Authentifizierung.
https://wiki.selfhtml.org/wiki/Webserver/htaccess/Zugriffskontrolle

Sicherheit über Plugins zu realisieren ist auch nicht immer die beste Idee, da diese häufig selbst Sicherheitslücken haben. Besser ist das auf Serverebene mit einer entsprechenden .htaccess

Wenn ich mir aber die Angriffswelle auf Wordpress Installationen von vor 2 Tagen anschaue, dann hast du noch einiges vor dir.

 

[IstVan82]

Meine WP Zeit ist lang her, aber am sichersten fand ich, die komplette Seite als HTML/CSS zu exportieren, das ging per Knopfdruck. (keine Möglichkeit eines Logins für den Betrachter) Die eigentliche WP-Seite lag ganz woanders, Zugang ging nur über meine IP Range. Nur mal so als Denkansatz auch sicherlich für viele andere hier interessant. Leider weiß ich nicht wie das nette Plugin hieß, war auf jeden fall keine noname Erweiterung.

 

[Legolas]

Ok, danke hab jetzt 2FA eingerichtet

 

[kachiri]

Meine WP Zeit ist lang her, aber am sichersten fand ich, die komplette Seite als HTML/CSS zu exportieren, das ging per Knopfdruck. (keine Möglichkeit eines Logins für den Betrachter) Die eigentliche WP-Seite lag ganz woanders, Zugang ging nur über meine IP Range. Nur mal so als Denkansatz auch sicherlich für viele andere hier interessant. Leider weiß ich nicht wie das nette Plugin hieß, war auf jeden fall keine noname Erweiterung.

Im Grunde wohl die sicherste Variante: Die ganze Administration steckt in einem eigenen Netzwerk und ist aus dem Netz nicht so ohne weiteres zu erreichen, während die Webseite quasi nur ein Abbild ist. Hat u.U. aber auch Nachteile und halte ich für eine "kleine" WP-Installation auch für etwas übertrieben. Dann kann ich auch direkt in Richtung Sitebuilder wie Hugo oder Jekyll gehen.

Möglichst keinen "Standard"-Nutzernamen (admin, root, ...). Ein sicheres Passwort und fertig. Eventuell noch eine 2FA einrichten und gut ist.

 

[Madman1209]

Hi,

man könnte auch in Richtung fail2ban gehen, dann sind solchen Brute Force Geschichten ganz schnell die Möglichkeiten entzogen.

VG,
Mad

 

[Legolas]

Aber wie mach ich das auf einem shared Webspace?

 

[Madman1209]

Hi,

mit WP Fail2Ban könntest du es probieren

VG,
Mad

 

[Falc410]

Oder iThemes Security - gibt sicher was neueres, aber das habe ich noch drauf und das sperrt auch entsprechend. So etwas bremst einen Angreifer aus der es mit BruteForce versucht. So oder so ist ein sicheres Passwort pflicht und SSL / TLS natürlich.