Wordpress Login sperren und die Registrierung verbieten

Inhaltsverzeichnis

Wordpress bietet viele Angriffsflächen

Von Anbeginn der Zeit, naja seit es eben Wordpress gibt, hat das kostenlose CMS ein Problem. So ist das System zwar durchaus robust und sicher programmiert worden, doch es erlaubt eben auch Brute-Force-Attacken ohne Ende und zwar an vielen Punkten. Es begünstigt sie zum Teil einfach sehr. Hier auf FastWP gibt es pro Tag so ungefähr 50 bis 250 Angriffe, je nachdem ob es gerade eine Welle oder prominente Sicherheitslücke gibt.

Ganz schön viel, denn jeder Angriff frisst auch Server-Ressourcen und bremst den Blog somit aus. Außerdem betrifft das nur die regulären Attacken, schließlich habe ich das Login und die Kommentare bereits deaktiviert. Wäre es anders, würde es noch dutzende Hackversuche über die Kommentare und den Wordpress Login geben. Viele Angriffsflächen, doch das bleibt bei einem populären CMS eben nicht aus.

Automatische Hackversuche ohne Ende

Das Problem von Wordpress ist nun, dass es im Ursprungszustand relativ offen ist. Schlimm ist dieser Umstand, weil Wordpress eben zu einer Art Standard geworden ist, sich immer mehr verbreitet und unfassbar viele Websites anfeuert, inzwischen auch große und bekannte Portale. Mit der kommenden REST-API wird Wordpress sogar noch populärer werden und somit auch ein noch größeres Ziel. Warum?

Bei Wordpress ist jede Installation fast gleich strukturiert und aufgebaut. So können Hacker nicht nur gezielt nach Schwachstellen suchen, sondern auch automatische Brute-Force-Attacken abspulen und das quasi 24/7 und am laufenden Band. Weil die Dateien und Ordnerstrukturen immer dieselben sind, die Lücken meist nicht geschlossen werden und es allgemein ein paar ernstzunehmende Schwachstellen gibt. Zum Beispiel eben beim Login von Wordpress. Wobei diese Schwachstelle offiziell gar nicht so gehandelt wird.

Angreifer haben es bei Wordpress leicht

Wer Wordpress nämlich nicht anpasst, erlaubt potenziellen Angreifern eine ganze Menge. Sie wissen, dass der “admin” als Standardnutzer meist noch vorhanden ist (umbenennen!) und dass seine ID immer die Standard-ID bleibt. Dass in Wordpress relativ einfach Benutzernamen ausgelesen werden können und zwar sogar über die wp-login.php ist auch nichts neues mehr. Wie? Zum Beispiel, weil Wordpress Fehlermeldungen innerhalb des Logins ausgibt. Wer einen ungültigen Nutzernamen eingibt, bekommt angezeigt, dass es den Namen nicht gibt. Wer einen korrekten Nutzernamen mit falschem Passwort eingibt, sieht, dass nur das Passwort falsch ist, der Nutzername aber sehr wohl existiert. Ein Fest für potenzielle Angreifer, die so schnell und einfach herausfinden wie der Nutzer heißt und dann quasi nur noch Passwortlisten durchlaufen lassen müssen. Geht ja alles ganz einfach und ein Brute-Force-Schutz ist von Haus aus nicht dabei. Selbst das Login bzw. die Loginversuche werden nicht limitiert.

Server entlasten und Registrierung verbieten

All diese Probleme und Hackversuche haben in den letzten Jahren bei mir dazu geführt, dass ich die Login einfach komplett via .htpasswd gesperrt habe. Auch empfiehlt es sich, den Admin umzubenennen, die Standard-ID zu ändern und allgemein für etwas mehr Sicherheit zus sorgen, beispielsweise mit deaktivierter XML-RPC. Ich für meinen Teil denke jedenfalls, dass Registrierungen innerhalb von Wordpress einfach nicht mehr möglich gemacht werden sollten. Wer nicht aufpasst hat schnell gehackte Nutzer und allgemein stellt ein Login schlichtweg eine große Sicherheitslücke dar.

Am besten also alles abschließen, deaktivieren und hinter Verschluss halten, um seinen Lesern dafür im Gegenzug mehr Sicherheit zu gewähren. Außerdem sind Kommentarsystem wie Disqus inzwischen eh fast schon zu einer Art Standard geworden und anmelden wollen sich auch nur noch die wenigsten. Innerhalb von Wordpress macht eine Registrierung daher absolut keinen Sinn, zumal die Handhabe in der Datenbank nicht sonderlich effizient ist. Wozu also ein Risiko eingehen? Schluss mit den Registrierungen. Sperrt den Login, nutzt eine Firewall wie NinjaFirewall und sorgt damit für etwas mehr Sicherheit in eurem Blog. Ihr werdet sehen, das entlastet nicht nur die Nerven, sondern auch spürbar euren Server.

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian