Gefahrenquelle schließen: WordPress-Login-Name für jeden sichtbar!

Anzeige

Am Wochenende meldete sich per E-Mail ein Leser und Blogger bei mir, um mir eine Frage bezüglich der Sicherheit in WordPress zu stellen. Wie ihr hoffentlich alle wisst, versuchen Hacker immer wieder fremde Blogs zu hacken. Da sie das meist mit automatisierten Scripts machen, die nicht zwischen „großem“ und „kleinem“ Blog unterscheiden, ist von dieser Gefahr potentiell jeder von euch betroffen. Das Problem: wenn jemand euer Blog hackt, Schadcode auf eurer Seite einbaut und ihr das dann unwissentlich verbreitet, ist das zum einen sehr „unschön“ und kann im schlimmsten Fall sogar dazu führen, dass ihr für den Schaden verantwortlich gemacht werdet. Aus dem Grund sollte es in eurem eigenen Interesse sein, eure Blogs so gut wie möglich abzusichern.

WordPress Benutzernamen ändern ist wichtig, reicht aber allein nicht aus!

Die angesprochenen Scripts funktionieren meist so, dass sie sich eure Login-Seite heraussuchen und dort dann alle möglichen Passwort-Kombinationen ausprobieren. Da viele WordPress-Nutzer den Standard-Namen (admin) nicht ändern, verwenden die meisten Scripts diesen und haben so schon die Hälfte ihrer Arbeit erledigt, brauchen also wirklich nur noch das Passwort herausfinden. Aus diesem Grund kann nur dringend empfohlen werden, den Standard-Namen zu ändern! Das macht ihr ganz einfach, indem ihr in der Datenbank eures Blogs in der Tabelle users die entsprechenden Einträge ändert. Der Alex hat hierzu mal eine kleine, aber feine Anleitung geschrieben, damit das auch Leute schaffen, die von der Materie weniger Ahnung haben.

Vorsicht: Geänderte Benutzernamen sind immer noch leicht einsehbar!

Damit wähnte sich mein Leser eigentlich auf der sicheren Seite. Doch mit Schrecken musste er nun am Wochenende feststellen, dass jemand tatsächlich seinen geänderten Usernamen herausbekommen hatte und damit versuchte, seinen Account zu hacken! Doch wie kam der Hacker an den geänderten Nutzernamen? Wir haben das überprüft und es ist eigentlich -leider- ganz einfach:

„Schuld“ daran ist die Archiv-Funktion von WordPress. Wie ihr vielleicht wisst, könnt ihr euch damit z.B. Monats- oder Jahres-Archive eures Blogs anzeigen lassen, so dass ihr die Artikel eures Blogs beispielsweise in den richtigen Monaten einsortiert anzeigen lassen könnt. Nun gibt es neben den Zeit-Archiven aber dummerweise auch ein Autoren-Archiv. Das kann ganz nützlich sein, wenn man mit mehreren Autoren an einem Blog arbeitet, da man sich dann in dem Archiv nur die Artikel eines bestimmten Autors anzeigen lassen kann. Wer sein Blog (überwiegend) allein betreibt, wird diese Funktion wohl eher nicht benötigen.

Diese Autoren-Archive werden nicht von allen, aber wohl von sehr vielen WordPress-Themes genutzt und unterstützt. Probiert es einfach mal auf eurem Blog aus, indem ihr folgendes in die Adresszeile eures Browser eingebt:

http://www.meine-blog-adresse.de/?author=1

Das www.deine-blogadresse.de musst du natürlich durch deine eigene Blog-Adresse ersetzen 😉 Wenn du nun nur eine Fehlerseite bzw. eine „Nicht gefunden“-Meldung erhältst, dann hast du „Glück“ und dein Theme unterstützt die Autoren-Archiv-Funktion wohl nicht. Wenn die Funktion hingegen unterstützt wird, werden dir nun alle Artikel angezeigt, die der Autor mit der ID 1 geschrieben hat. Und der Autor mit der ID 1 bist im Normalfall du.

Wenn da eine Auflistung der Artikel erscheint, dann wirf noch einmal einen Blick in die Adresszeile deines Browsers. Dort dürfte nun so etwas stehen wie:

http://www.meine-blog-adresse.de/author/admin/

Wenn du deinen Benutzernamen nie geändert hast, steht dort z.B. „/author/admin/“, ansonsten dein neuer, geänderter Benutzername. Das Problem siehst du selbst: jeder Hacker, der die URL deines Blogs mit dem Zusatz „/?author=1“ aufruft, erhält auf diese einfache Weise auch deinen aktuellen Benutzernamen. Es macht natürlich wenig Sinn, aus Sicherheitsgründen den Standardnamen admin zu ändern, wenn den neuen Namen jeder Depp sofort einsehen kann.

Benutzernamen wirksam vor neugierigen Blicken schützen

Zum Glück gibt es jedoch eine einfache Möglichkeit, sich vor diesen neugierigen Einblicken zu schützen. Ihr könnt euch natürlich die Mühe machen und euch in den Quellcode eures Themes einarbeiten, um in der archives.php oder sonstigen Dateien die Funktion(en) für Autoren-Archive zu löschen oder zu deaktivieren. Es geht aber auch einfacher.

Hierzu müssen wir ein paar neue Zeilen in die Datei .htaccess schreiben. Diese Datei liegt im Hauptverzeichnis eures WordPress-Blogs, also dort, wo auch eure Ordner wp-admin und wp-content liegen. Falls die Datei noch nicht existieren sollte (und auch nicht ausgeblendet ist), dann einfach mit einem Texteditor eine leere, neue .htaccess anlegen. In die .htaccess müssen dann folgende drei Zeilen eingefügt werden:

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$http://www.meine-blog-adresse.de/archiv/ [L,R=301]

[via]

Das bewirkt, dass sämtliche Anfragen auf euren Blog, die den String „/?author=“ und irgendeine Zahl enthalten, automatisch umgeleitet werden auf die Seite, die du bei der fett gedruckten Zeile bitte entsprechend deinem Blog angibst. Ich habe hier z.B. gewählt

http://gesichtet.net/archiv/

um auf meine Archiv-Seite (ohne Autoren-Archiv) zu verlinken. Ihr könnt auf jede beliebige Seite eures Blogs verlinken; nur auf die Startseite zu verlinken wäre nicht empfehlenswert, da die Funktion dann in eine Dauerschleife geraten würde 😉 Durch die Umleitung wird das Autoren-Archiv nicht aufgerufen und entsprechend kann euer geänderter Benutzername nicht mehr eingesehen werden.

Plugin zur Ergänzung oder als Alternative

Abschließend möchte ich euch zusätzlich noch das Plugin Limit Login Attempts ans Herz legen. Damit könnt ihr die Anzahl der Versuche festlegen, die ein Nutzer von seiner IP aus maximal hat, um sich auf eurem Blog einzuloggen. Hat jemand (oder ein Script) dann z.B. 3x hintereinander eine falsche Benutzername/ Passwortkombination ein, kann er eine von euch festgelegte Zeitspanne keine weiteren Login-Versuche unternehmen. Natürlich kann das ein Hacker umgehen, indem sein Script sich eine neue IP zulegt – machen aber die wenigsten, da die Scripts ja meist mehrere Blogs gleichzeitig „beackern“ und man sich da nicht um „Einzelschicksale“ kümmert. Thomas hat seine sehr strengen Einstellungen für Limit Login Attempts mal veröffentlicht und fährt damit nach eigener Aussage sehr gut. Ich habe mir hier auf meinem Blog 3 Versuche eingestellt, bevor eine Sperrung eintritt, damit man sich sogar 2x vertippen kann. Das halte ich immer noch für sicher genug.

Das Plugin solltet ihr in jedem Fall nutzen, da es die Möglichkeiten der Hacker weiter extrem einschränkt. Außerdem werdet ihr überrascht sein, wie oft jemand versucht, sich in euren Blog zu hacken. Das kommt öfter vor, als ihr glaubt! Und vor allem, wenn du die oben genannten Tipps mit der Änderung des Nutzernamens und dem Verschleiern des neuen Namens nicht umsetzen kannst, weil du von Datenbanken und .htaccess-Dateien absolut keine Ahnung hast und nichts kaputt machen willst, bietet dieses Plugin eine gute Alternative, um den Blog auch ohne die anderen Tipps schon ein gutes Stück weit zu sichern. Wenn ihr dann noch ein wirklich gutes Passwort verwendet, seid ihr schon ziemlich weit auf der sicheren Seite.

Foto: Klicker / pixelio.de

Anzeige