Sicherheit

Schwachstelle Login

WordPress ist sehr verbreitet, was es für Hacker interessant macht solche Seiten anzugreifen. In der Regel ist bei Standardinstallationen auch der Pfad zum Login bekannt.

Loginpfad ändern

Eine Möglichkeit den Zugang zum Login zu erschweren, ist das Ändern des Pfades. Dafür gibt es unterschiedliche Plugins. Allerdings ist das kein 100%iger Schutz, da sich mit etwas Aufwand auch der neue Pfad ermitteln lässt. Diese Option ist also nur eine kleine Massnahme den Zugang zu erschweren. Deshalb ist ein gutes Passwort weiterhin wichtig.

In diesem Zusammenhang sei noch erwähnt, auf einen Login-Link im Frontend sollte demnach verzichtet werden, sonst macht die Massnahme keinen Sinn. Solle so ein Link nötig sein, oder ein verwendetes Plugin einen Solchen darstellen, können Sie diese Massnahme sein lassen.

[ Sichere Passwörter ]

Benutzername ändern

Weit effizienter ist es, die Benutzernamen zu verschleiern. Für Hacker ist es hilfreich, den Namen eines Benutzers, insbesondere des Administrators zu kennen. So müssen sie nur noch das Passwort erraten.

Kein klassischer Benutzername verwenden

Auf jeden Fall sollten Sie für den Administrator nicht einen Benutzernamen wählen wie admin oder administrator. Auch sollte sich der Name nicht aus dem Impressum ableiten lassen.

Wo sind Benutzernamen sichtbar?

Das ist vom verwendeten Theme abhängig. In der Regel wird bei Beiträgen der Autor genannt, und somit ist auch der Benutzername erkennbar. Fährt oder klickt man den Klarnamen, wird auch der Benutzername sichtbar.

In den Benutzereinstellungen wird für jeden Benutzer zwingend ein Spitzname erfasst. Dieser ist bei der Registration mit dem Benutzernamen identisch und kann nachträglich angepasst werden. Mit einer Funktion in der functions.php (oder in einem entsprechenden Plugin) kann in der Anzeige der Benutzername gegen den Spitznamen ausgetauscht werden.

/* --- Benutzername bei Anzeige gegen Spitzname ersetzen --- */

// Wenn Autor gefunden, werden Anfragen an die Autor-ID verlinkt
	add_filter( 'author_link', 'wpse5742_author_link', 10, 3 );
	function wpse5742_author_link( $link, $author_id, $author_nicename )
	{
    	$author_nickname = get_user_meta( $author_id, 'nickname', true );
    	if ( $author_nickname ) {
        	$link = str_replace( $author_nicename, $author_nickname, $link );
    	}
    	return $link;
	}

// Ersetzt den Benutzernamen durch den Spitznamen
	add_filter( 'request', 'wpse5742_request' );
	function wpse5742_request( $query_vars )
	{
    	if ( array_key_exists( 'author_name', $query_vars ) ) {
        	global $wpdb;
        	$author_id = $wpdb->get_var( $wpdb->prepare( "SELECT user_id FROM {$wpdb->usermeta} WHERE meta_key='nickname' AND meta_value = %s", $query_vars['author_name'] ) );
        	if ( $author_id ) {
            	$query_vars['author'] = $author_id;
            	unset( $query_vars['author_name'] );    
        	}
    	}
    	return $query_vars;
	}
// Vorlage gefunden bei: https://dertimoschmidt.de/

Quelle: dertimoschmidt.de

Auf diese Weise ist im Frontend kein in der Datenbank registrierter Benutzername mehr sichtbar.

Keine Veröffentlichung mit dem Administrator

Grundsätzlich sollten Sie es vermeiden, mit dem Administrator Beiträge und Seiten zu veröffentlichen. Richten Sie sich dafür einen separaten Benutzer ein, mit Redakteur-Rechten. Sie können als Admin nachträglich alle Veröffentlichungen einem Redakteur zuweisen (Mehrfachaktion > Bearbeiten).

Captcha

Captchas ist eine Technologie die versucht automatisierte BOTs und Menschen voneinander zu unterscheiden. Man kennt Diese z.B. von diesen Bildern die man auf Grund einer Aufgabenstellung auswählen muss. Dies betrifft jeden Besucher der den Login aufruft.

[ Captchas einrichten ]

2-Faktor Authentifizierung

Mit der 2-Faktor Authentifizierung kann man eine weitere, sehr effektive Hürde setzen. Diese muss jedoch für jeden Benutzer separat aktiviert werden. Zur Auswahl stehen u.A. die Codezustellung per eMail und eine Authentificator App. Besonders für den Admin und Benutzer mit umfangreicherem Zugriff macht diese Möglichkeit durchaus Sinn.

[ 2-Faktor Authentifizierung ]