WordPress-Sicherheit: Verstecken des Benutzer-Namens
Deine Homepage/Dein Blog ist ständigen Angriffen ausgesetzt
Wer auch nur gelegentlich die Logdateien seines WordPress-Blogs prüft wird feststellen, dass es immer wieder Angreifer gibt, die mittels Try and Error versuchen, das Login eines Blogs zu knacken.
Die Angriffe auf Webseiten nehmen nicht nur bei WordPress zu, das ist eine Internet-Übergreifende Entwicklung, die vor niemand und keiner Homepage halt macht.
Die „Qualität“ der Angreifer ist dabei durchaus unterschiedlich. Einen hundertprozentigen Schutz gibt es ja leider nicht, aber ich zeige Ihnen heute wieder eine Möglichkeit, es diesen Angreifern wieder etwas schwerer zu machen, und damit die Wahrscheinlichkeit, dass einer der Angreifer Ihre Logindaten erfolgreich ausspäht, zu verringern.
Die Häufigkeit der Angriffe auf Webseiten und Blogs wird meist unterschätzt. Da die Angriffe auf Webseiten zudem durch Spider oder Robots erfolgen, sind die Aufrufe mancher Webseiten durch echte Besucher im Vergleich mit den Aufrufen über diese Robots oft schon weit in der Minderheit.
Warum ist die Anzeige des Autorennamens ein Problem?
Bei Beiträgen wird in vielen Themes der Autor des Beitrages angezeigt. Problem ist, das der Autor zusammen mit einem Link auf sein Profil angezeigt wird. Dummerweise ist der Name des Profils auch gleichzeitig der Anwendername.
Ein aufmerksamer Hacker kann so schon mal erkennen, mit welchem Login-Namen sich der Autor anmeldet. Damit ist die Hälfte einer erfolgreichen Ausspähung der Benutzerdaten erreicht.
Wenn der Autor jetzt noch ein „dummes“ Passwort gewählt hat, ist der Zugang in wenigen Minuten geknackt.
Die Lösung für das Problem – Anzeige des Userlogins im Userprofil:
Lösung 1 (Teillösung)
Nutzen Sie unterschiedliche Benutzer für die Administration Ihrer Homepage (Admin-Account) und zum Schreiben von Beiträge und Seiten (Autor oder Redakteur).
Das macht es zwar organisatorisch aufwendiger, wenn Sie z.B. auf bereits verwendete Bilder etc. zugreifen wollen. Andererseits: Wenn ein Hacker diesen Autoren-Account knacken kann, ist der mögliche anzurichtende Schaden auf die Seiten und Beiträge dieses Autors begrenzt. Damit wird es schon schwieriger, den Blog insgesamt zu zerstören, die möglichen Schadensauswirkungen sind geringer.
Das WordPress-Plugin Display Name Author Permalink
Was macht das Plugin? Ganz einfach: Es ersetzt den Login-Namen in dem Autoren-Link und in der Profilanzeige durch den „Slug“ des „Nicename“ oder „Display-Namens“. Dieser Name kann sich von dem verwendeten Login-Namen völlig unterscheiden.
Installation des Plugins
- Dashboard->Plugins->installieren
- Im Suchfeld „Display Name Author Permalink“ eingeben, das Plugin erscheint als erstes in der Suchergebnisliste
- Das Plugin mit diesem Namen auswählen, installieren und aktivieren
Damit ist die Installation abgeschlossen, eine weitere Einstellung ist nicht notwendig und nicht möglich, und das Sicherheitsproblem ist gelöst. Es ist für Hacker jetzt wesentlich schwieriger, über diesen angezeiten Namen auf den Benutzernamen des Administrators zu schließen.
Für die Auswahl und Einrichtung von Benutzernamen und Passwort gibt es bereits einen Blogbeitrag:
https://www.profi-blog.com/sicherheitswarnung-fuer-wordpress-blogs/
Zusätzlich müssen sie für die Wirkung dieses Plugins Ihre Benutzerdaten, vor allem den „öffentlichen Namen“ bestimmen.
Nach Abschluss dieser Aktion und der Beachtung der Richtlinien ist Ihr Blog wieder um einiges sicherer geworden.
Comments
WordPress-Sicherheit: Verstecken des Benutzer-Namens — Keine Kommentare
HTML tags allowed in your comment: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>