Dieser Beitrag wurde vor 9 Jahren 7 Tagen veröffentlicht. Die Informationen in diesem Beitrag sind möglicherweise veraltet. Bitte benutze die Suche oder das Archiv, um nach neueren Informationen zu diesem Thema zu suchen.Also nicht ich, dieses Blog hier. Seit gestern Vormittag versuchen wieder irgendwelche Bösewichte, mit Brute-Force-Attacken ins Backend einzudringen. Natürlich mit nicht existenten Benutzernamen…
Jetzt habe ich hier an sich eine gute Strategie in Sachen Sicherheit, auf die ich nicht detailliert eingehen möchte. Ich will ja niemandem einen Ansatzpunkt für Angriffe liefern. Der Standard ist natürlich Limit Login Attempts, was zwar seit über drei Jahren nicht mehr aktualisiert wurde, aber noch immer macht, was es soll: die Anzahl der Login-Versuche von einer und derselben IP-Adresse begrenzen. Beim Erreichen dieser Grenze wird der Zugriff dieser IP-Adresse für einen bestimmten Zeitraum gesperrt.
Ein weiterer Standard dürfte Wordfence Security sein, das schon in der Gratisversion eine Menge Optionen bietet und auch bezüglich des Logins einige Optionen bietet. So wird hier auch geprüft und geloggt, ob es den bei einem fehlgeschlagenen Login verwendeten Benutzernamen überhaupt gibt. Wenn nicht, kann die anfragende IP-Adresse umgehend für einen definierten Zeitraum gesperrt werden. Da auch der berechtigte Benutzer sich mal vertippen kann, besteht bei Blogs mit mehreren Benutzern die Gefahr, einen berechtigten Benutzer auszusperren. Aber hier schreibe ich alleine und verwalte Benutzernamen und Passwörter in einer externen Software, die die nötigen Daten von sich aus an den Browser übermittelt und einträgt. Da ist die Gefahr des Vertippens eher gering. 
In der kostenpflichtigen Premium-Version gibt es noch weitere Möglichkeiten, wie z. B. IP-Sperren auf Länderebene.
Bei mir kommen auch noch weitere Plugins zum Einsatz, die die Sicherheit speziell beim Anmelden betreffen. Die machen alle etwas ganz bestimmtes, deshalb nenne ich diese hier nicht beim Namen.
Was ich noch überlege ist eine Zwei-Faktor-Authentifizierung (2FA). Zwar gibt es im WordPress Plugin-Verzeichnis einige Erweiterungen, die 2FA für WordPress ermöglichen, die meisten arbeiten jedoch mit einem externen Service zusammen. Da habe ich so meine datenschutzrechtlichen Bedenken, zumal die Dienstanbieter außerhalb der EU angesiedelt sind. Zudem möchte ich keine weiteren Apps auf mein Smartphone schaufeln. Einzig den Google Authenticator habe ich bereits auf dem Handy, da ich für meinen Google-Account ebenfalls 2FA nutze. Aber alle Plugins, die mit dem Google Authenticator zusammenarbeiten, wollen einen QR-Code eingescannt haben. Das allerdings kann der Authenticator nicht mehr, wenn er einmal eingerichtet ist. Zumindest habe ich keine entsprechende Option gefunden. Die Lösung von Sergej Müller, die nur lokal arbeitet und den Bestätigungscode per Mail schickt, habe ich in einer anderen Webseite laufen. Die Lösung ist zwar datenschutzrechtlich unbedenklich, aber aus nicht näher definierbaren Gründen bin ich damit nicht so ganz glücklich.
Hinterlasse jetzt einen Kommentar