Admin von Wordpress
18. Oktober 2013 um 14:27 Uhr von Sabine Becker
Bei der Neuinstallation eines WordPress wird standardmäßig ein Administrator-Account angelegt, für welchen der Benutzername „admin“ vorgeschlagen wird. Schon länger wird aber immer wieder darauf hingewiesen, daß man diesen Benutzernamen aus Sicherheitsgründen nicht verwenden sollte, weil Angreifer natürlich wissen, daß das der Standard-Benutzername für den Administrator ist. Deshalb probieren Angreifer primär Paßwörter auf diesen Benutzernamen aus, um ins Blog eindringen zu können.
Was wollen solche Angreifer eigentlich?
Insbesondere Spammer haben ein großes Interesse daran, in Blogs nicht nur Spamkommentare abzuliefern, sondern auch direkt Artikel zu verfassen. Deshalb lassen sie über Botnetze immer wieder den Login von Blogs angreifen, um ihre unerwünschten Werbebotschaften direkt einspeisen zu können. Außerdem können sie damit den eigentlichen Administrator (zumindest zeitweise) aussperren und damit natürlich auch Spamkommentare gleich mit durchlassen, die sonst an einem Antispam-Plugin oder der Kommentar-Blacklist scheitern würden.
Außerdem können sie den damit übernommenen Webspace auch dafür nutzen, Malware oder Phishing-Websites zu hosten; der Link wird dann über Spam-E-Mails, Spamkommentare etc. verbreitet. Und wenn man dann schonmal Zugriff hat, kann man auch direkt ein Script hochladen, um den Server auch gleich dazu zu mißbrauchen, selbst Spam zu versenden.
Schließlich gibt es je nach Blogthema durchaus Leute, die, sagen wir, nicht so ganz mit dem Betreiber übereinstimmen und ihm daher gern mal eins auswischen würden. Ein sogenanntes Defacing (Veränderung des Aussehens und/oder der Inhalte) ist schließlich, je nach Bekanntheitsgrad des Blogs, durchaus öffentlichkeitswirksam.
Wie kann ich mich schützen?
Alex hat schon vor einigen Monaten einen ausführlichen Artikel dazu verfaßt, den ich hier noch um eine neue Erkenntnis ergänzen möchte. Kurz: Er rät dazu, den Usernamen „admin“ nicht zu benutzen, diesen zu ändern, sofern er schon vorhanden ist, und nicht mit dem Admin-Account zu bloggen oder zu kommentieren. Er weist auch darauf hin, daß man unbedingt dafür sorgen sollte, daß der Username des Admins nicht über http://blog.tld/?author=1 abrufbar ist.
Mein privates Blog ist schon ein paar Jahre alt (installiert 2008, das war noch eine 2.x-Version von WordPress). Damals bot WordPress noch gar nicht die Möglichkeit, einen anderen Administrator-Namen als „admin“ zu wählen. Das hat sich ja mittlerweile zum Glück geändert.
Ich habe also den Administrator-Namen mit Hilfe des Plugins Admin Renamer Extended geändert. Wenn man jetzt http://blog.atari-frosch.de/?author=1 aufruft, wird oben in der Adreßzeile des Browsers der Autor „admin“ angezeigt, den es aber nicht mehr gibt. Das heißt: Angreifer können mit dem Usernamen „admin“ so viele Paßwörter durchprobieren, wie sie wollen, sie werden keinen Erfolg haben – obwohl der Name des primären Accounts scheinbar „admin“ ist.
Es erscheint mir daher sinnvoll, den ersten Administrator-Account bei der Installation tatsächlich erst einmal „admin“ zu nennen, um ihn danach mit Hilfe des genannten Plugins in einen anderen Benutzernamen zu ändern. Für Angreifer ist der Admin-Username damit nicht mehr über den Aufruf „author=1“ erratbar.
Zusätzlich benutze ich das Plugin Wordfence Security, das ich jedem WordPress-Betreiber nur wärmstens ans Herz legen kann. Es kann insbesondere so konfiguriert werden, daß es eine IP-Adresse, die sich mit einem unbekannten Usernamen einzuloggen versucht, sofort für eine vorgegebene Zeitspanne aussperrt. Desweiteren kann man auswählen, daß der Username „admin“ nicht mehr angelegt werden darf, sofern er nicht schon vorhanden ist.
Man muß es Angreifern ja nicht unnötig leicht machen – und eine falsche Fährte zu legen, ist da durchaus ein geeignetes Hilfsmittel.
30. Dezember 2013 at 16:26
Auch kann ich CTracker, welches ich stark überarbeitet und erweitert habe, sehr empfehlen: http://mxchange.org/repos/ctracker/trunk/