Benutzernamen in WordPress
17. Juni 2015 um 18:52 Uhr von Sabine Becker
Vor längerer Zeit, als einen der ersten Artikel hier im Blog, beschrieb ich unter Admin von WordPress, wie man den Admin-Account schützen kann – und warum man das tun sollte.
Die Betreiber der Einbruch-Bots haben sich nun etwas Neues dafür ausgedacht, den Login anzugreifen. Ehrlich gesagt wundert es mich, daß sie das nicht schon lange tun; zumindest in den von mir betreuten Blogs hatte ich das bisher noch nicht gesehen, obwohl die Möglichkeit grundsätzlich schon immer gegeben war.
Die Bots, die massenhaft generische Einbruchsversuche an Blogs unternehmen, benutzen in den meisten Fällen weiterhin den Login-Namen „admin“. Auch sehr häufig sind „administrator“, „Administrator“, „adminadmin“, „webadmin“, „blog“ und „root“, ganz neu sehe ich seit ein paar Tagen noch „blog@blog“.
Gelegentlich – auffällig häufig bei Bots mit der IP von US-amerikanischen Dialins – werden auch Namen wie „AliciaSappingto“ oder „LavinaGbdolg“ verwendet. In diesen Fällen vermute ich, daß die Bots von den infizierten Heimrechnern Loginnamen abgreifen, die die Eigentümer der PCs irgendwo eingegeben haben.
Heute bekam ich nun von WordFence direkt aus zwei Blogs die Meldung eines Einbruchsversuchs mit dieser neuen Variante. In beiden Fällen wurde jeweils der Autorenname aus den Blogartikeln als Login-Name verwendet. Das heißt, das Blog wurde, wie üblich, vorher gescannt, aber im Gegensatz zu den bisherigen Scans wurde außer den Informationen, wie der Link heißt und ob da kommentiert werden kann, auch der Autorenname ausgewertet.
Wie gesagt, ich wundere mich nicht darüber, daß das versucht wird. Ich wundere mich fast mehr darüber, daß das jetzt erst versucht wird.
Aber man kann sich ja dagegen schützen: Im Nutzer-Profil gibt es die Felder „Benutzername“, „Vorname“, „Nachname“, „Spitzname“ und „Öffentlicher Name“. Der Benutzername ist der Login-Name. Dieser darf nicht mit dem öffentlichen Namen übereinstimmen. Auch darf natürlich der eigene öffentliche Name nicht von einem anderen Benutzer desselben Blogs als Benutzername eingesetzt werden.
Somit kommen Angreifer auch weiterhin nicht an gültige Login-Namen und können so viele Paßwörter durchprobieren, wie sie wollen, ohne daß wir uns Gedanken machen müssen.