WordPress & Webwork

WordPress und Sicherheit: warum man Standardadmin löschen sollte

Hier ein kleiner Hinweis, warum man den Standardadmin-Account bzw. den Standard-Admin-Namen (admin) in WordPress nicht nutzen sollte:

8 failed login attempts (2 lockout(s)) from IP: xxx.xxx.xxx.xxx

Last user attempted: admin

IP was blocked for 20 minutes

Und das hier ist nicht die erste Meldung, die ich in den letzten Wochen bekommen habe. Aber nicht nur admin, sondern wp-admin oder wp_admin sind beliebte Ziele solcher "Loginversuche". Als zusätzliche Maßnahme kann man per .htaccess solche IPs von der kompletten Website sperren:

order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all

Siehe auch WordPress und Sicherheit: kleine Zusammenfassung.

17 Reaktion(en)

  1. Tobias

    Am besten den Adminbereich mit einem zusätzlichen .htaccess Passwort schützen und nur bestimmte IP Bereiche überhaupt für einen Login zulassen. So kann man in 99% der Fälle einfach die IPs seines eigenen Providers erlauben und alle anderen sperren. Damit hat man dann schon mal weit über 95% der Angriffe auf den Adminlogin vereitelt.

  2. s-29

    Hmm, ich hab zwar selber da ne Page, aber versteh die Logik hinter der Erklärung wie oben beschrieben leider gar nicht, maybe kanns ja mal wer genauer erklären.

    Das man als admin den namen admin als accountname nicht eingeben soll, versteht sich doch eigentlich von selbst..

    Ich versteh auch aktuell nicht warum man mit dem wordpress account, mit dem man auch logischerweise die admin funktionen hat, auf der page nichts veröffentlichen sollte.

    Einlog Probs hatte ich echt noch nie…..

    LG
    s29

  3. Csaba Nagy

    Hallo!

    Bei mir sieht es nicht besser aus…und in letzter Zeit sind die versuchten Zugriffe sogar noch angestiegen!!!

    Die IPs sind alle durch die Bank über türkische Internetanbieter gekommen…weiss nicht was es da aufsich hat…

    MfG

    Csaba

  4. pedro67

    ähhhhh…. wo seh ich diese Meldungen, wo sich wer versucht hat wie einzuloggen?

    Ich würde überhaupt gern statt wp-login oder wp-admin was anderes benützen. Geht das?

  5. Csaba Nagy

    Hallo!

    Mein Kommentar von Gestern hat auch die Falschanmelder weiter "Beflügelt" und es ist innerhalb eines Tages zu mehreren Fehlanmeldungen gekommen…

    Ich verstehe diese Leute einfach nicht…als ob es in einem (meinem) Blog etwas so wichtiges zu holen wäre!!!

    MfG

    Csaba

  6. Gerald Wiesner

    Hallo perun,

    ich habe den admin gelöscht, bekomme aber weiterhin Benachrichtigungen über neue Kommentare an die Mailadresse, die der admin hatte. Die Mails kommen jetzt also doppelt. Einmal an die Adresse des neuen admins (der hat eine neue Mailadresse bekommen) und an die alte Mailadresse.

    Weißt du, wie ich das beheben kann?

    Grüße, Gerald

  7. ConnyLo

    @Csaba Nagy

    Ich verstehe diese Leute einfach nicht…als ob es in einem (meinem) Blog etwas so wichtiges zu holen wäre!!!

    Im Blog ist vielleicht nichts zu holen, aber Deine Site/Webaccount kann als Spamschleuder umgebaut werden, oder als Basis für einen Angriff auf den Provider genutzt werden usw. 😯

  8. Pingback: Meine neuesten Tweets: Heute für den 8. Oktober 2011 | Suras Weblog

  9. Daniel

    Bin auch ein Verfechter des zusätzlichen Schutzes durch eine htpasswd-Authentifizierung. Selbst ein simples Passwort sorgt an dieser Stelle für ein großes Plus an Sicherheit …

    1. Perun

      @Daniel,

      halte ich nicht viel von, weil die .htaccess bei jedem Website-Aufruf ausgeführt wird, je umfangreicher die ist um so mehr muss der Server auch leisten. Da finde ich persönlich ein neues Admin-Account mit einem ordentlichen Passwort in Verbindung mit Limit Login Attempt viel pfiffiger.

  10. Viktor Dite

    Die Betonung müsste aber darauf liegen "Server Last". Die Daten werden nicht, wie bei anderen Pagespeed relevanten Optionen zwischen Client und Server übertragen. Wenn der Server also potent genug ist, macht die Größe keinen gravierenden Unterschied. Wenn es bspw. der billigste von 1blu, domaingo oder online-speicher ist, dann wirds vielleicht einen unterschied machen.

  11. Daniel

    @Perun: Richtig! Ich habe bei mir diese Dinge (Authentifikation, Rewriterules usw.) direkt in der Konfiguration für den virtuellen Host abgelegt und nutze selbst kein htaccess. Ich gehe aber davon aus, dass die überwiegende Masse der WordPress-Nutzer eher nicht direkt in die Apache-Konfigurationen eingreifen werden und mit einer htaccess-Datei arbeiten.

    Wie oben (11) schon angerissen ist das schnell angelegt und aus meiner Sicht ein prima Schutz. Natürlich macht ein "admin" keinen wirklichen Sinn, wenn man als Login auch "bernd23" nehmen kann. Und sichere Passwörter sind im WWW sowieso ein Muss.

    Das Plugin Limit Login Attempts habe ich bei Projekten im Einsatz, bei denen eine doppelte Passwortabfrage für die Redakteure "als zu umständlich" verworfen wurde. Es arbeitet klasse!

Die Kommentare in diesem Beitrag sind geschlossen.

✉ WordPress-Newsletter ✉

Tipps und News als E-Mail in deinem Postfach? Dann abonniere einfach den ersten deutsch­sprachigen Word­Press-Newsletter:


Der Newsletter ist hinterher jederzeit abbestellbar.

Eintragen!