Wer ein selbst gehostetes WordPress-Blog betreibt, wird früher oder später Bekanntschaft mit Attacken machen. Meistens handelt es sich um Massenanfragen, mit denen sich Angreifer Zugriff auf Dateien oder auf das Login einer Site verschaffen wollen. Die folgenden Massnahmen garantieren natürlich keinen 100% Schutz, aber sie haben meine WordPress-Installationen in der Vergangenheit schon einige Male wirksam geschützt.
1. WordPress Dateien schützen
Elementar ist der Zugriffsschutz auf die wichtigsten Dateien der WordPress-Installation. Falls nicht bereits vorhanden muss dazu eine Datei mit der Bezeichnung .htaccess erstellt werden. Damit diese Datei, wie auch die Konfigurationsdatei von WordPress, geschützt sind, müssen folgende Codezeilen in .htaccess eingefügt werden:
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)"> order deny,allow deny from all </FilesMatch>
2. Zugang zu Loginmaske schützen
Am sichersten fährt man, wenn das Login selbst (wp-login.php) mit einer Passwortabfrage versehen wird. Wie das genau gemacht wird, erklärt dieser Artikel sehr gut. Wem die doppelte Passwort-Eingabe zu umständlich ist, der sollte zumindest die Loginversuche beschränken. Damit zu Punkt drei.
3. Loginversuche beschränken
Am effizientesten lässt sich das mit dem Plugin Limit Login Attempts realisieren. Das Plugin definiert, welche IP-Adresse mit wievielen Versuchen in einem definierten Zeitraum auf die Loginmaske zugreifen darf. Die Standard-Einstellungen des Plugins passen schon mal nicht schlecht. Wer diese genauer verstehen und definieren möchte, erfährt hier mehr zu den einzelnen Parametern.
Habt ihr allenfalls Ergänzungen? Wie schützt ihr eure WordPress-Blogs?
Speak Your Mind