Guten Morgen, und schön, dass Sie da sind und hier mitlesen. Oder dass Ihr da seid und hier mitlest – WordPress, die Plugins und ich können uns einfach nicht zwischen Siezen und Duzen entscheiden. Wie auch immer: Stören Sie sich nicht an den Düstermännern und -frauen, die sich in der Nachbarschaft herumdrücken, wenn Sie hier sind.
Seit sechs Tagen läuft an dieser Stelle nach mehrmonatiger Pause wieder eine WordPress-Installation, zum ersten Mal erfolgreich mit dem Fediverse verknüpft. Neue Posts werden im Fediverse verbreitet, Reaktionen und Reposts dort erscheinen wieder hier im Blog, und auch Kommentare aus dem Fediverse (konkret: aus Mastodon) erscheinen hier, wenn auch in ungewohntem Format, mit @-Erwähnungen und so. Das ist die schöne Seite des WordPress-Bloggens im Jahr 2025. Yay!
Weniger schön ist, dass WordPress immer noch mit Plugins und Einstellungen abgesichert werden muss. Heute morgen fand ich zwei Spam-Mails in meinem Postfach und zwei weitere im Spamordner vor. Und im Control Panel wurde mir angezeigt, dass zwischen Mitternacht und (meinem) Frühstück einer am Login gescheitert war und 45 (!) weitere Versuche bei einer Vorabprüfung der IP-Adresse ausgebremst wurden. Und das bei einer WordPress-Instanz von sehr kleiner Reichweite.
Das ist – leider – WordPress: Es ist weit verbreitet, leicht – zu leicht? – installierbar und bedienbar und bietet immer wieder Sicherheitslücken, so dass die Übelmänner und -frauen Party machen, wenn sie wieder auf eine mit WordPress betriebene Seite stoßen. Dabei sind die Sicherheitslücken oft technischer Natur, sitzen aber auch viel zu oft vor dem Bildschirm.
Deshalb aus gegebenem Anlass (= meinem Neustart mit WordPress) eine kurze Checkliste:
- WordPress, wenn irgend möglich, zuerst auf einer staging domain (19853239xyz.test-host.de oder so) installieren und einrichten und erst dann freischalten. Selbst Massenhoster bieten das an.
- „admin“ ist kein guter Username für einen Account mit Administrator-Rechten – wird aber von WordPress inzwischen auch nicht mehr vorgegeben.
- Neben dem Administrator noch mindestens einen Autoren-Account mit eingeschränkten Rechten einrichten und nur den zum Schreiben benutzen. Beim Einrichten prüfen, ob nicht schon Seiten oder Demo-Beiträge mit dem Admin-Account eingerichtet wurden; der ist dann nämlich zumindest im Quelltext nach außen sichtbar und dann nicht mehr so geheim, wie er sein sollte.
- Login schwieriger machen: mit 2-Faktor-Authentifizierung! Sollte man sowieso möglichst überall machen…
- Kontakt- und Kommentarformulare mit Honeypot und/oder Captcha absichern – oder Kommentare grundsätzlich erst nach eigener Prüfung freigeben.
WPS Hide Login ändert die Backend-Adresse. XMLRPC kann man abschalten.
Auf meiner Mastodon-Instanz bonn.social habe ich schon geantwortet, aber die Antwort kommt diesmal offensichtlich nicht zurück.
Hier meine Antwort(en):
Der Witz ist: Die geänderte Backend-Adresse stand ursprünglich schon im Text, fiel dann aber der Schere zum Opfer. ✂️
Danke für den Hinweis. Hatte komplett vergessen, dass es XMLRPC noch gibt. Und gleich werden wir sehen, ob es auch die Föderation kaputtmacht…
(Vielleicht ist das der Grund, weshalb meine Fedikommentare nicht mehr zurückkommen? Wir werden das weiter beobachten, ich und ich.)
Zuerst: Willkommen zurück!
Dann:
Hinzufügen würde ich noch: Zurückhaltung bei Plugins! Wenn man mal welche ausprobiert und dann doch nicht nutzt, sollte man sie auch löschen. Mitunter vergisst man den einen oder anderen Helferlein, der da im Hintergrund werkelt (oder nicht) mit der Zeit.
Die Trennung der Nutzer nach Rollen ist bei WordPress leider häufig schwierig, wenn man mit externen Programmen auf das Blog zugreifen will (z.B. Ulysses). Das ist sehr misslich.
Das mit den unterschiedlichen Rollen ist auch bei der Arbeit im Browser ein wenig umständlich, aber m.E. unumgänglich, wenn man die Admin-Rolle nicht nach außen publizieren will. 2FA ist zwar eine große Hilfe, wenn es doch mal passiert, aber relative Sicherheit ist eben leider nur relativ.