Xavier, Snoopy & Co.

Ich gebe zu: Die Überschrift enthält gnadenloses Click Baiting. Es geht in den folgenden Minuten nämlich überhaupt nicht um den Mannheimer Knödelsänger und Reichsbürger, der nun doch nicht zum ESC darf. Xavier ist hingegen… Aber der Reihe nach.

Dieses Weblog, bzw. die WordPress-Installation, die unter der Haube werkelt, ist alt genug, um die Aufmerksamkeit von WordPress-Spammern zu wecken. Dummerweise (aus Sicht der Spammer) bin ich, der Betreiber dieser Seiten, alt genug, um nicht jedes Scheunentor dieses beliebten und für seine Sicherheitslücken berüchtigten CMS offenzulassen. So verwende ich verschiedene Plugins (manchmal gleichzeitig, lieber aber hintereinander), die nach drei (oder so) fehlgeschlagenen Anmeldungen entweder den Benutzernamen oder die IP, von der der Versuch gestartet wurde, oder eine Domain sperrt. Das mit dem Sperren eines Benutzernamens ist übrigens wenig sinnvoll, da WordPress selbst bei ausgeblendeten Autorenangaben den Benutzernamen der Autoren nur zu gerne freigibt. Was sich darin äußert, dass der legitime Benutzer zwischendurch stundenlang darauf warten muss, bevor er sich mit seinem legitimen Benutzernamen und einem richtigen Passwort einloggen kann – nur weil jemand den Benutzernamen mit falschen Passwörtern ausprobiert hat.

Weshalb der nicht ganz blauäugige WordPress-Betreiber mindestens zwei Accounts betreibt: einen Admin-Account, der möglichst nirgendwo als Autor auftaucht, und einen zweiten, der nur Autorenrechte hat, also WordPress nicht für unedle Zwecke umbiegen kann.

Nun gibt es noch weitere Möglichkeiten, sich bzw. sein WordPress zu sichern – Two-Factor-Authentication zum Beispiel, oder Scripte, die prüfen, ob die Anmeldeversuche einem gewissen Standard (ein Benutzername, ein Passwort) entsprechen oder nicht. Kennen wir, setzen wir auch ein (oder etwa nicht?).

Und doch gibt es ungute Gestalten, die sich von all dem nicht abschrecken lassen und ganze halbe Stunden am Stück Scripte auf mein armes WordPress loslassen, die sich mit dem Benutzer „Admin“ (HA!) einloggen wollen. Oder eben mit Benutzernamen, die nicht „Admin“ lauten, aber auch mit den hier tatsächlich vorhandenen nichts zu tun haben. „Xavier“ eben, oder „Snoopy“, oder „Sarah“ (aber nicht Sahra!), oder „porn007″… you get the picture.

Und auch wenn es für besagte ungute Gestalten ziemlich egal ist, wieviel Rechenzeit sie auf bereits gekaperten WordPress- (oder anderen) Installationen verbraten, stelle ich mir doch vor, dass ein gewissenhaft vorbereiteter Hacker sich zunächst eine Liste möglicher Usernamen beschafft.

Nein, ich möchte nicht mit Usern in einem Netz unterwegs sein, die sich „porn007“ nennen.

Und wir sehen uns tief in die Augen und fragen uns: Haben wir unser WordPress gesichert? Haben wir den User „admin“ gelöscht, nachdem wir einen anderen User zum Admin gemacht haben? Schreiben wir unter einem anderen Namen, einem, der außer Schreiben gar nichts kann? Und haben wir uns ein paar Wächterskripte beschafft und lassen sie im Hintergrund laufen?

Ja? Dann ist es ja gut.

1 Gedanke zu „Xavier, Snoopy & Co.“

  1. Ja, haben wir!

    Und mit einem (protokollierenden) Limit-Logins-Plugin dafür gesorgt, dass irgendwelche Hack-Skripte nicht mehr als zweimal hintereinander vergeblich versuchen können, sich mit geratenen Usernamen (und wasweißich für Passwörtern) einzuloggen. (Die verwendeten IP-Adressen werden dann nämlich gleich für mehrere Tausend Stunden blockiert.)

    Und darüber hinaus dafür gesorgt, dass mit dem tatsächlichen Administrator-Namen niemals ein Artikel o.ä. veröffentlicht worden ist, denn dann bekommt man diesen Namen doch heraus.

Kommentare sind geschlossen.