Von WordPress, Plugins und bösen Leuten…

Ich hoffe ihr seit alle gut in’s neue Jahr gestartet 🙂

Seit etwas über einem Monat habe ich bei meinen WordPress-Installationen, d. h. MyleneOnline.de, PaulWesley.de, AdeleFans.de und hier bei N-N.org das WP-Plugin „Limit Login Attempts“ installiert, welches ich eher zufällig entdeckt hatte und welche den Login zum WordPress-ACP nach eine bestimmten Anzahl falscher Logins sperrt. Soweit so gut hatte ich das Plugin so eingestellt, dass ich eine Mail bekomme wenn die einfache Login-Sperre (für 60 Minuten) viermal erreicht wurde und somit die Sperre auf 24 Stunden angestiegen ist.

Zwar bin ich davon ausgegangen, dass es schon das ein oder andere Mal passiere könnte das eine entsprechende Benachrichtigung kommt. Was mich aber doch überrascht hat, war wie oft es wirklich vorkommt bzw. schon vorgekommen ist.

Kleines Beispiel ist mal N-N.org: allein seit Freitag letzter Woche (das war der 28.12.2012) kamen über 40 Benachrichtigungen, z. T. im Abstand weniger Minuten, manchmal mit einigen Stunden dazwischen. Nur in der Zeit wurde also über 160-mal versucht, auf das WP-ACP zuzugreifen. (und dabei gibt es wesentlich bekanntere Seiten als meinen bescheidenen Blog 😉 ) Die fehlgeschlagenen Logins kommen dabei zu 99,5% mittels des Users admin, welcher – wenn es man bei der Installation von WordPress nicht anders angibt – der erste und meistens einzige Benutzer im System ist.

Hinsichtlich dieser Tatsache kann ich allen WordPress-Nutzern nur raten, admin nicht als Benutzer anzulegen und wenn nur mit einem sehr sehr sehr sehr sehr starken Passwort und bspw. dem „Limit Login Attempts“ Plugin.

In diesem Sinne einen schöne erste Woche 2013…