News on the Blog

WordPress Security & Firewall

Wordpress Security & Firewall
Derzeitiger Sicherheitslevel des Blogs

WordPress ist das führende Content-Management-System im Internet. Viele Freigeister mit noch mehr Engagement trugen dazu bei, dass dieses Content-Management-System in den Überlegungen eines Internetauftritts an vorderster Stelle anzutreffen ist. Egal ob Shop, Firmenpräsentation, Fotoblog oder auch Seiten wie hier, dort oder anderswo, WordPress lässt wenig bis keine Wünsche offen.
Nebst den vielen Vorteilen der freien Gestaltungsmöglichkeiten ist man zudem den Zugriffen der «Internet Big Five» mit ihrer Doppelmoral nicht hoffnungslos ausgeliefert. Dies wissen allerdings die wenigsten zu schätzen.

 

WP Security & Firewall

WP Security & Firewall: Dashboard
Zwei Anzeigen auf dem Dashboard

Diese Popularität hat allerdings auch ihren Preis, denn WordPress ist ein beliebtes Ziel für Hacker, Dunkelgeister und allerlei Ungemach auf zwei Beinen. Und nicht nur sich selbst ist man schuldig, einen Blick auf die Sicherheit im eigenen Blog zu werfen, den Besuchern auch. Verbreitet man die Internetseuche über seine Seite, weil man Schwester oder Bruder Leichtfuß ist, ist dies kein gutes Empfehlungsschreiben für weitere Ambitionen.

In der Übersicht über das Blog kann man ersehen, was hier an Plugins am Werkeln ist. Nun sind einige deaktiviert und entsorgt worden, da diese Funktionen nun das Plugin All In One WP Security & Firewall übernimmt. Dazu zählen unter anderem Aussperrungen bei zu vielen Login-Versuchen, die Seite Wartungsarbeiten und auch die Loginseite selbst. Das Plugin kann selbst noch viel, viel mehr.

 

Security first

anika_f: login_fail
Käme einem “admin”-Benutzername gleich.
(fällt als Benutzername aus)

Die Datenbank wird u.a. umgetauft, der Security-Scanner checkt, ob irgendwo eine Datei geändert wurde (sollte gut konfiguriert werden, sonst hagelt es Meldungen), oder aber mit einem einfachen Captcha Kommentare und Login verschönern (durchblutet das Hirn). Auch sein Passwort kann man überprüfen (siehe ganz unten). Allerdings bricht mit den Vorkehrungen auch die “Anzahl der Besuche” ein. Wenn Bots und Hobbyhacker:innen nach dem zweiten Versuch gekickt werden, nächste Woche unter der IP es wieder probieren dürfen, bleiben natürlich 250 weitere Besuche/Versuche auf der Strecke, die dann nicht gezählt werden.
Akismet, das Spam-Plugin von Automatic, habe ich allerdings nicht installiert, denn WP Security & Firewall bietet hier auch Steuerungsmöglichkeiten an. Hier arbeitet Antispam Bee zuverlässig, ohne dass wer irgendwo Daten zusammenzählt, auswertet und verwertet.

 

Fazit

Ob man dieses mächtige Plugin braucht, muss wie immer jede:r für sich entscheiden. Gewisse Dinge kann man auch über die htaccess-Einträge hinbekommen. Das wiederum ist auch nicht jeder/m in die Wiege gelegt worden.

Falls Euch das Blog in der Beta-Phase auf die Füße fällt, bitte melden.

Danke für’s Vorbeischauen. phil_04


Passwortcheck
Mit 12345678910 …
ist auch nicht wirklich Staat zu machen

92 Prozent der Internetnutzer wissen zwar, dass die Verwendung desselben Passworts oder einer Abwandlung davon ein Risiko darstellt. Trotzdem verwenden 65 Prozent ihre Passwörter für verschiedene Konten immer wieder. (Security Insider)

(Nachtrag 06.10.2021)

Lust auf eine Anmerkung?

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

elf − fünf =