In den letzten Wochen hat es mehrfach Meldungen gegeben nach denen Betreiber von Blogs auf der Basis von WordPress vorsichtig sein sollten. Zur Zeit sind offenbar irgendwelche Botnetze darauf aus, sich per Brute Force an fremden Systemen anzumelden.
Ich habe mir um das zu unterbinden das Plugin Limit Login Attempts installiert, und zumindest bis jetzt tut es exakt was ich davon erwarte: kommen von einer IP zu viele fehlgeschlagene Anmeldeversuche, wird sie für einen gewissen Zeitraum komplett von der Anmeldung ausgeschlossen. Die Parameter — wie viele Fehlversuche sind erlaubt, wann darf sich die IP wieder melden, wann werden Fehlversuche zurückgesetzt — sind dabei ziemlich frei konfigurierbar, und bei jeder Sperrung bekomme ich eine Mail mit ein paar Infos.
Bislang war da noch nicht viel, aber Heute hat eine Welle diesen Blog erfasst. Auch die ist noch harmlos, das geht schlimmer. Aber im Laufe des Nachmittags haben mehr als 50 verschiedene IPs versucht, sich hier anzumelden. Alle übrigens als ‚admin‘, ‚administrator‘ oder ‚adminadmin‘ — Namen die man seinen Benutzern also tunlichst nicht geben sollte. Wer noch den Standardaccount in seiner Installation hat darf sich also schnell ins Backend aufmachen und den löschen… besser ist das.
Sollen sie doch. Bringt ja eh nichts.
Schau Dir auch mal „Google Authenticator“ an – die Android-App, sowie das gleichnamige WordPress-Plugin. Dann brauchst du nämlich noch einen zeitbasierten Token, um dich anmelden zu können.
Ich habe es noch nicht mit Limit Login Attempts ausprobiert, das mach ich jetzt gleich mal.