Ich nutze das WordPress-Plugin Limit Login Attemps von miniorange. Dieses Plugin nutze ich bei diesem Blog bereits seit Beginn; bei meinen früheren Projekten habe ich diese ebenfalls schon eingesetzt. Warum?
Nunja, schauen wir mal in die Statistiken zum jetzigen Zeitpunkt:
- Die Liste der „Blocked IP’s“ hat bereits nach weniger als einem Jahr Laufzeit 227 Einträge.
- Die Liste namens „Reports“, die sämtliche Login-Versuche zeigt, kann nur 5.000 Einträge anzeigen. Diese Liste ist voll und geht bis zum 10.01.2018 zurück.
Das allein zeigt mir schon, dass es ganz sinnvoll ist, diese Plugin einzusetzen.
Detailansicht
Schaue ich mir nun die „Reports“ noch etwas näher an, kann ich auch die verwendeten Benutzernamen sehen. Im schnellen überfliegen sehe ich die folgenden Kandidaten sehr häufig:
- www.julians-blog
- administrator
- admin
- wpadmin
- wp_admin
- webmaster
- root
Diese Benutzer existieren bei mir überhaupt nicht! Ein Fehler, den man bei einem Blog nur einmal macht, ist es, den Benutzer „admin“ oder „administrator“ zu verwenden. Da das der häufigste Benutzername mit weitreichenden Rechten ist, wird dieser natürlich dann auch von den verschiedensten Bots ausprobiert.
Sollte man nun kein Plugin einsetzen, was die Versuche einschränkt, ist früher oder später das längste Passwort geknackt.
Und die Moral von der Geschicht? Trau keinem Passwort allein, sichere dich bzw. deinen Blog immer mit mehreren Schutzmechanismen ab.