WordPress ist das führende Content-Management-System im Internet. Die WordPress Security-Abteilung sollte da nicht fehlen.
Viele Freigeister mit noch mehr Engagement trugen dazu bei, dass dieses Content-Management-System in den Überlegungen eines Internetauftritts an vorderster Stelle anzutreffen ist. Egal ob Shop, Firmenpräsentation, Fotoblog oder auch Seiten wie hier oder anderswo, WordPress lässt wenig bis keine Wünsche offen. Nebst den vielen Vorteilen der freien Gestaltungsmöglichkeiten ist man zudem den Zugriffen der «Internet Big Five» mit ihrer Doppelmoral nicht hoffnungslos ausgeliefert. Dies wissen allerdings die wenigsten zu schätzen.
WP Security & Firewall
Diese Popularität hat allerdings auch ihren Preis, denn WordPress ist ein beliebtes Ziel für Hacker, Dunkelgeister und allerlei Ungemach auf zwei Beinen. Und nicht nur sich selbst ist man schuldig, einen Blick auf die Sicherheit im eigenen Blog zu werfen, den Besuchern auch. Verbreitet man die Internetseuche über seine Seite, weil man Schwester oder Bruder Leichtfuß ist, ist dies kein gutes Empfehlungsschreiben für weitere Ambitionen.
In der Übersicht über das Blog kann man ersehen, was hier an Plugins am Werkeln ist. Nun sind einige deaktiviert und entsorgt worden, da diese Funktionen nun das Plugin All In One WP Security & Firewall für einen Testzeitraum übernimmt. Dazu zählen unter anderem Aussperrungen bei zu vielen Login-Versuchen, die Seite Wartungsarbeiten und auch die Loginseite selbst. Das Plugin kann selbst noch viel, viel mehr.
Security First
Die Datenbank wird u. a. umgetauft, der Security-Scanner checkt, ob irgendwo eine Datei geändert wurde (sollte gut konfiguriert werden, sonst hagelt es Meldungen), oder aber mit einem einfachen Captcha Kommentare und Login verschönern (durchblutet das Hirn). Auch sein Passwort kann man überprüfen (siehe ganz unten). Allerdings bricht mit den Vorkehrungen auch die „Anzahl der Besuche“ ein. Wenn Bots und Hobbyhacker:innen nach dem zweiten Versuch gekickt werden, nächste Woche unter der IP es wieder probieren dürfen, bleiben natürlich 250 weitere Besuche/Versuche auf der Strecke, die dann nicht gezählt werden.
Akismet, das Spam-Plugin von Automatic, habe ich allerdings nicht installiert, denn WP Security & Firewall bietet hier auch Steuerungsmöglichkeiten an. Hier arbeitet Antispam Bee zuverlässig, ohne dass wer irgendwo Daten zusammenzählt, auswertet und verwertet.
Fazit
Ob man dieses mächtige Plugin braucht, muss wie immer jede:r für sich entscheiden. Gewisse Dinge kann man auch über die htaccess-Einträge hinbekommen. Das wiederum ist auch nicht jeder/m in die Wiege gelegt worden.
Falls Euch das Blog in der Beta-Phase auf die Füße fällt, bitte melden.
Danke fürs Vorbeischauen.
92 Prozent der Internetnutzer wissen zwar, dass die Verwendung desselben Passworts oder einer Abwandlung davon ein Risiko darstellt. Trotzdem verwenden 65 Prozent ihre Passwörter für verschiedene Konten immer wieder. (Security Insider)
Update: 14.12.2021: Das Plugin ist nicht mehr in Betrieb (hat zu viele Fehlermeldungen hochgehalten)
Aus dem Umfeld
