So verbreitet wie WordPress ist, wird es natürlich auch schonmal zum Ziel für Angriffe. Ich selbst kann ein Lied davon singen, denn vor ein paar Jahren hat es ein Angreifer – vermutlich ein Bot – geschafft, wahrscheinlich über ein veraltetes WordPress Plugin schädlichen Code in meine index.php (und zwar allen auf dem betroffenen Server!) einzuschleusen. Ich habe es zum Glück sehr zeitnah gemerkt, da eine von mir häufig selbst aufgerufene Seite komplett von der Malware überschrieben wurde und daher gar nicht mehr funktionierte. Es war nur der verschlüsselte Schadcode darin enthalten. War alles eine ganz schön aufreibende Geschichte, an dieser Stelle muss ich direkt auch nochmal ein Dankeschön an Tim von internetwache.org richten, der mir damals sehr behilflich war und den Schädling analysierte.
Aber genug davon, ich wollte nur darstellen, dass der eigene Blog durchaus schonmal angegriffen werden kann, selbst wenn man kein Big Player ist. Es kann eben ein Bot sein, der bei tausenden Blogs sein Glück probiert. Und eine bestimmte Schwachstelle, nämlich den standardmäßigen Adminaccount einer jeden WordPressinstallation, kann man mit sehr einfachen Mitteln in wenigen Minuten ein Stückchen sicherer gestalten, wie ich im Folgenden vorstellen werde. Das Problem: Der Standardaccount hat den immer gleichen Benutzernamen „admin“, den kaum ein WordPressnutzer ändert. Ein Bot, der möglicherweise durch Bruteforce sein Glück bei tausenden Blogs versucht, braucht sich daher um den Usernamen garkeine Gedanken machen und wird immer direkt „admin“ angreifen, da dieser ja praktisch immer vorhanden ist. Ich kann zwar nicht sagen, wie wahrscheinlich ein solcher Angriff in der Praxis ist und ob man sich bei einem vermeintlich sicheren Passwort trotzdem beruhigt als „admin“ zurücklehnen kann. Schaden kann es dennoch nicht, den guten admin zu entfernen und gegen einen anderen Namen auszutauschen.
Leider kann man in WordPress den Benutzernamen nicht einfach so umbenennen, dennoch gibt es eine einfache Lösung ohne Datenbankeingriffe. Zunächst legt man einfach einen neuen Benutzer an. Man muss dabei allerdings zunächst eine andere E-Mail Adresse verwenden, als beim admin. Dem Benutzer geben wir dann die Rolle Administrator. Nun ausloggen und mit dem soeben erstellten Benutzer wieder einloggen. In der Benutzerverwaltung auf den alten Adminaccount gehen und löschen wählen. Man wird nun gefragt, was mit den Beiträgen dieses Benutzers passieren soll. Natürlich wollen wir diese nicht löschen, sondern wählen, sie auf den neuen Benutzer zu übertragen. Nun kann man wieder die ursprüngliche E-Mail Adresse verwenden (z.B. wenn daran ein Gravatar Account hängt). Tja, das wars auch schon! Natürlich hilft das gegen menschliche Angreifer eher wenig, die einem nicht wohlgesonnen sind. Ein eventueller Bot hätte es aber definitiv schwerer und würde vermutlich komplett ins Leere laufen.
greg
Neueste Artikel von greg (alle ansehen)
- News: Noch ein neuer Blog von mir – für Studenten - 14. April 2020
- Mein neuer Blog – alles auf Anfang - 12. Juli 2019
- E-Commerce Studium in Würzburg beendet – ein Resümee - 14. April 2017