Wie schützt ihr eure Wordpress Webseiten vor Bot-Attacken?

Heute bekam ich von meinem Hoster einen Newsletter, wo noch mal explizit auf derzeit massive Botnetz-Attacken auf Wordpress Skripte hingewiesen wurde. Ich habe ja dort auch eine Wordpress-Seite gehostet und bis auf Trackback-Spam nichts großartiges an Angriffen feststellen können. Die Kommentarfunktion habe ich schon vor längerer Zeit abgeschalten. Betreibt ihr Wordpress Webseiten, habt ihr etwas von den Hackingversuchen mitbekommen und welche Schutzmaßnahmen habt ihr ergriffen?

Ich weiß natürlich nicht, wozu du deine Wordpress Webseite verwendest. Aber - auch ohne ein Sicherheitsexperte zu sein - glaube ich nicht, dass das Abschalten der Kommentarfunktion als Schutzmaßnahme bezeichnet werden kann. Denn damit beendest du ja eine grundlegende Funktion. Du schützt das Auto ja auch nicht vor dem Verbrennen, indem du kein Benzin einfüllst (mir ist kein "besserer" Vergleich in den Sinn gekommen). Außerdem verhindert diese Ausschalten ja auch gar nicht die Brute-Force-Attacken. Welchen Sicherheitsgewinn versprichst du dir von deiner Maßnahme?

Die Kommentarfunktion habe ich natürlich nur aus reinem Spamschutz abgeschalten. Denn was da, wenn man nicht aufpasst, schon alleine an einem Tag eintrümmern kann, ist schon enorm. Wieso die Kommentarmöglichkeit bei Wordpress Skripten eine "grundlegende Funktion" sein soll, erschließt sich mir jetzt nicht wirklich. Der Gewinn liegt darin, dass ich mir viel Arbeit mit Spamlöschung erspare. Sicherer ist die Webseite dadurch natürlich nicht geworden, aber zumindest erst einmal uninteressanter, wenn das Web nach unzureichend gesicherten Wordpress Skripten abgefischt wird.

@fränki: Naja, wenn man z.B. einen Blog betreibt, ist es u.U. ein Anliegen, dass Leserinnen und Leser Kommentare hinterlassen. Das macht den Reiz ja mit aus. Wer sich nur mitteilen will, dem macht es natürlich nichts aus, wenn keiner was dazuschreiben kann. Aber da stelle ich mir die Frage, wieso Dritte dann überhaupt lesen sollen, wenn hier nicht ein sehr spezielles Thema behandelt wird, welches auf "prominenten Seiten" ausgelassen wird.

SPAM ist aber natürlich auch ein Thema, wobei man dieses Problem durchaus dadurch in den Griff bekommt, indem man die Kommentare erst veröffentlicht, nachdem sie geprüft wurden. Aber ob man das eben überhaupt will oder nicht unterliegt natürlich allein der Entscheidung des Betreibers!

Es gibt so viele Möglichkeiten, seine Wordpress-Installation vor solchen Angriffen zu schützen. Aber auch ohne, dass solche Angriffe bereits stattgefunden haben, sind Sicherheitsmaßnahmen - so finde ich - grundlegend. Zum Einen habe ich natürlich als erstes den "Admin"-Account gelöscht und durch einen neuen ersetzt, welcher ein langes, kompliziertes Passwort und einen ebenso langen und komplizierten Benutzernamen hat. Zusätzlich dazu habe ich das Tabellenpräfix für die Datenbank verändert und die Angabe bzw. den Zusatz zur Wordpressinstallation aus den Metadaten entfernt. Der eigentliche Login-Bereich ist durch .htaccess Eintragungen und Passwörter doppelt geschützt. Wer sich also einloggen will, muss meine IP haben und zwei lange, komplizierte Passwörter nebst Benutzernamen eingeben.

Zusätzlich dazu habe ich das Plug-In "Limit Login Attempts" aufgespielt. Dieses Plugin sperrt IPs, die sich unberechtigterweise Zugriff verschaffen wollen für eine bestimmte Zeit. Man kann dort einstellen, wie lange gesperrt werden soll, wie viele Login-Versuche vorgenommen werden dürfen usw. Sollte ich entdecken, dass jemand viel Spam in die Kommentare eintragen will, wird auch seine IP über die .htaccess- Datei gesperrt. Das Plug-In "Anti-Spam Bee" schützt bei richtiger Einstellung umfassend vor Kommentar-Spam. Zusätzlich dazu habe ich eingerichtet, dass Kommentare erst nach Prüfung durch Hand freigeschaltet werden.

Man muss also die Kommentarfunktion nicht ausstellen, um vor Spam und Hacker-Angriffen sicher zu sein. Diese Maßnahmen helfen beim "normalen" Hacker. Derjenige, der "viel drauf hat" und sich ernsthaft in den Kopf gesetzt hat, in die Installation hinein zu kommen, wird es mit viel Arbeit und Zeit schaffen. Aber ich denke nicht, dass er sich für private Blogs solche Mühe gibt. Da werden ganz andere Installationen weitaus interessanter sein