WordPress mit Limit Login Attempts sicherer machen!

609 Aufrufe

Veröffentlicht am

Dieses Video erklärt das WordPress-Plugin Limit Login Attempts und zeigt wie es konfiguriert wird. Dieses Plugin macht als Hackerschutz Ihre WordPress-Installation wesentlich sicherer gege Brute Force Attacken.

Veröffentlicht in: Business
6 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Also, auf diese Definitionsunterschiede zwischen Hackern und Computerkriminellen können wir uns einigen.
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Sie sagen: 'Allerdings sind und bleiben Leute, die sich ohne Auftrag und aus Eigeninitiative Zugang zu den Installationen von anderen Personen verschaffen wollen, für mich Kriminelle.' Ja, und das würde jemand, der sich selbst Hacker nennt, in der Regel nicht tun. Denn es gibt da etwas, was sich Hackerethik nennt, und dort heißt es: 'Mülle nicht in den Daten anderer Leute'. Daher sollte man klar zwischen Hackern und Computerkriminellen unterscheiden. Leider hat sich der Begriff Hacker für Computerkriminelle eingebürgert, was aber falsch ist. Aber das ist ja hier nur ein Nebenaspekt...
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Hallo, vielen Dank für den langen Kommentar. Ich stimme weitgehend zu. Allerdings sind und bleiben Leute, die sich ohne Auftrag und aus Eigeninitiative Zugang zu den Installationen von anderen Personen verschaffen wollen, für mich Kriminelle. Es ist auch kriminell wenn man Autos aufbricht und dann sagt, ich habe Interesse an der Technologie von Türschlössern und wollte nur die Schwachpunkte der Türen der Marke XY aufzeigen. Aber auch dies nur am Rande. Wenn Hacker offiziell mit der Prüfung von Sicherheitslücken beauftragt werden ist das eine andere Situation. Oder wären Sie erfreut wenn Sie Ihre Wohnungstür ungefragt geöffnet vorfinden würden mit dem Hinweis, ich wollte nur die Technik von Türen verbessern.
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Richtig, ich empfehle die bessere Lösung. Ich empfehle, stets ein starkes Passwort zu verwenden. Ich halte nichts davon, Passwörter wie test123 zu belassen und stattdessen eine Plugin-Krücke wie Limit Login Attempts zu verwenden. Darauf gehen Sie ja auch in Ihrem Video ein. Worauf Sie nicht eingehen, ist die Tatsache, dass man diese Krücke nicht braucht, wenn man ein starkes Passwort verwendet. Was auch nicht erwähnt wird: Wer kein starkes Passwort hat, der ist trotz Limit Login Attempts einem verteilten Angriff schutzlos ausgeliefert. Das hat die Praxis erst kürzlich gezeigt, als bei GMX trotz eines solchen Schutzes massenweise Accounts mit schwachen Passwörtern kompromittiert wurden. Und mittlerweile werden auch kleine Websites verteilt angegriffen. Das Argument 'Das passiert doch nur bei den Großen, bei den Kleinen reicht das schon aus' ist also auch nicht mehr gültig.

    Erfahrungsgemäß kranken viele Blogs an ganz anderen Dingen. Ich sehe täglich Blogs, bei denen die Admins lustig Limit Login Attempts installiert haben, die als Passwort aber sowas wie test123 haben, bei denen WordPress 20 Versionen hinterherhinkt und Themes und Plugins uralt sind. In diesen Fällen hat Limit Login Attempts nicht mal die Wirkung eines Placebo, weil es ganz andere Angriffsvektoren gibt, die einen Login-Breach unnötig machen. Meine Empfehlungen lauten daher in der Regel anders:

    1. Vergessen Sie erst mal alle Sicherheits-Plugins.
    2. Setzen Sie dann ein starkes Passwort.
    3. Halten Sie dann regelmäßig WordPress und alle Plugins und Themes auf dem neuesten Stand. Wichtig: Auch Themes können Sicherheitslücken enthalten, werden dabei aber gern übergangen, auch weil sie nicht fachmännisch modifiziert wurden und man vermeiden möchte, dass die Änderungen überschrieben werden.
    4. Halten Sie grundsätzlich Ihren lokalen Rechner sauber. Limit Login Attempts ist reichlich sinnfrei, wenn auf Ihrem lokalen Betriebssystem Trojaner und Keylogger fröhliche Urständ feiern und Sie die Passwörter ohnehin frei Haus liefern.

    Wenn Sie all das beherzigt haben, können Sie zusätzlich über den Einsatz eines Plugins wie Limit Login Attempts nachdenken - wenn Sie dann nicht feststellen, dass es ohnehin obsolet geworden ist.

    Man kann also zusammenfassend sagen, dass der Sicherheitsgewinn durch den Einsatz von Limit Login Attempts allenfalls marginal ist, weil es bei einem starken Passwort keinen zusätzlichen Schutz bietet, bei einem schwachen Passwort aber kaum einen, wenn verteilt angegriffen wird.
    Ich würde aber sogar noch einen Schritt weitergehen und sagen, dass Limit Login Attempts die Sicherheit eines Accounts senkt. Warum? Nun, aus mehreren Gründen. Zum einen verleitet ein solches Plugin User erfahrungsgemäß eben nicht dazu, ein starkes Passwort zu verwenden, sondern sich einzig auf das Plugin zu verlassen und das leicht merkbare test123 aus Bequemlichkeit beizubehalten. Und das geht dann auch mit Limit Login Attempts schief, wie die Praxis im Falle von GMX eindrücklich gezeigt hat.
    Darüber hinaus stellt jedes Plugin einen zusätzlichen Angriffsvektor dar. Oftmals ist es nicht der WordPress-Core selbst, der zu Kompromittierungen führt, sondern ein Plugin. Daher ist es empfehlenswert, so wenige Plugins wie möglich einzusetzen und Lösungen zu finden, die ohne ein Plugin auskommen. Das ist hier möglich, wie ich gezeigt habe.

    Das heißt natürlich nicht, dass man auf Sicherheits-Plugins grundsätzlich verzichten muss. Es gibt auch Plugins, die tatsächlich einen signifikanten Sicherheitsgewinn bringen. Aber ein Sicherheits-Plugin darf niemals ein Ersatz für die beschriebenen grundlegenden Sicherheitsmaßnahmen sein. Man sollte das Für und Wider daher gut abwägen.

    Ich hoffe, ich konnte darlegen, warum ich Limit Login Attempts für keinen sinnvollen Ansatz halte, die WordPress-Sicherheit zu verbessern. Übrigens: Hacker sind keine Computerkriminellen, sondern Menschen, die sich für Technik interessieren und vielmehr in der Regel zur Sicherheit von Systemen beitragen, als sie zu gefährden. Man sollte das Kind also beim Namen nennen und diejenigen, die Accounts angreifen, Computerkriminelle nennen und nicht Hacker. Das nur am Rande.
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Vielen Dank für den Kommentar.
    Das stimmt nicht so ganz. Es gibt keinen 100%-Schutz, aber mehr Schutz als nichts. Ich habe diese Woche noch den Fall gehabt das ein Hacker aus der Ukraine eindringen wollte, aber nach 4 Versuchen war Ende. Wie ich im Video mitteile, Plugins erhöhen die Sicherheit, garantieren aber keine 100%-Sicherheit. Lieber Herr Schestag, ich hoffe nicht, dass Sie nichts tun als die bessere Lösung empfehlen.
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
609
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
0
Kommentare
6
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

×