WordPress ist ein mächtiges und flexibles Blog-CMS, das immer mehr Verbreitung findet. Tausende, wenn nicht schon Millionen von Blogs setzen auf die freie OpenSoure Lösung.
Doch dieser Erfolg birgt auch eine Schattenseite. Wegen der großen Verbreitung werden WordPress-Blogs immer attraktiver für Cracker und andere finstere Gestalten.
Hier möchte ich euch einige Plugins vorstellen, mit denen ihr die Sicherheit eures Blogs um Einiges erhöhen könnt.
Semisecure Login Reimagined
Semisecure Login Reimagined verschlüsselt die Login-Daten mithilfe von Javascript direkt auf dem Client-Rechner, bevor sie an den Server geschickt werden.
Verfügt man nicht über eine SSL-Verbindung, hat das den Vorteil, dass die Daten nicht unverschlüssel abgesendet werden, und nicht einfach ausgelesen werden können.
Login LockDown
Login LockDown speichert bei jedem fehlerhaften Login-Versuch die IP-Adresse und den Zeitpunkt. Wenn eine bestimme Anzahl an Anmelde-Versuche verstrichen ist, wird die Login-Seite für diese IP-Adresse gesperrt. Das schützt vor Bruteforce-Angriffe, mit denen durch Ausprobieren das Passwörter erraten werden kann.
Die Dauer und Anzahl der Login-Versuche kann eingestellt werden. Zusätzlich kann man manuell IP-Adressen in eine Blacklist eingeben, von denen aus man sich nicht mehr einloggen darf.
Antispam Bee
Antispam Bee ist ein sehr kleines schnelles Plugin, dass Spam-Kommentare selbstständig erkennt und in den SPAM-Ordner verschiebt. Auf Wunsch kann man sich auch per Email benachrichtigen lassen, oder Spam-Kommentare direkt löschen lassen.
WP-reCAPTCHA
WP-reCAPTCHA nutzt reCAPTCHA von Google, um ein CAPTCHA bei der Registrierung oder beim Verfassen von Kommentaren in das Formular zu integrieren. Dazu werden reCAPTCHA Keys benötigt, die man nach einer kostenlosen Registrierung erhält.
Das Plugin bereitet noch einige Probleme mit WordPress 3.0, aber der Entwickler arbeitet bereits an einem Update.
AntiVirus
Es existieren einige Viren und Würmer für WordPress, mit denen XSS-Angriffe durchgeführt werden können. AntiVirus überprüft die Theme-Dateien jeden Tag auf Viren und gibt bei Verdacht eine Warnmeldung aus (optional auch per Mail). AntiVirus ist in mehreren Sprachen wie Englisch, Deutsch, Italienisch, Persisch und Russisch verfügbar.
Replace WP-Version
WordPress gibt über den Metatag „generator“ immer die aktuell verwendete WordPress-Version an. Dies kann ein Sicherheits-Risiko sein, wenn Hacker gezielt nach Blogs mit einer bestimmten Version suchen, in denen ein Fehler bekannt ist.
Das Plugin Replace WP-Version verändert bzw. entfernt diesen meta-Tag.
wL Email Encrypter
Diese Plugin sucht alle Seiten, Artikel, Kommentare und RSS-Feeds nach Email-Adressen im Klartext ab, und verschlüsselt sie mit JavaScript, damit Bots und Harvester die Email-Adresse nicht einlesen können. Es lassen sich verschiedene konfigurierbare Schutzmethoden einstellen, die auch für jede Seite spezifisch gewählt werden können. Auch ist es möglich, über eine Template-Funktion jeden beliebigen Test durchsuchen zu lassen.
Abschluss
Eigentlich wollte ich noch das Stealth Login Plugin empfehlen, da sich damit benutzerdefinierte URLs zum Login/Logout angeben lassen. Jedoch scheint es hier ein Problem mit WordPress 3.o zu geben, wie man an der Compatibility-Bewertung sehen kann. Vielleicht kommt irgendwann ein Update heraus. Mich würde es freuen, da sich damit benutzerfreundliche URLs erstellen lassen würde und gleichzeitig der SPAM-Bot (auf dem alten Weg) nicht mehr zum Login kommt.
Wenn ihr noch mehr WordPress-Plugins zur Sicherheit sucht, dann seht mal hier vorbei.
Außerdem kann ich euch noch den WPSecurity Lock Blog wärmstens empfehlen. Dort geht es überwiegend um Sicherheit von WordPress-Blogs.
Ich hoffe, ich konnte euch den einen oder anderen Tipp geben. Wenn ihr noch mehr Vorschläge habt, hinterlasst doch einfach einen Kommentar. Ich freue mich über eure Rückmeldung.