Ganze Legionen von Möchte-gern-Hackern versuchen derzeit, meine WordPress-Installation zu entern.
Was ihnen aber durch geeignete PlugIns erschwert wird, wie z. B. „Limit-Login-Attempts Reloaded“, das Brute-Force-Attacken erschwert, weil nach einer gewissen Anzahl von falschen Eingaben von Login und Passwort einfach eine Pause mit zunehmender Dauer verordnet wird.
Irritierend fand ich, dass nicht nur „admin“ oder „root“, sondern der Inhaber eines accounts in abgewandelter Form als Login versucht wurde. Wie das? Woher die Informationen? Wo ist das Leck? Das war dann doch ziemlich aufregend!
Nun, WordPress selbst ist so freundlich, den Namen des Authors kund zu tun, wenn man nämlich „https://Ihre-Seite.de/?author=1“ benutzt statt nur die Webseite aufzurufen. WordPress gibt dann den Namen des ersten Authors in Form von „https://Ihre-Seite.de/blog/author/Author1/“ in der Adressleiste aus. Ups! Wehe, das ist zufällig auch der Login-Name des Administrators der Seite.
Ist dieser erste Author auch noch Inhaber der WordPress-Installation, hat man schon mal die Hälfte der Credentials.
Bei der Installation weist WordPress zwar darauf hin, dass „admin“ oder „root“ keine guten Namen für das Login des Inhabers und Administrators sind, aber dass man tunlichst einen weiteren Account zum Schreiben von Beiträgen anlegen und benutzen sollte, der weit ab vom eigentlichen Administrator liegt – nun, das kann man später in diversen Foren und Blogs erfahren. Aber einmal zu spät, ist das Malheur nicht wieder zu reparieren, wenn man die Installation nicht komplett von vorn beginnen möchte.