WordPress-Sicherheit: Falschmeldungen und Aussperrungen

Ich behandle meinen Blog wie ein rohes Ei und lege viel Wert auf Sicherheit. Aber ich bin genervt, wenn eine Sicherheitslösung mich selbst permanent aussperrt. Irgendwie reicht es dann auch. Ich habe meine Sicherheitslösung aus dem Blog verbannen müssen, das die mich selbst nicht mehr in meinen Blog herein gelassen hatte. Sicherheit schön und gut, aber das ging dann doch zu weit. Ich werde mir jetzt also Alternativen überlegen.

Ich habe einige Zeit das Plugin „Login Security Solution“ verwendet. Mir schien, als ob das zuverlässig arbeiten würde. Ich wurde informiert, wenn irgendwer versucht hatte, sich widerrechtlich Zugang zu meinem Blog zu verschaffen. Alles lief gut. Aber irgendwann begann es, dass das Plugin mich nahezu täglich selbst aussperrte. Ich erhielt dann nahezu täglich Emails mit dem Titel

MÖGLICHER EINBRUCH IN Henning Uhle?

Ich erschrak mich anfangs. Ganz böse liest sich der Titel. Und der Inhalt war dann immer ungefähr dieser:

In deine Webseite, Henning Uhle, scheint eingebrochen worden zu sein.

Es hat sich gerade jemand eingeloggt, der die folgenden Komponenten genutzt hat. Davor wurden 4 fehlerhafte Logins während der letzten 120 Minuten registriert:

Component Count Value from Current Attempt
———————— —– ——————————–
Netzwerk IP 0 ***.***.***.*
Benutzername 4 ******
Passwort MD5 0 ******

Sie angemeldet sind aus der folgenden IP-Adresse: ***.***.***.***

Der Benutzer wurde aus geloggt und muss seine Identität über die Passwort zurücksetzen Funktion bestätigen.

Diese Nachricht ist vom Login Security Solution Plugin (0.55.0) für WordPress.

Blöd nur, dass das immer dann passierte, wenn ich versucht hatte, mich am Blog anzumelden. Es war immer so, dass diese Meldung dann kam, wenn ich mich angemeldet hatte. Und das macht dann irgendwann keinen Spaß mehr. Das ging ja vor allem noch weiter. Denn ich erhielt im Gleichschritt diese Email. Das ist der Titel:

BESTÄTIGE, DASS DU DICH AUF Henning Uhle EINGELOGGT HAST?

Ja, hab ich. Wer denn sonst? Und im Inhalt las ich immer so etwas:

Jemand hat sich gerade mit deinem ‚******‘ Account auf Henning Uhle eingeloggt. Bist du das gewesen? Diese Sicherheitsanfrage wird gesendet, weil die Seite zur Zeit angegriffen wird.

Um sicher zu gehen, dass dein Account nicht geknackt wurde, musst du den ‚Passwort vergessen?‘ Prozess durchführen bevor du dich wieder einloggen kannst.

Solltest es NICHT gewesen sein, führe bitte unverzüglich folgende Schritte aus:
* Seine eine E-Mail an ****** um Sie wissen zu lassen, dass es nicht du warst, der sich eingeloggt hat.

Und das nervt kolossal. Auf so eine Art und Weise kann ich nun einmal nicht arbeiten. Ich habe demzufolge entschieden, das Plugin „Login Security Solution“ aus meinem Blog zu verbannen. Wissen Sie, ich vergebe doch nicht jeden Tag ein neues Passwort. Und ich lasse mich doch nicht aussperren, wenn ich gerade versuche, mich am Blog anzumelden. Nein, das muss ich nicht haben. Ich habe genügend andere Sicherheitsvorkehrungen getroffen, da muss ich mich nicht von einem Plugin tyrannisieren lassen.

Vielleicht liegt es daran, dass das Plugin das letzte Mal vor knapp einem halben Jahr aktualisiert wurde, WordPress aber seitdem schon Updates erhalten hat. Vielleicht kommt es dann logischerweise dazu, dass es seit ungefähr zwei Monaten zu dieser Tyrannei kommt, weil im April mit WordPress 4.5.1 mal ein Sicherheitsupdate veröffentlicht wurde, mit dem „Login Security Solution“ nicht mehr klar kam. Und nun haben wir WordPress 4.5.2. Wer weiß, womit hier das Plugin nicht zurecht kam.

Am Ende zeigt es sich, dass es fatal sein kann, wenn Plugins nicht zeitnah vom Entwickler aktualisiert werden. Und vor allem bei Sicherheitslösungen wie diesem Plugin ist es unerlässlich, dass zeitnahe Aktualisierungen durchgeführt werden. Sonst sind solche Lösungen nicht nur nutzlos, sondern bringen unnötige Probleme und Sicherheitsrisiken mit sich. Hier sollten die Entwickler vielleicht mal in sich gehen, oder was sagen Sie?

6 Replies to “WordPress-Sicherheit: Falschmeldungen und Aussperrungen”

  1. Das mit den Updates habe ich ja schon immer gesagt. ICh nutze ja daher Jetpack da kann ich davon ausgehen das Updates kommen! ICh behaupte mal so Plugins wie Sitemaps oder Kommentarbenachrichigungs-Plugins werden wenig gewartet! Mir war zumindest aufgefallen das die ewig kein Update erhielten! Ich habe deshalb seinerzeit mir das Jetpack besorgt gehabt um da ein paar Plugins zu entsorgen die ewig nicht mehr Updates egrhalten hatten. Da kam etliches zusammen! ^^

    Da du aber das Plugin nicht mehr nutzt weil es zu sehr an Performance saugt oder Datenschutzbedenken gibt musst du natürlich die vielen anderen Plugins nehmen die dann nicht so oft ein Update erhalten!

    Die Security löse ich übrigens auch über Jetpack und bisher keine Probleme mehr gehabt! Da fielen dann natürlich richtige Schwergewichte aus den Pluginverzeichiss bei mir raus!

    Ich sehe das aber wie du bei Security, SEO, Sitemaps und auch Cache Plugins (eigentlich bei allen Plugins) sollte genau drauf geachtet werden ob man die wirklich so nutzen möchte und wie da in der Vergangenheit die Resonanz war bei anderen! Es soll ja auch Plugins geben die schnell beim Umfang übers Ziel schiesen und zu waren Monstern mutieren! (Bei Jetpack kann man wenigstens die einzelnen Plugins darin noch deaktivieren)

    Naja das Thema ist ein ewiger Streitpunkt!

    1. Ja, JetPack hat seine Vorteile, die sehe ich ja auch. Aber ich habe zu wenig davon genutzt, um wirklich diese Veranstaltung nutzen zu müssen. Ich bin mir höchst unsicher, ob das Plugin nach deutschem Datenschutz genutzt werden kann. Du weißt doch, wie schnell die Advokaten sind. Deshalb habe ich das Alles umgestellt.
      Ich gebe dir Recht, was Aktualisierungen von Plugins betrifft. Ich bin damit bei dem einen oder anderen Plugin höchst unzufrieden. Meist bekommt man das ja erst mit, wenn irgendwas im Blog nicht mehr funktioniert. Die meisten sind aber schon so weit in Ordnung.
      Du merkst schon, dass die eine oder andere Sache schlechter umsetzbar ist, wenn du JetPack nicht mehr einsetzt. Aber ich bin im Moment nicht überzeugt davon, wieder die Rolle rückwärts zu machen.

  2. Da gibt es ein paar bessere Tools, um die Webseite sicher zu machen:
    Ich nutze iThemes Security und Edit Author Slug.
    Außerdem sollte man natürlich nicht den Standard von WordPress nutzen.
    D.h. natürlich nicht die Tabellen wp_, sondern z.B. xyz_ nennen.
    Hilfreich ist es auch, wenn sich Anzeigename und Loginname unterscheiden.
    Auch die Änderung des Benutzernamens über die DB in einen Krypischen-Loginnamen hilft und natürlich sollten Beiträge immer einem Autor und nicht einem Admin zugeordnet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert