-->

WordPress Plugin für Paranoide

17. August 2008 11 Comments

Die meisten Blog Betreiber (wie auch ich) sind alleiniger Admin , also nur sie brauchen Zugriff auf
wp-admin . Natürlich gibt es einige Plugins, die die Sicherheit von WordPress erhöhen, indem sie das Filesystem auf Berechtigungen checken,  Fehlermeldungen unterdrücken (WordPress zeigt ja an ob nur Username oder PW oder beides falsch ist) oder sonstige späßchen  – relativ sicher, aber nicht sicher genug für Paranoide wie mich :-) (Meine Standard passwörter sind 27 Stellen)

Deswegen verwende ich das Überaus geniale Plugin wp-adminprotection!

Mithilfe dieses Plugins kann man genau einstellen, welche IP Adressräume zugriff auf das Admin Backend haben können (Login müssen sie trotzdem bewerkstelligen). Man könnte meinen, “sinnlos, ich hab ne dynamische ip”. Nein, selbst daran wurde gedacht und es sind Wildcards möglich!

Konfigurationsmenü im Administratorpanel

Konfigurationsmenü im Administratorpanel

Jeder ISP hat ja einen Pool voller möglicher IPs , die er vergeben darf.  Man kann anhand der IP also eindeutig einen ISP feststellen. Meist sind das die ersten 2 Blöcke, also zb 86.42.xx.xx , manchmal ist aber auch nur

der erste Blog immer gleich, also 86.xx.xx.xx

Dies gilt es heraus zu finden, indem ihr das Internet trennt, neu verbindet und die IP via  wieistmeineip

feststellt. Sieht eure IP-History nach 5x neu verbindet zb so aus:

86.42.592.50

86.42.359.40

86.42.503.104

86.42.335.175

86.42.184.592

Dann könnt ihr mit ziemlich hoher sicherheit davon ausgehen, dass ihr immer 86.42.x.x ind er IP habt.

Das Plugin bietet euch daher die Möglichkeit, Wildcards , also “nicht definiertes” zu setzen. Für eine Wildcard kann also alles eignesetzt werden.

Im obrigen Fall würdet ihr also die Wildarc 86.42.*.* nehmen

Das heißt, dass jede IP, die mit 86.42 beginnt, zugelassen wird.
Wenn also der Hacker (Eig Cracker, aber egal) nicht

1) FTP zugang hat, um das plugin zu löschen

2) Euren ISP kennt

hat er von haus aus keine Chance, in WordPress einzudringen. Wenn er nämlich mit der IP 64.52.50.593

probiert, auf eure WP-admin seite zuzugreifen, wird er folgendes Bild sehen:

Zugriff einer falschen IP

Zugriff einer falschen IP

Es ist für mich eindeutig das beste Sicherheitsplugin für WordPress, ich würde es aber immer in verbindung mit anderen Plugins nutzen – sollte der Bösewicht eure IP kennen , braucht er “nurnoch” USername und PW.

Auch schwer zu machen, aber dennoch gibts genügend WordPress Plugins, die das erschweren.

Wer mit mehreren Autoren arbeitet, kann auch mehrere IP-Ranges (Adressräume) freigeben.

Geniales Plugin, ich habs aktiv. Bin ja Paranoid :-)

Was haltet ihr von dem Plugin? Zu extrem oder genau das, was ihr schon lange gesucht habt?

Was für Sicherheitsmaßnahmen hat euer Blog?

Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Seo-news.at Intern, Wordpress
, ,

About Huggy

View all posts by Huggy

11 Responses to “WordPress Plugin für Paranoide”

  1. koellmania 17. August 2008 at 20:36

    schon ein bisschen extrem! ich mein, wer will schon meinen blog haben?

    koellmanias last blog post..Blogparade: Was motiviert euch zum Bloggen!

  2. Huggy 17. August 2008 at 20:45

    einige, um damit spam zu verschicken :-)

  3. Horttcore 18. August 2008 at 13:24

    Es gibt genug Skript-Kiddies die sich mit sowas profilieren wollen. Ich selber nutze das Plugin übrigens nicht. Es war für einen Kunden in einer Intranet Applikation gedacht daher kam mir erst die Idee das System so zu schützen.

    Horttcores last blog post..Neues Plugin Text-Replacement

  4. Huggy 18. August 2008 at 13:41

    Da schau her das Autor persönlich *Verneig* :)
    ich weiß dass es fürs Intranet gedacht war, steht in der Beschreibung :)
    Aber trotzdem finde ich es perfekt. Ich bastle gerade an einem kleinem Tool, dass die eigene (internet, nicht lan) IP ausliest und dann nur diese IP für das Plugin zulässt :-) Werde es mit nem kleinem PHP Script und AutoIt realisieren, wenn du Interesse hast kann ich es dir auch mal schicken sobalds funtzt (und ich keine sicherheits lücken mehr finde) :-))

  5. Michael Karl 18. August 2008 at 14:12

    Ein htaccess-Schutz halte ich für genauso gut, falls sich doch mal der Addressbereich ändert.

    Michael Karls last blog post..Mehrsprachigkeit mit WordPress

  6. Huggy 18. August 2008 at 14:18

    Hi Michael,
    natürlich ist ein htaccess Schutz auch eine sichere Methode.
    Es soll aber durchaus Server geben, die htaccess nicht bearbeiten lassen oder
    user, die sich das herum hantieren mit htaccess usw nicht zutrauen.
    Man kann ja doch einiges kaputt machen ;)

    Ich bleib bei admin protection :-)
    Mal schauen, inwiefern es exploits aushebelt :)

  7. Sandra 4. Oktober 2008 at 19:47

    Nachdem mein Blog vor zwei Monaten das erste Mal gehackt wurde und ich alles neu installieren musste, bin ich jetzt auch vorsichtiger geworden. Ich werden den plugin mal ausprobieren.

  8. Christoph 15. Juli 2009 at 12:11

    Ich finde es schon etwas übertrieben, aber das ist eben Geschmacksache.

    Wollte noch sagen, dass dein Beispiel mit den IP-Adressen einen Fehler hat.
    Jede Stelle der IP-Adresse kann nicht höher als 255 sein.

  9. Huggy 15. Juli 2009 at 14:06

    Stimmt schon Christoph, ich hab nur Fantasiezahlen genutzt – aber hat schon seine Richtigkeit, auf sowas aufmerksam zu machen :) danke ;)

Trackbacks/Pingbacks

  1. WP-Backend abschotten | mlogger - 17. August 2008

    [...] Plugin-Seite [via SEO-News.at] [...]
  2. xiels favorites - 17. August 2008

    [...] WordPress Plugin für Paranoide [...]