Im heutigen Beitrag wird es wieder einmal technisch.
Je beliebter ein Blog bei seinen Besuchern und Lesern wird, desto begehrter wird er auch für Hacker, die versuchen Schadsoftware in den Blog einzuschleusen oder einzelne Seiten des Blogs unbemerkt auf andere Seite umzuleiten. Leider ist mir das selbst vor einigen Jahren einmal passiert. Seither bin ich in dieser Sache extrem vorsichtig geworden.
Das Fatale daran: Die meisten Blogbetreiber merken wahrscheinlich nicht einmal etwas von diesen Angriffen.
Mein Tipp: Installieren Sie sich das Plugin „Limit Login Attemps“ und stellen Sie in den Einstellungen „Benachrichtigung im Falle einer Sperrung“ den Flag „Email an den Administrator nach „1“ Sperrung“ ein. Sie werden erstaunt sein, wieviele E-Mails Sie in den kommenden Tagen erhalten. Bei mir sind es im Durchschnitt 10 – 20 pro Tag. Das Plugin ist dann von nun an eine von mehreren Sicherungsmaßnahmen gegen ungewünschte Besucher Ihres Admin-Bereichs.
Es ist ungefähr so, wie wenn Sie jeden Tag an Ihrer Haustür neue Einbruchspuren entdecken. Bisher hat es zwar noch niemand geschafft. Aber es ist nur eine Frage der Zeit bis einer drinnen ist.
In einem Blogbeitrag im April vergangenen Jahres hatte ich schon einmal auf die Problematik hingewiesen. In dem Beitrag finden Sie auch einige weiterführende Links, wie Sie Ihren Blog etwas hackersicherer machen können. Die Betonung liegt dabei auf „etwas hackersicherer“. Komplett hackersicher wird er wahrscheinlich nie, solange es auf der anderen Seite des Rechners entsprechend kreative Menschen gibt.
Ein weiteres Tool, das ich diese Woche entdeckt und zwischenzeitlich im Einsatz habe, ist der Google Authenticator. Dazu meldet man sich mit seinem Google-Account an und folgt auf der Seite https://www.google.com/settings/security den Anweisungen unter „Passwort“ –> „Bestätigung in zwei Schritten“.
Hier auf der Seite http://beste-apps.chip.de/ios/app/google-authenticator-iphone-app,388497605 wird der Ablauf noch genauer erklärt.
Wie funktioniert’s?
Der Google Authenticator erzeugt alle 90 Sekunden einen neuen 6-stelligen Code, den man bei der Anmeldung eingeben muss. Den Code erhält man dann idealerweise über eine App (Google Playstore oder Apple AppStore). Auf diese Weise sichert man zunächst sein Google-Konto. Ich musste dazu etwas hin- und herprobieren, bis die Zugriffe überall auf Rechner und Smartphone wieder sauber liefen. Also besser etwas Zeit einplanen und nicht zwischen „Tür und Angel“ erledigen wollen.
Wie sichert man damit nun seinen WordPress-Blog?
Wie sollte es anders sein: Mit einem WordPress-Plugin. Zu finden hier: https://wordpress.org/plugins/google-authenticator/. Installieren Sie das Plugin aber erst dann, wenn der Abruf des Codes über Ihre App sicher funktioniert. Sonst kann es passieren, dass Sie Ihren Admin-Bereich im Blog nicht mehr erreichen (bzw. nur noch auf Umwegen).
Die WordPress-Login-Seite meiner Blogs sieht jetzt wie folgt aus: 
Dies ist zwar ein zusätzlicher Schritt beim Anmelden, aber er macht meine Blogs hoffentlich noch ein klein weniger hacker-sicherer.
Ich bitte um Verständnis, dass ich für die beschriebenen Funktionalitäten keine Gewähr übernehmen kann. Wenn Sie sich bei der Einrichtung nicht sicher sind, kontaktieren Sie bitte einen Experten, der sich mit den technischen Feinheiten von Google und WordPress auskennt. Einige davon finden Sie in den verlinkten Artikeln.
Hallo, ich habe das Plugin installiert und aktiviert, nun komme ich selber nicht mehr in mein Backend. FEHLER: Der eingegebene “Google Authenticator”-Code ist falsch oder abgelaufen. Hast du einen Vorschlag, woran das liegen kann?
Gute Frage. Bist Du genau nach Anleitung auf der Google-Seite vorgegangen? Wenn gar nichts mehr läuft, müsstest Du auf der Dateiebene Deines Blog das Verzeichnis „google-authenticator“ unter „/wp-content/plugins/“ löschen können – oder besser einfach abändern (von „google-authenticator“ in z. B. „xx-google-authenticator“ oder so). Danach sollte zumindest Dein Backend wieder erreichbar sein. Danach einfach nochmal in Ruhe neu versuchen. Bei mir war das auch eine Aktion, die etwas gedauert hat bis alles rund gelaufen ist. Viel Glück und Erfolg.