Hackversuche über Registrierung bei WordPress Blog

Vor kurzem hatte ich ein Gespräch mit einem Blogger, der mir erklärte, dass er wöchentlich rund 10 neue Accounts löscht, welche sich in seinem Blog registriert haben. Bei den Accounts handelte es sich immer um ausländische Adressen. Er vermutete, dass es sich dabei um Hackversuche handelt, um auf seinen Blog zu zugreifen. Natürlich fragte ich mich wie die Angreifer auf den Blog kamen, zumal mir das Problem, trotz meiner vielen Blogs, bisher nicht untergekommen war. Folgende Lösung fand ich.

Sicherheitslücke über offizielle Registrierungsmöglichkeit

Das Meta Widget von WordPress inklusive Registrierungsmöglichkeit

das Meta-Widget Plugin von WordPress mit eingebunden. Dieses Widget ist ein Minimenü, mit Links. Darunter gibt es auch einen Link, über den man sich im Blog registrieren kann, sofern diese Möglichkeit eingestellt ist (wo dies geht, zeige ich gleich noch). Über diesen Link kamen die Registrierungen. Die Angreifer registrierten sich auf dem Blog, wahrscheinlich in der Hoffnung anschließend Zugang auf empfindliche Bereiche der Webseite zu erhalten.

Wo findet man die Einstellungen?

[caption id="attachment_9563" align="aligncenter" width="645"]Einstellung WordPress - Mitgliedschaft Hier findet man die Einstellung, dass sich jeder im Blog registrieren kann.

Sobald man in den Grundeinstellungen von WordPress (zu finden unter Einstellungen – Allgemein), ein Häkchen bei “Mitgliedschaft: Jeder kann sich registrieren” setzt, erscheint in dem Meta-Widget-Plugin ein Link, über den man sich im Blog registrieren kann. Auf der anschließenden Registrierungsseite vergibt man einen Benutzernamen und eine E-Mail Adresse und erhält anschließend ein Passwort. Danach kann man sich im Blog anmelden.

Registrierungsseite von WordPress Blogs

Auf dieser Seite kann man sich in einem WordPress Blog registrieren

Unter diesem Bereich kann man als Admin seines Blogs auch festlegen, welche Rechte der neue Nutzer von Beginn an haben soll. Die Grundeinstellung ist “Abonnent”. Dieser kann ein Nutzerprofil einrichten und in diesem unter anderem auch einen Link zu einer Webseite hinterlegen. Bei manchen Blogs kann er zudem kommentieren, wenn die Kommentarfunktion nur für registrierte Nutzer aktiviert ist.

Sicherheitslücke schließen – Registrierung nicht ermöglichen

Wie kann man das Problem lösen? Zuerst sollte man den Bereich deaktivieren, über den sich Dritte auf den eigenen Blog anmelden können. Ich empfehle dies im Übrigen auch für Kommentare. Es gibt sinnvollere Plugins um Spam abzuwehren, als die Leser zu einer Registrierung zu zwingen, sofern dies der Hintergedanke ist. Wenn du andere Praxisbespiele kennst,  würde ich mich über deine Erfahrungen in den Kommentaren freuen. Ich kenne leider bisher keinen Grund, warum sich jeder auf einem Blog registrieren können sollte (von den Kommentaren mal abgesehen).

Alternativer Login zu WordPress Blog

Hat man die Funktion deaktiviert, kann sich auch niemand mehr registrieren. Will man zusätzlich auch die Anmeldefunktion entfernen, empfehle ich komplett auf das Meta-Widget zu verzichten. Anmelden kann man sich auch in seinem Blog über den Namen seines Blogs zuzüglich den Link /wp-admin (Bsp: http://www.example.com/wp-admin).

Deine Fragen?

Du hast noch weitere Fragen? Dann schreibe diese einfach in die Kommentare. Ich versuche diese so schnell wie möglich zu beantworten.