Hackversuche über Registrierung bei WordPress Blog

Vor kurzem hatte ich ein Gespräch mit einem Blogger, der mir erklärte, dass er wöchentlich rund 10 neue Accounts löscht, welche sich in seinem Blog registriert haben. Bei den Accounts handelte es sich immer um ausländische Adressen. Er vermutete, dass es sich dabei um Hackversuche handelt, um auf seinen Blog zu zugreifen. Natürlich fragte ich mich wie die Angreifer auf den Blog kamen, zumal mir das Problem, trotz meiner vielen Blogs, bisher nicht untergekommen war. Folgende Lösung fand ich.

Sicherheitslücke über offizielle Registrierungsmöglichkeit

Das Meta Widget von WordPress inklusive Registrierungsmöglichkeit
das Meta-Widget Plugin von WordPress mit eingebunden. Dieses Widget ist ein Minimenü, mit Links. Darunter gibt es auch einen Link, über den man sich im Blog registrieren kann, sofern diese Möglichkeit eingestellt ist (wo dies geht, zeige ich gleich noch). Über diesen Link kamen die Registrierungen. Die Angreifer registrierten sich auf dem Blog, wahrscheinlich in der Hoffnung anschließend Zugang auf empfindliche Bereiche der Webseite zu erhalten.

Wo findet man die Einstellungen?

[caption id="attachment_9563" align="aligncenter" width="645"]Einstellung WordPress - Mitgliedschaft Hier findet man die Einstellung, dass sich jeder im Blog registrieren kann.

Sobald man in den Grundeinstellungen von WordPress (zu finden unter Einstellungen – Allgemein), ein Häkchen bei “Mitgliedschaft: Jeder kann sich registrieren” setzt, erscheint in dem Meta-Widget-Plugin ein Link, über den man sich im Blog registrieren kann. Auf der anschließenden Registrierungsseite vergibt man einen Benutzernamen und eine E-Mail Adresse und erhält anschließend ein Passwort. Danach kann man sich im Blog anmelden.

Registrierungsseite von WordPress Blogs
Auf dieser Seite kann man sich in einem WordPress Blog registrieren

Unter diesem Bereich kann man als Admin seines Blogs auch festlegen, welche Rechte der neue Nutzer von Beginn an haben soll. Die Grundeinstellung ist “Abonnent”. Dieser kann ein Nutzerprofil einrichten und in diesem unter anderem auch einen Link zu einer Webseite hinterlegen. Bei manchen Blogs kann er zudem kommentieren, wenn die Kommentarfunktion nur für registrierte Nutzer aktiviert ist.

Sicherheitslücke schließen – Registrierung nicht ermöglichen

Wie kann man das Problem lösen? Zuerst sollte man den Bereich deaktivieren, über den sich Dritte auf den eigenen Blog anmelden können. Ich empfehle dies im Übrigen auch für Kommentare. Es gibt sinnvollere Plugins um Spam abzuwehren, als die Leser zu einer Registrierung zu zwingen, sofern dies der Hintergedanke ist. Wenn du andere Praxisbespiele kennst,  würde ich mich über deine Erfahrungen in den Kommentaren freuen. Ich kenne leider bisher keinen Grund, warum sich jeder auf einem Blog registrieren können sollte (von den Kommentaren mal abgesehen).

Alternativer Login zu WordPress Blog

Hat man die Funktion deaktiviert, kann sich auch niemand mehr registrieren. Will man zusätzlich auch die Anmeldefunktion entfernen, empfehle ich komplett auf das Meta-Widget zu verzichten. Anmelden kann man sich auch in seinem Blog über den Namen seines Blogs zuzüglich den Link /wp-admin (Bsp: http://www.example.com/wp-admin).

Deine Fragen?

Du hast noch weitere Fragen? Dann schreibe diese einfach in die Kommentare. Ich versuche diese so schnell wie möglich zu beantworten.

Autor: Ronny Siegel

Hi, ich bin Ronny, einer von den beiden Geschäftsführern und Inhabern der Conversion Junkies. Ich beschäftige mich vor allem mit Inhalten (Content) und wie man diese verbessern kann. Zudem kenne ich mich sehr gut mit AdWords aus und finde dort immer neue Infos, die mir auch bei den Inhalten helfen. Und ich bin der Meinung, nichts ist besser als zu testen, weswegen ich mir bei den Inhalten und den AdWords Anzeigen auch das Nutzerverhalten gerne ansehe und auswerte. Wenn Sie Fragen zu diesem Beitrag haben, posten Sie die Frage bitte in die Kommentare. Ich beantworte diese sehr gerne.

3 Gedanken zu „Hackversuche über Registrierung bei WordPress Blog“

  1. Hallo Marcus,

    obwohl ich die besagte Option, dass sich neue Mitglieder registrieren können, deaktiviert habe, geschieht genau dieses: täglich lösche ich neue, unerwünschte “Mitglieder”. Heute hat sich sogar einer als Admin!! registriert, glücklicherweise aber noch keinen Schaden angestellt. Leider finde ich keine Möglichkeit, die Registrierung grundsätzlich zu verhindern. Weißt Du hierfür eine Lösung?

    Mit vielen Grüßen,
    Aina

  2. Ja das ist wohl wahr, dass über WordPress so einiges versucht reinzukommen, sofern man aber regelmässig die Updates einspielt und vor allem mit den Grundeinstellungen von WP vertraut ist, fährt man auch der sicheren Seite ;-)))

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Mit dem Absenden Ihrer Anfrage erklären Sie sich mit der Verarbeitung Ihrer angegebenen Daten zum Zweck der Bearbeitung Ihrer Anfrage einverstanden (Datenschutzbedingungen)