dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

Ausgehend von einem lesenswerten (englischsprachigen) Artikel ›WordPress Username Enumeration‹ in BlogSecurity ein paar kurze Anmerkungen zu Verwendung von Benutzernamen in Wordpress – wobei diese Ratschläge auch für andere Blogsysteme oder CMS geeignet sein sollten.

Die Aufgabenstellung besteht grundsätzlich darin, es einem potenziellen Angreifer, der sich mit einer sogenannten Brute-Force-Methode oder mit Hilfe von Wörterbuchattacken Zugang zu einem solchen System verschaffen will, so schwer wie möglich zu machen, die hierfür notwendigen Elemente (Benutzernamen und Passwörter) zu ermitteln.

Eins vorweg zu Passwörtern:

Wer glaubt, dass er mit Passwörtern der Art »mausi123« auf der sicheren Seite ist, braucht im Grunde gar nicht weiterzulesen, denn er hat die Tür zu seinem Blog (oder CMS) sowieso schon so weit geöffnet, dass ein Fremder praktisch unbehelligt eintreten kann. Ein ordentliches Passwort besteht aus mindestens acht Zeichen, besser mehr, wobei Großbuchstaben, Kleinbuchstaben, Ziffern und möglichst einige Sonderzeichen wie z.B. (!?%#+_) vorkommen.

1. Der Administrator

Grundsätzlich gilt: Wer einen Benutzernamen verrät, erspart dem Angreifer genau die Hälfte seiner Mühe. Deswegen sollte der meist bei der Installation vorgegebene Name des Administrators (meist »admin« oder ähnlich Sinnreiches) flugs geändert werden. Ein Gebilde wie z.B. »AD#mein_blog#miN?« dürfte schon kaum mehr per Wortliste ›erraten‹ werden können.

Die Änderung des Administrators ist in Wordpress nur direkt in der Datenbank möglich: Hierzu verwende man ein Hilfsmittel wie phpMyAdmin und begebe sich in die Tabelle »wp-users« seiner Wordpress-Datenbank, wähle »Anzeigen« und bearbeite direkt den Datensatz des Administrators.

2. Der einfache Autor

Ich empfehle, nicht mit dem Administratorzugang Artikel zu schreiben, sondern hierfür einen einfachen Benutzer anzulegen, der nicht viel mehr darf als genau das, neben einigen weiteren artikelbezogenen Bearbeitungsaufgaben. Das dient nicht zuletzt als Selbstschutz, denn als einfacher Autor kann man auch selbst nicht allzu viel Schaden im Bloggetriebe anrichten.

3. Der unsichtbare Benutzer

Benutzernamen sollten an keiner Stelle des Blogs oder CMS offenbart werden. Die meisten Systeme bieten vom Benutzernamen unabhängige Klartextnamen zur äußeren Identifizierung der Autoren an. Klartext- und Benutzernamen sollten dabei nicht unmittelbar voneinander erschließbar sein. Auch hier gilt: Wer als Autor »Rudolf« heißt und als Benutzernamen »rudi« verwendet, hat praktisch schon den halben Zugang verraten.

4. Benutzer-Registrierung?

Sofern man in seinem Blog bzw. CMS keine Besucher-Registrierung verwendet, sollte man das Registrierungsformular im Quelltext komplett löschen. In den meisten Wordpress-Themes befindet sich dieses Formular standardmäßig m.W. in der ›Sidebar‹ (sidebar.php).

Die Befolgung dieser Grundregeln, die sicher keine besonders hohen Anforderungen an den eigenen ›Administrations-Genius‹ stellen, mögen die gepflegte Webanwendung zwar nicht absolut nagelsicher gegen wirklich energische Einbruchsversuche machen, dem Gelegenheitshacker aber sollten sie schon einen gewissen erfolgreichen Widerstand bieten.

Dieser Inhalt (Textbeitrag und Fotos) ist unter einer Creative-Commons-Lizenz BY-NC-ND lizenziert.

Kategorie(n): Blogging, Software, Wordpress
Tags: Passwörter, Sicherheit, Sicherheitsluecke, Usernamen, Wordpress-Tuning

Kommentare und Pings geschlossen.

Kommentar-Feed (RSS) zu diesem Artikel