Kürzlich unterhielt ich mich mit jemandem über WordPress, Sicherheit und wpscan. Dabei stießen wir auf das Plugin WP Security Audit Log.
WordPress hatte in der längeren Vergangenheit immer wieder mit Sicherheitsproblemen zu kämpfen und in neuerer Zeit sind es vorwiegend Plugins, die Probleme bereiten. Mit wpscan lässt sich eine WordPress-Instanz nach verschiedenen Parametern scannen. Beim Scan der Seite von Radio (In)Security fragten wir uns dann, ob fehlgeschlagene Logins (aka Erraten von Passwörtern) vermeldet werden.
WordPress selbst meldet dies nicht. Aber es gibt Plugins, die das tun. So verspricht WP Security Audit Log dies. Bei unseren Tests tauchten die Meldungen auch auf.
Heute konnte ich nun einen Test unter realen Bedingungen machen. Der Beitrag zum Passwort bei Kanye West wurde als Nutzer admininsec veröffentlicht. Kurze Zeit nach der Veröffentlichung vermeldete WP Security Audit Log einen gescheiterten Anmeldeversuch von einer IP-Adresse aus Südkorea.
Es ist natürlich unklar, ob beide Ereignisse miteinander zusammenhängen. Aber zeitlich liegen die einfach dicht beieinander und bisher gab es recht Versuche, sich als admininsec einzuloggen.
Mein (hoffentlich) schwer zu erratendes Passwort sollte mich hingegen vor südkoreanischen wie auch anderen Hackern schützen. 🙂
