image0Vor einiger Zeit, als ich Wordpress nicht gleich aktualisiert hatte, bekam ich Mails von meinem Blog. Jemand hatte versucht den Adminaccount zu hacken und an mein Passwort zu kommen. Ich hatte danach aktualisiert, die Lücke war geschlossen und ich habe eigentlich keinen weiteren Gedanken darauf verschwendet.
Durch einen Artikel bei Perun bin ich wieder auf das Problem aufmerksam geworden.
Die Lösung ist eigentlich recht simpel. Da ein Angreifer das Passwort nicht kennt, muss er es ausprobieren. Entweder durch manuelles raten, oder mit einem Skript.

Dem kann man dem Spaß verderben, wenn man eine kleine Hürde einbaut, die nach einer bestimmten Anzahl von Versuchen greift. Das Plugin `Limit Login Attempts <https://wordpress.org/extend/plugins/limit-login-attempts/>`__ macht genau das und sperrt den Loginbereich nach einer bestimmten Anzahl von Falscheingaben.

Das bietet keine absolute Sicherheit, macht aber dieses private Kleinblog noch ein wenig uninteressanter für einen Angreifer.