Ankerlink an den Anfang der Seite

webentwicklerin

——— seit 2003 ———

z03 6251

Mails mit nicht selbst ausgelösten WordPress-Password-Reset-Anfragen

weitere Ergebnisse…

Generic filters
Filter by Kategorien

In den letzten zwei Tagen las ich, dass WordPress-User unerwartete und teilweise viele E-Mails zur Passwortzurücksetzung erhalten, die sie nicht selbst veranlasst haben. Solche Mails können beunruhigend sein. In den meisten Fällen bedeuten sie nicht, dass die WordPress-Seite gehackt wurde. Ein Passwort Reset wird ja veranlasst, weil man sich nicht anmelden kann, resp. von „außen“. Es handelt sich um automatisierte Bot-Aktivitäten, die auf bekannte E-Mail-Adressen abzielen..

Betroffen? – Ruhe bewahren. Jeder, der auf eine WordPress-Loginseite gelangt, kann einen Password-Reset durchführen. Allerdings muss zumindest der Usernamen eher jedoch die E-Mail-Adresse auf einer Probierliste gewesen sein, sonst wäre die E-Mail ja nicht im Postfach gelandet.

Sofern keine Anzeichen eines Befalls erkennbar sind wie unbekannte Admins unter den Benutzern, Inhalte die nicht auf die Website gehören oder gar Weiterleitungen, ist die Lästigkeit mit ein paar Handgriffen behoben.

Maßnahmen, Password-Reset-Anfragen zu stoppen

  • Grundsätzlich: Strenges Passwort verwenden, vor allem für Admins (ggf. WordPress Passwort generieren lassen).
  • Die Loginseite verschieben, sodass man nicht mehr über /wp-login.php, resp. /wp-admin zum Login und Password-Reset gelangt, zum Beispiel mit WPS Hide Login.
  • 2-Faktor Anmeldung für Administratoren einrichten, z.B. mit dem Plugin Two Factor.
  • Sofern nicht erforderlich: xmlrpc sperren
  • Sofern nicht erforderlich: anonymen REST API-Zugriff sperren (darüber können User abgefragt werden)

Diese Maßnahmen sollten weitere Passwort-Rest-E-Mails unterbinden. Es ist nochmal sicherer, den neuen Login-Link nirgendwo zu veröffentlichen.

Doch auch die regelmäßige Pflege der Website ist eine, wenn nicht gar die wichtigste, Sicherheitsmaßnahme. Die Plugins einer Website sollten stets aktuell (auch keine nicht mehr weiter entwickelte Schläfer!) sein, aus sicherer Quelle kommen, und auch das Theme aktuell und gepflegt sein. Unnötige Drittanbieterfunktionen und deaktivierte Plugins wegzulassen ist auch noch für die Performance ein Gewinn.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

Hinweis: Name und E-Mail-Adresse (beides optional, da alle Kommentare moderiert werden) werden dauerhaft gespeichert. Über dieses Formular kann jeder Zeit die Löschung persönlicher Daten oder Kommentare angefordert werden; die Anfrage wird nicht veröffentlicht und nach der Bearbeitung gelöscht. IP-Adressen, die mit Kommentaren gespeichert werden, werden nach zwei Monaten automatisch gelöscht.

Ihre Nachricht wird möglicherweise zur Spam-Prüfung an OpenAI (USA) weitergeleitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

vielleicht auch interessant