So sichern Sie Ihren WordPress Author Link

Veröffentlicht von in Sicherheit, WordPress

Eine simple Abfrage macht es Hackern einfach den Benutzernamen einer WordPress Installation auszulesen.

Viele WordPress-Installationen verraten sich selbst. Mit einer simplen Abfrage in einem Browser kann man durch das anhängen eines kleinen Zusatzes den Benutzernamen des Admins abfragen. Verwenden Hacker diesen einfachen Trick, haben sie es bereits zur Hälfte geschafft, in das Back-End Ihrer Website einzudringen …

So schützen Sie sich vor der Abfrage Ihres WordPress Author Link

WordPress ermöglicht es mit der einfachen Ergänzung /?author=1 an die URL einer Website den WordPress Author Link des Admin-Benutzernamen anzuzeigen. Standardmäßig bekommt der erste Benutzer, der WordPress installiert, die ID author1. Dieser Benutzer ist naturgemäß IMMER ein Admin. Leider wird hier auch der wirkliche Benutzername angezeigt und nicht, was ja wünschenswert wäre, der in den WordPress Einstellungen gewählte öffentliche Name.

Testen Sie die URL Ihrer WordPress-Website:
Geben Sie in die Adresszeile eines Browsers www.ihre-website.de/?author=1 ein.
Wenn Ihre Installation nicht geschützt ist, bekommen Sie in der URL folgendes Ergebnis in der Adresszeile angezeigt: www.ihre-website.de/author/ihr-geheimer-benutzername.

WordPress benutzt die Funktion des WordPress Author Link, um Artikel (Posts) in Blogs einem Autor zuordnen zu können. (It´s a feature – not a bug!) Dieses Feature wird aber zur Falle, wenn man unter seinem Admin-Account Artikel veröffentlicht. Die WordPress-Empfehlung lautet:
Legen Sie zur Veröffentlichung Ihrer Artikel einen User an, der lediglich über Redakteursrechte verfügt.

Meines Erachtens reicht dieser einfache Kniff als Schutz nicht aus:
Denn natürlich kann auch der WordPress Author Link eines Redakteurs, oder jedes anderen Benutzers mithilfe der kleinen Ergänzung in der URL ausspioniert werden. Man wechselt einfach die ID, also anstatt /?author=1 wird einfach /?author=2, /?author=3 etc. eingegeben. Ein Hacker wird schnell fündig und kann mit etwas Geduld und Ausprobieren den Redakteurs- vom Admin-Account unterscheiden.

Edit Author Slug 

Mehr Abhilfe schafft eine Verschleierung des WordPress Author Link. Das kostenlose WordPress Plugin  >> Edit Author Slug bietet eine einfache und recht effiziente Möglichkeit den Benutzernamen eines Accounts zu verschleiern und individuelle, von den ursprünglichen Profildaten unabhängige Autoren/Nutzernamen zu erstellen. Ich verwende dieses Plugin zur Absicherung meiner eigenen Websites sowie der meiner Kunden. 

Anmerkung: Auch dieses Plugin verhindert die Anzeige des Author Link nicht vollständig (Danke für Deinen Hinweis, Torsten Landsiedel – s.u.: Kommentare). Es geht um sicherer. Sicher gibt es nicht. [

In den Plugin-Einstellungen können Sie die Base-URL einstellen, also: 

www.meine-website-rubrik-autorenname.
In den Benutzereinstellungen von WordPress finden Sie dann die individuellen Einstellungen zur Anzeige des Benutzernamens, also: 
www.meine-website-rubrik-autorenname.

Mit WordPress 4.0 scheint das auslesen des WordPress Author Link zumindest erschwert. Diese Sicherheitslücke sollte unbedingt  mit Hilfe des Plugins geschloßen werden. Für Benutzer älterer WordPress-Installationen ist ein solches Plugin ein absolutes MUSS – mal abgesehen davon, dass diese unbedingt eine aktuelle WordPress Version erwägen und auch durchführen sollten.

Weitere Artikel

  • WordPress Admin Account ändernWordPress Admin Account ändern Viele WordPress Admin Accounts sind nicht ausreichend gegen Angriffe gesichert. Der Anteil der mit WordPress erstellten Websites steigt beständig. Das ist sehr begrüßenswert, birgt aber […]
  • Die htaccess Datei – So sichern Sie Ihre WebsiteDie htaccess Datei – So sichern Sie Ihre Website Immer häufiger werden Websites attackiert. Sichern Sie Ihren WordPress Internetauftritt mit Hilfe einer htaccess Datei gegen Angriffe ab.
  • WordPress Backdoor findenWordPress Backdoor finden WordPress Backdoor in einer WordPress-Site entdecken und beheben. Wie Sie sich vor der Gefahr eines WordPress-Hacker Angriffes schützen können.
  • WordPress HackWordPress Hack WordPress Hack. Ihre WordPress Website ist von einem WordPress Hack betroffen? Hier finden Sie eine schnelle erste Hilfe.