Sicherheitstipp: Nutzernamen verstecken

Mit der Zeit hat auch der jüngste WordPress-Anwender verstanden, dass admin kein guter Name für ein Benutzerkonto in WordPress ist. Warum? Weil unermüdliche Bots dann ein Teil des Puzzles kennen und sich ausschließlich mit dem fehlenden Passwort beschäftigen würden.

Was auch nicht unbedingt vorteilhaft ist: Nutzernamen auf Blogseiten auszugeben und mit Autoren-Profilen bzw. Archiven zu verlinken. Ein gültiger WordPress-Autor-Link ist gefundenes Fressen für Bots und Scanner. Sind valide Nutzernamen einmal aufgenommen, machen sich Bots an die Anmeldeprozedur der WordPress-Installation heran. Jetzt kommt es nur auf die Passwortstärke an.

Sicherlich könnten Bots anhand der Author-ID an den Benutzernamen kommen. Beobachtungen an zahlreichen Honeypots zeigten jedoch, dass Bots zuerst Artikelseiten und gleich danach den Autor-Link (also den bereits gültigen Autor-Permalink, wie im Quelltext hinterlegt) aufrufen. Also ist die Tatsache offensichtlich, dass Autor-Links primär aus Blogseiten extrahiert werden.

Ratschlag (soweit umsetzbar): Auf die Verlinkung der Autoren verzichten oder die Ausgabe des Nutzernamens im Theme entfernen. Vor allem für WordPress-Installationen mit nur einem Autor sollte dies kein Problem darstellen.

Wer sicher-sicher gehen will, sperrt Aufrufe zu WordPress-Autorenarchiven mithilfe eines Einzeilers in der Datei .htaccess.

JPEG-Qualität in WordPress steuern

Wie der Komprimierungsgrad für WordPress-Medien gesteuert wird und – vor allem – welche Kompressionsstufe heutzutage als Maßstab für das ausgewogene Verhältnis zwischen Qualität und Dateigröße dient, erläutert der Artikel auf Google+.

Links zu Code-Snippets und Studien dabei.

Weiterführende Informationen →

Short News