Die Angriffe auf meinen Blog hier reißen nicht ab. Inzwischen nicht mehr nur am Wochenende, sondern jeden Tag die gleiche Leier. Anderen geht es aber auch so ähnlich, wie hier zu lesen ist: http://www.tagseoblog.de/hacker-angriff-auf-tagseoblog-und-was-ich-dabei-gelernt-habe
Inzwischen leite ich alle Benachrichtigungen (per Email) von Angriffen direkt in meinen Junkmail-Ordner. Die Löscherei ging mir auf die Nerven, aber ganz auf die Info was gerade läuft, wollte ich auch nicht verzichten.
Sergej Müller hat inzwischen einen aktuellen Artikel verfasst, was man gegen Angriffe auf die XML-RPC Schnittstelle von WordPress tun kann: http://cup.wpcoder.de/wordpress-xmlrpc-schutz/
Viele wissen vermutlich gar nicht, dass es diese Schnittstelle gibt und noch weniger, wie man sie abschalten könnte. Die Anleitungen von Sergej sind denn auch nicht für Laien gedacht und nicht jeder kann oder darf .htaccess Dateien einbinden. Manche schließen den Rest der Welt vielleicht aus und wundern sich über zu wenig Besuch. Interessant wäre hier vielleicht ein Plugin, das Angriffe auf diese Schnittstelle blockieren könnte.
Hier hat sich auch jemand ganz aktuell Gedanken über die Sicherheit bei WordPress-Seiten gemacht: http://www.netz-gaenger.de/blog/wordpress-tutorials/wordpress-security-masnahmen-erweitern
Man kann mit dieser Anleitung sicher einiges für die Sicherheit seines Blogs tun aber der Autor selbst hat schon erkannt, dass es auch Nachteile gibt.
Nämlich die, dass man zum Arbeiten wieder einiges ausschalten muss.
Das hört sich im ersten Moment noch nicht so wild an, aber tatsächlich blockieren die Sicherheitseinstellungen die Arbeit mit einer Webseite. Wenn man nicht nur eine Seite hat, sondern viele, und alle sind richtig aufwändig abgesichert, dann wird man irgendwann die Seite nicht mehr anrühren, weder etwas schreiben noch daran was ändern, weil es schlicht zu umständlich und aufwändig wurde.
Ich spüre die Umstände schon bei Hostern, die Besitzrechte des wwwrun oder phprun nicht mit dem User des Accounts gleichgeschaltet haben und man bei jeder winzigen Änderung per FTP an Dateien die Besitzrechte umschalten darf und nicht vergessen, wieder zurück schalten, sonst geht vieles WordPress nicht mehr, wie Updates und so. Da man sich dazu bei diesen Hostern einloggen muss, um die Besitzrechte zu schalten und jedesmal Gedenkminuten warten muss bis alles auf dem Server umgesetzt wurde, überlegt man es sich schon zweimal, ob man „wirklich“ etwas verändern muss oder ob es noch warten kann, bis sich genug angesammelt hat.
Schlimmer noch bei abgesicherten Rechenzentren mit zeitlich limmitiertem Account, einzig VPS Zugang zur Datenbank und WebDAV zum Webspace. Da überlegt man es sich seeeehr lange, ob man etwas machen muss.
Die Spontanität geht verloren.
Ohne Zweifel, man kann manches an Sicherheit gewinnen, aber man portiert sich intuitiv wieder zurück in die Steinzeit des WEB, zu rein statischen Seiten die einmal im Jahr eine Änderung erfahren.
Wo liegt die goldene Mitte?
Und auf WordPress zu verzichten ist auch eher unwahrscheinlich.