admin-admin
Eine wahre Geschichte über WordPress, Sicherheit und eine Schweizer Hosting-Firma.
Es war einmal….
…ein Kursteilnehmer bei Walter lernt, der plötzlich weder in seine WordPress-Website, noch ins Control Panel seiner Schweizer Hosting-Firma einloggen konnte. Auch sein Passwort konnte er nicht zurücksetzen.
Er schrieb eine E-Mail an den Support und bekam die Antwort:
Wir haben Ihr Login auf admin/admin gesetzt.
Wo ist das Problem?
Da kommt mir gerade einiges in den Sinn…
- Wie genau hat die Hosting-Firma sicher gestellt, dass der Absender des E-Mail der echte war?
- In der Schule haben wir alle gelernt, dass Passwörter nicht per E-Mail versenden sollen.
- In den WordPress-Kursen haben wir gelernt, dass man nicht admin als Benutzernamen nehmen soll und ein sicheres Passwort verwenden
sollmuss. - Was wäre passiert, wenn er die Antwort-Email nicht sofort gelesen hätte und die Website eine Zeit lang admin/admin als Login gehabt hätte?
- Gehackte WordPress-Websites sind keine Seltenheit (und fast immer die Schuld des Admins).
- Wie schwierig wäre es bei dieser Hosting-Firma ein Login zurück zu setzen, das gar nicht mir ist? Z.B. per Telefon oder E-Mail: „Bitte auf admin/admin setzen, ich ändere das Passwort dann sofort…“
Ich habe keine Angst im dunklen Wald oder in den Gassen von Schweizer Städten. Aber gehackte WordPress-Websites habe ich schon zu viele gesehen, leider.
Oder alles i.O.?
Findest du auch, dass dies nicht das ideale Vorgehen war oder ist das alles ok aus deiner Sicht? Hättet ihr Vertrauen in eine solche Firma?
Apropos ‚Passwörter nicht per E-Mail versenden‘: Wie oft habe ich mich irgendwo online angemeldet und ein Bestätigungs-Email erhalten mit den Hinweis „Ihr Benutzername lautet Fred, Ihr Passwort Bloggs“ – unglaublich aber wahr! In einem sicheren System sollte das Passwort niemandem im Klartext ersichtlich sein, geschweige denn per Email verschickt.
Übrigens gibt’s dafür in der Schweiz die Website http://www.passwortpranger.ch/ Da werden solche Firmen aufgelistet, die entweder nicht gut mit den Daten umgehen oder auch Passwortlängen kurz halten (sollte technisch nicht nötig sein, heute).
Schöne Namen dabei wie Migros, Swisscom, 20 Minuten etc….
Das Vertrauen in diesen Hoster wäre bei mir zumindest zerstört und ich würde mir ernsthaft über einen Wechsel Gedanken machen.
Viele Seitenbetreiber behalten meines Wissens nach aber auch die allerseits bekannte /wp_admin Login URL bei. Das kann auch ein Problem werden, wenn es jemand auf die Seite abgesehen hat. Deswegen sollte man URL umbenennen, wenn man auf Nummer sicher gehen möchte.