WordPress erlaubt eine unbegrenzte Anzahl an Login Versuchen. Dadurch ist es möglich per Script gesteuert unzählige Loginversuche zu vollziehen bis das richtige Passwort erraten (bzw. errechnet) wurde. So ist also das Blog für einen Bot offen wie ein Scheunentor.
Limit Login Attemps
Dies lässt sich mit dem Plugin Limit Login Attempts lässt sich dies verhindern. Mit dem Plugin kann man die Anzahl Login-Versuche beschränken. Meine Einstellung sind 4 Loginversuche. Anschliessend wird die entsprechende IP-Adresse für 20min gesperrt. Zusätzlich erhalte ich ein Mail. So kann ich z.B. mittels .htaccess den Zugriff von einer entsprechenden IP für immer sperren. Dies wird so gemacht:
deny from xxx.xxx.xxx.xxx
ErrorDocument 403 http://127.0.0.1
Um einen ganzen Adressbereich zu sperren:
order allow,deny
allow from all
deny from xxx.xxx.xxx.00/255
Eine weitere Möglichkeit ist der Zugriffschutzt von wp-admin durch .htaccess. Dies bringt allerdings nur zusätzliche Sicherheit wenn das Passwort für den .htacess-Zugang nicht gleich dem Zugang für WordPress ist. Desgleichen sollte ein Passwort von Zeit zu Zeit gewechselt werden.