Aussernet.

Seit Jahren verwendet ich das Plugin „WPS Hide Login“. Damit geht man nicht über /wp-admin ins Dashboard, sondern kann sich selbst einen Wunschnamen für die Seite zum Einloggen ausdenken. Bei mir ist es /login. Ich weiss nicht, wie lange es das in Worpress schon gibt, aber erst jetzt erkannte ich, dass man auch ohne dieses Plugin über die Adresse /login in sein Dashboard kommt. Ich war drauf und dran, das Plugin zu entfernen, denn WordPress-Nutzer der alten Schule wissen: Je weniger aktive Plugins, um so besser!

Glücklicherweise habe ich noch etwas nachgedacht und das Plugin doch nicht deaktiviert. Denn mir fiel ein, was mein ursprünglicher Grund war, es zu installieren: Als ich noch im Hosting-Service arbeitete, da ging es natürlich auch immer um die Last auf den Servern und wie man sie gering halten kann. Der Außenstehende kann sich hierbei gar nicht vorstellen, wie viel Traffic auf DoS, Spam, Hacking und sonstige Attacken geht. Bot-Netze versuchen völlig automatisiert alles mögliche, denn Traffic kostet ja nix mehr und Last haben nur die anderen. Unter anderem wird eben auch folgendes probiert: Jede irgendwie bekannte Domain wird mit der URL-Ergänzung zum Login gängiger CMSe aufgerufen, z.B. pdftacker.de/wp-admin. Und wenn da kein 404 etc. zurückkommt, dann wird versucht, sich dort mit gängigen Daten einzuloggen. Denn sicherlich haben viele WP-Installationen noch den default-Admin-Account, da muss man „nur“ das Passwort raten. Und sowas passiert in schier unfassbarer Menge. Diese Last gilt es zu vermeiden. Da man die Verursacher nicht bei den Eiern kriegt, muss man es anders versuchen. Schlechte Ideen sind, die Antworten auf diese Anfragen zu verzögern. Zumindest für die „rechtmässigen“ Nutzer des Servers.
Jetzt kommt wieder das Plugin ins Spiel: Anfragen auf /wp-admin werden mit einem 404 beantwortet, im Sinne von „hier gibt es kein WordPress, geh weiter!“. Also behalte ich dieses sinnvolle Plugin, aber ich werde nun vermutlich meine Anmelde-URL ändern 😉