WordPress Passwort zurücksetzen: War ich nicht! Wer dann?

Kurz vor Weihnachten des letzten Jahres bekam ich bereits vor dem Fest ein “Geschenk” zugestellt, auf das ich gerne verzichtet hätte. Denn folgende Mail fand den Weg in meine Mailbox:

WordPress Passwort zurücksetzen Mail

Da hat also jemand das Zurücksetzen des Passworts für mein Benutzerkonto angefordert. Solche Hinweise per Mail habe ich in der Vergangenheit schon etliche erhalten, nur war ich es der das Zurücksetzen angefragt hatte. Nicht aber dieses Mal.

WordPress Passwort angefordert

Hat man das Passwort des WordPress-Logins vergessen, so kann man dieses entweder mit der Mailadresse oder dem Benutzernamen neu anfragen.

So überkam mich erst einmal ein wenig Panik. Was ist passiert? Werde ich gehackt? Kann da irgendjemand in mein WordPress Konto, der kein Zugriff haben sollte? Und welche Daten sind diesem vielleicht schon von meinem Konto bekannt?

Je mehr ich mich allerdings damit auseinandersetzte, wisch die Angst und Panik vor einem Angriff. Denn was kann schon großartig passieren? Das Einzige, was bei dieser Anfrage geschieht, ist das Versenden eines Links zum Zurücksetzen des Passwortes, welches aber stets in meiner Mailbox landet.

Dass man die Mail – falls nicht angefragt – getrost ignorieren kann, stand dann auch noch etwas weiter unten in der Hinweis-Mail:

WordPress Passwort zurücksetzen ignorieren

Das Zurücksetzen meines Blog-Passwortes war von mir nicht beabsichtigt und somit ignorierte ich diese E-Mail auch. Abgesehen von dem heutigen Hinweis als Blogartikel für Euch.

Denn hattet Ihr schon einmal einen solchen Fall? Wie habt oder würdet Ihr reagieren?

Ich nahm es – bis auf die Anfangsreaktion abgesehen – locker. Schließlich steht in der von WordPress geschickten Mail, dass “Es wird dann nichts passieren” und genau dies ist ja auch eingetroffen. Darüber hinaus ist mein Blog mit einer Bestätigung in zwei Schritten abgesichert und somit fühle mich zumindest in der Hinsicht recht sicher.

(Alex)

7 Comments

  1. Stephan said:

    So etwas ist mir noch nicht passiert. Aber Login-Versuche gab es massenweise. Meistens mit dem alten WordPress-Standard-User “admin”. Aber selbst wenn man diesen ratsamer Weise nicht nutzt, ist es nicht sehr schwer, User-Namen zu ermitteln. Man sollte sich Gedanken über eine Absicherung von WordPress machen und auch etwas dafür tun. Es gibt eine Reihe von Plugins, die da sehr nützlich sind.

    20. Januar 2016
  2. Carsten said:

    Ging mir vor ein paar Jahren ebenfalls so.
    Ich habe dann einen Login Namen gewählt dennoch nur hier benutze. Und der Name der angezeigt wird, kann dafür nicht benutzt werden.
    Save! So weit ;-)

    20. Januar 2016
  3. TmoWizard said:

    Hallöchen zusammen!

    Damit so etwas nicht mehr vorkommt gibt es ein Plugin:

    “Rename wp-login.php”

    Soll doch mal jemand herausfinden, wie meine Login-Seite wirklich heißt! ;-)

    20. Januar 2016
  4. Alex L said:

    Hallo Alex,
    so etwas habe ich bei mir zwar nicht beobachtet, aber vor kurzem wollte sich jemand auf einem der Blogs mehrmals mit meinem Nicknamen einloggen. Ich nutze auf jedem WP-Blog das Plugin “Limit Login Attempts” und man muss es scharf stellen, damit keiner nur eine Chance des Einloggens hat. Zudem generiere ich schon teilweise meine Passwörter mit dem internen WordPress-Password-Generator im Backend und noch kann man ein Passwort Manangement Tool nutzen, damit man sich immer gut einloggen kann und die Passwörter nicht merken muss.

    Ist schon schlimm, was alles passieren kann, wenn man nicht aufpasst und WordPress wird ja gerne geknackt.

    20. Januar 2016
  5. Alex said:

    Hi Stephan, Carsten, TmoWizard und Alex L

    Danke für Eure Kommentare zu diesem Thema.

    – Stephan, das mit dem “admin” kann ich bestätigen und habe diesen schon lange angepasst. Ist ja wohl der “Anfängerfehler” schlechthin! ;)

    – Carsten, so sieht es auch bei mir aus, aber… man kann das Passwort ja nicht nur mit dem Admin-Namen anfragen, sondern auch mit der Mailadresse.

    – TmoWizard, wieso braucht man dafür ein Plugin? Kann man diese Datei nicht einfach manuell abändern oder hängen da noch weitere Links mit dran?

    – Alex L, Limit Login Attempts nutze ich auch und habe dort schon letztes Jahr ordentlich die Schrauben angezogen. Doch 90% der Anmeldeversuche läuft ja eh unter admin oder dem Blognamen. Alles ok. :)

    Euch ein angenehmes und sicheres Wochenende.

    22. Januar 2016
  6. […] Die lieben Passwörter. Ist uns Blogbesitzern bestimmt vielen schon mal passiert, dass plötzlich eine „Passwort zurücksetzen“-E-Mail im Posteingang auftaucht. Wir diese aber gar nicht angefordert haben.  Alex beschreibt, was man da so machen kann oder was auch nicht. […]

    24. Januar 2016

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert