In einer Sonderausgabe seines WP Letter appelliert AntiSpam-Bee-Autor Sergej Müller an das Sicherheitsbewusstsein der Bloggerinnen und Blogger in Zeiten der Spam-Bot-Attacken:

Heute stelle ich mir erneut die Frage: Wie oft noch müssen deutsche Blogger auf Techniken und Ratschläge zum Schutz der Administrationsbereiche hingewiesen werden? Nach all den massiven Angriffswellen auf WordPress-Blogs sehe ich aktuell immer noch aktive WordPress-Nutzer, die admin als Administratorkonto nutzen, ein sehr schwaches Passwort verwenden und keinerlei Zugriffsschutz aufweisen. Wie geht denn das?

—Sergej Müller, WP Letter Sonderausgabe 29.5.2013

Sergej weist weiter darauf hin, dass Passwortsicherheit keine reine Privatsache ist. Einmal gehackte Blogs können als Bot-Netzwerke missbraucht werden und Malware verbreiten – mit ärgerlichen Konsequenzen für alle Besucher der infizierten Seiten.

Dass WordPress an sich ein sicheres Stück Software ist, hat Thomas Scholz, Entwickler bei Inpsyde, neulich zwischen den Zeilen eines Kommentars zur Salt/Hash-Verschlüsselung in WordPress noch einmal klar gestellt:

Der Hash für mein Passwort auf toscho.de ist übrigens $P$B4biALG/GgPOxkSwtnhaLvmUU/G8481 – darf jeder wissen, stört mich überhaupt nicht.

—Thomas Scholz in einem Kommentar bei Google+

Thomas empfiehlt zur Überprüfung der Passwort-Stärke, den bordeigenen Check im WordPress-Benutzerprofil mit dem Plugin Zxcvbn von Samuel Woods aufzuwerten, das die Dropbox-Library zum Messen der Passwortstärke implementiert.

In Internet-Cafés und für andere öffentliche Netzzugänge sollte man ohnehin ein einmaliges Passwort benutzen. Dafür einen eigenen Benutzerzugang ohne Adminrechte in petto zu haben, ist angesichts der Bot-Attacken in letzter Zeit kein Luxus, sondern Pflicht – für die Sicherheit des eigenen Blogs und aus Rücksicht auf dessen Besucher.