WordPress sicher machen

Schnell einen WordPress-Blog aufsetzen und für den Familiengebrauch anpassen ist keine große Sache. Endlich ein Standardsystem und wenig technische Fummelei. Sehr nahe an bzw. mit einem Standard-Layout arbeiten. Keine Eigenentwicklung oder langwierigen Anpassungen. Das waren meine Ziele für diesen Blog. Natürlich auch der Wunsch, dass die Updates des Basissystems und der Erweiterungen eigentlich „per Knopfdruck“ erfolgen sollen.

wordpress_logoDiese Ziele konnte ich mit WordPress auch gut realisieren. Was ich aber noch bekommen habe: Ein System, welches in der Standardinstallation und ohne zeitnahe Updates ein permanentes Ziel von fröhlichen Hackern ist, die das System kapern wollen. Gut alle drei Monate ist der Server zum Spam-Mailer mutiert. Nachdem der Blog für meinen Sohn ein paar Mal auseinander genommen wurde, habe ich mich ein wenig mehr mit der Sicherheit für WP beschäftigt. Mir ging die ewige Neuinstallation auf den Geist. Es mussten einfach ein paar Maßnahmen erfolgen, die das System sicher machen. Die folgenden Dinge haben geholfen die Sicherheit meiner WordPress Installation zu erhöhen. Zumindest ist es seit über acht Wochen ruhig.

Unsere Empfehlung für WordPress Hosting: Webhosting Medium

Abwehrmaßnahmen gegen Hacker

1. Verzeichnis phpMyAdmin löschen

So schön und komfortabel auch die Oberfläche ist: wenn an der DB gearbeitet werden muss, wird das Verzeichnis nur kurz über das Backend aktiviert und dann gleich wieder vom Server gelöscht. Der .htaccess Schutz, der vor dem Verzeichnis liegt, hilft, aber es gilt der Grundsatz: was nicht mehr benötigt wird, wird entfernt.

2. Überflüssige Themes löschen

Genauso wie mit phpMyAdmin wird mit den Themes verfahren. Warum alle Themes auf dem Server lassen, wenn nur eins genutzt wird. Damit reduziere ich mit einfachen Mitteln die möglichen Sicherheitslücken. Weniger Themes, weniger mögliche Lücken in den Templates.

3. Den Benutzer „admin“ löschen

Mit jeder Installation wird der Benutzer automatisch angelegt und damit kennt jeder Angreifer schon einen Benutzer, bei dem Passwörter getestet werden können. Ohne Plugin kann die Anzahl der Login-Versuche nicht limitiert werden. Die Seitenaufrufe zeigen klar die Ausspähversuche der Bots nach den Autoren.

4. Sichere Passwörter

Zwischenzeitlich war ich mir nicht sicher, ob auch schon die Passwörter mit einem 128Bit Schüssel gehackt worden sind. Daher habe ich auf 256Bit und 64 Zeichen lange Passwörter umgestellt. Derzeit noch ohne Sonderzeichen. Nur Zahlen und Buchstaben. Um sich die Passwörter zu merken und sie nicht als Textdatei speichern zu müssen, nutze ich derzeit KeePass.

Foto: Marco Tedaldi © CreativeCommons BY-SA 2.0)

Zusätzliche Plugins für die Sicherheit

Ohne weitere Plugins ist eine Überwachung von WordPress aus meiner Sicht nicht möglich. Der Vorteil ist unter anderem auch, dass mit den Sicherheits-Plugins überwacht werden kann wie die verschiedenen Abwehrmaßnahmen greifen.

1. Rename wp-login.php (unmaintained)

Das Standard-Verzeichnis /wp-admin kann damit umbenannt werden. Fantasienamen sind gut, aber schwer zu merken. Daher sollte hierfür ein Mittelweg gewählt werden. Somit werden die Loginversuche deutlich erschwert.

2. Limit Login Attempts

Die Anzahl der erlaubten Login-Versuche kann hiermit begrenzt werden. Automatisierte Dauer-Logins sind damit nicht mehr möglich. Zum Plugin.

3. AntiVirus

Prüft täglich und automatisch, ob es Änderungen in den Templates gibt. Eine manuelle Prüfung ist jederzeit über das Backend möglich. Die Option „Google Safe Browsing“ sollte aktiviert sein. Zum Plugin.

4. Wordfence Security

Eine sehr ausgereifte Security-Suite, die einige Einstellungen mit sich bringt. Wie so häufig gibt es hier auch eine Pro-Version. Wobei ich derzeit ohne die erweiterten Funktionen auskomme. Die Funktionalität vom Plugderin „Limit Login Attempts“ kann mit „Wordfence“ auch abgedeckt werden.
Login Security Options: unter anderem kann ich einstellen, dass die IP Adresse nach einer bestimmten Anzahl von Fehlversuchen beim Login und sich ein neues Passwort zu zuschicken lassen, gesperrt wird.
Scans to include: Es werden alle definierten Dateien gescannt, keine Ausnahme.
Live Traffic: Mit dieser Funktion kann „live“ beobachtet werden, wer auf auf welche Seiten zugreift. Der Datenschutz sollte beachtet werden, die IP-Adresse und der Hostname sind in Klartext sichtbar.

abc

Ein Blog bietet vielfältige Einsatzmöglichkeiten! – Foto: V. Hanacek / Picjumbo

Ein kurzes Fazit

Mit den aufgeführten Maßnahmen konnten alle aktuellen Angriffe gut abgewehrt werden und die Installation ist nicht gehacked worden. Mit Wordfence kann man durch die Aufzeichnung der der 404-Fehler sehr gut sehen, was alles versucht wird, um WordPress zu hacken.

Weiterhin wird versucht, auf die Seiten aus den vorherigen Hacks zuzugreifen.

Beispiele hierfür sind folgende URLs:

/wp-content/gallery/legoland/thumbs/general.php
/wp-content/plugins/alias28.php
/wp-content/plugins/wp-db-backup-made/system.php
/phpMyAdmin-xxxxx/locale/da/LC_MESSAGES/config22.php
/wp-admin/js/rtbwvcsxrnbsvcd.php
/wp-includes/js/swfupload/page98.php
/wp-content/languages/themes/dirs.php

Im Oktober 2015 ist knapp zehn Mal versucht worden sich über die Benutzer ins Backend einzuloggen. Hier hat hat die Passwort-Sperre gegriffen und den Benutzer automatisch „abgemeldet“, weil die Fehlversuche überschritten wurden.

Eine Besonderheit ist mir noch aufgefallen: Es gibt immer mal wieder einen Zugriff auf „/-/-/-/-/-/-/-/-/-/-/“. Hierzu konnte ich noch keine Informationen finden, was der Hintergrund oder das Ziel sein könnte.

Zum Autor

Oliver StormOliver Storm ist Enterprise Business Consultant bei der Profihost AG und macht das Internet zur Familiensache. Der Hamburger ist seit vielen Jahren im Bereich IT und E-Commerce unterwegs. Vor seiner Tätigkeit für Profihost war Oliver u.a. beim Shopanbieter OXID eSales AG und der Jankowfsky AG beschäftigt. Seit 1997 veröffentlicht er unter www.finkenwerder.de Wissenswertes und Neuigkeiten aus dem Hamburger Stadtteil.

 

Dieser Beitrag wurde unter Webhosting abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.