WordPress Ratgeber
WordPress Sicherheit
Inhaltsverzeichnis des Beitrags
WORDPRESS SICHERHEIT
Warum man seine WP Installation absichern sollte!
Hackerangriffe auf Webseiten sind etwas ganz normales. Bei den meisten Angriffen handelt es sich dabei um automatisierte Angriffe. Zielgerichtet Angriffe lohnen sich für Hacker nur wenn die Webseite viele tausend Besucher pro Tag hat und z. B. ein Shop integriert ist wo Zahlungsdaten der Käufer abgegriffen werden können.
Der Großteil der Webseiten ist automatisierten Angriffen ausgesetzt. Diese Art von Angriffen prüft WordPress Webseiten auf bekannte Sicherheitslücken oder auf schwache Passwörter.
Solchen Angriffen kann man aus dem Weg gehen indem man keine WP Standardinstallation hat und ein paar Vorkehrungen trifft.
Basischutz
Die Basics der Webseiten-Sicherheit
Wie oben bereits erwähnt sind automatisierte Angriffe auf leichte Beute aus. Sie testen z. B. tausende Passwörter am Adminbereich oder nutzen bekannte Sicherheitslücken von Plug-ins und Themes aus. Durch folgende Maßnahmen geht man einem Großteil solcher Angriffe aus dem Weg.
- Nennen Sie den Adminuser nicht „Admin“.
- Ändern Sie bei der Installation den Datenbank Präfix.
- Verlegen Sie den Adminbereich.
- Nutzen Sie starke Passwörter.
- Installieren Sie einen Bruteforce Schutz.
- Halten Sie Ihren Webspace, WordPress, Plug-ins & Themes immer aktuell.
- Achten Sie beim Installieren von Plug-ins und Themes darauf wann diese das letzte mal aktualisiert wurden und ob sie mit Ihrer WP Version kompatibel sind.
- Achten Sie beim Installieren von Plug-ins und Themes darauf das diese von sicheren Quellen stammen.
WordPress Adminuser
WordPress Admin nachträglich anpassen
Hat man dem WordPress Admin einen Benutzernamen vergeben wie „Admin“ oder einen anderen leicht zu erratenen Namen ( Webmaster, Administrator, Admin1, … ), lässt sich dieser nicht mehr ohne weiteres anpassen.
Die Lösung ist einen neuen Admin anzulegen, mit einem sicheren Benutzernamen und Passwort. Ein sicherer Benutzername sollte nicht nur ein Name sein, sondern auch eine Zeichenfolge beinhalten wie hier in diesem Beispiel: christian_76thnbtinoi
Das Passwort sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen und min. 10 Zeichen lang sein: dU2CfVpp)GgT?!ln!cM
Nachdem man also den neuen Admin angelegt hat, loggt man sich mit diesen Zugangsdaten in seine WordPress Webseite ein, löscht den alten Admin und bestätigt das die Inhalte die dem alten Admin gehörten, an den neuen Admin übertragen werden.
Datenbank absichern
Den WordPress Datenbank Prefix ändern
Vor dem Anpassen der Datenbank sollte ein Backup angelegt werden.
Installiert man WordPress frisch wird Standardmäßig der Datenbank Präfix wp_ verwendet. Hat ein Plug-in eine Sicherheitslücke die durch eine SQL Injection ausgenutzt werden kann, ist es dem Angreifer möglich Daten aus der SQL Datenbank zu ziehen. Dazu muss der Angreifer den Namen der Tabelle kennen. Die Tabelle die z. B. die Benutzernamen enthält lautet standardmäßig wp_users. Ändert man bei der Installation oder nachträglich den Präfix, könnte die Tabelle z. B. so lauten: 67tbguzth_users. Das macht es einem Angreifer sehr viel schwerer Daten aus der Datenbank zu ziehen weil seine Abfrage mit dem Standard Präfix ins leere laufen würde. Er müsste also zuerst mal den richtigen Tabellen Namen herausfinden.
Um den Datenbank Präfix zu ändern loggt man sich über sein Hosting Panel ein und öffnet den PHPMyAdmin. Hier wählt man die entsprechenden Tabellen aus und bearbeitet diese. Zum Ändern des Präfixes gibt es die Funktion „Tabellenprefix ersetzen“.
Klick man darauf gibt man den alten sowie den neuen Präfix an und ändert diesen.
Nachdem der Präfix geändert wurde muss nun noch die wp-config.php der WP Installation angepasst werden.
Hier muss man den neuen Präfix eintragen damit WordPress sich wieder korrekt mit der Datenbank verbinden kann. Die WP Config kann man entweder über einen Dateimanager anpassen sofern der Hoster einen solchen zur Verfügung stellt oder per FTP.
WordPress Brutefoce
Bruteforce Angriffe abwehren
Mit Hilfe von Bruteforce Angriffen versuchen Hacker an die Zugangsdaten des WordPress Admins zu kommen. Bei der Standard Installation von WordPress könnte ein Angreifer unendliche viele Login Kombinationen ausprobieren. Dies lässt sich aber z. B. mit dem Plug-in WP Cerber Security, Anti-spam & Malware Scan – WordPress plugin | WordPress.org unterbinden. Das Plug-in sorgt dafür das ein Benutzer nur eine bestimmte Anzahl von Loginversuchen hat die man selbst definieren kann. So kann man z. B. festlegen das nach 5 maliger Eingabe eines falschen Passworts die IP Adresse des Angreifers gesperrt wird. Zudem bietet schützt das Plug-in auch die XMLRPC Schnittstelle vor Bruetforce Angriffen.
WP-Admin
Den WordPress Admin Bereich verstecken
Der Standardmäßige Login bei WordPress läuft über die wp-login.php oder den Pfad /wp-admin/. Diese Loginmöglichkeit lässt sich aber „verstecken“. Mit dem Plug-in WP Cerber Security, Anti-spam & Malware Scan – WordPress plugin | WordPress.org hat man die Möglichkeit einen selbst gewählten Pfad für den Login anzugeben. Aus /wp-admin/ wird dann z. B. /chris-56746/ um den Adminbereich aufzurufen. Zudem lässt sich in WP Cerber festlegen das die IP Adresse eines potenziellen Angreifers der versucht die wp-login.php aufzurufen sofort deaktiviert wird.
Man sollte aber daran denken, das wenn die entsprechenden Einstellungen vorgenommen wurden, man sich nur noch über den selbst gewählten Pfad einloggt da man sich sonst für 1 Stunde aussperrt.
2-Factor
WordPress 2-Faktor Authentifizierung
Eine 2-Faktor Authentifizierung legt die Sicherheits-Latte nochmal ein bisschen höher. Denn selbst wenn ein Angreifer an das Admin Passwort gekommen ist kann er sich nur einloggen wenn er auch den Code aus der E-Mail, SMS oder Authenticator App besitzt. Zudem verfällt der Code nach idealerweise 30 Sekunden wieder, womit ein Bruteforce Angriff auch nicht möglich ist.
Mit dem Plug-in Two Factor Authentication – WordPress plugin | WordPress.org von Updraftplus, die auch eines der besten Backup Plug-ins entwickeln, lässt sich das leicht in WP integrieren.
Fazit
Security through obscurity
Die oben genannten Aktionen sind zusätzliche Sicherheitslayer die man einsetzen kann um es Angreifern so schwer wie möglich zu machen. In der Sicherheitsszene hält man nicht viel von „Security through obscurity“, also Sicherheit durch verstecken oder verschleiern.
Man sollte auch nicht den Admin Bereich verstecken um sich die „lästigen“ Updates sparen zu können. Damit eine Webseite wirklich sicher ist sollte diese immer aktuell gehalten werden. Das gilt nicht nur für anstehnde Updates von WordPress, Plug-ins und Thems, sondern auch für die PHP Version oder die Passwörter zum Hosting Panel.
Nur wer sich die Basics zu Herzen nimmt und sich dauerhaft um alle Aktualisierungen kümmert minimiert das Risiko gehackt zu werden.
