Zum Absichern von WordPress ist schon vieeeel geschrieben worden, deshalb hier die einfachsten und wirksamsten Sicherheitsmaßnahmen für WordPress:
Laut meinen Einträgen in den Server-Logfiles die ich betreue, gehen die meisten Angriffe mit Versuchen die wp-login.php zuzugreifen. Deshalb die folgenden Sicherheitsmaßnahmen unbedingt befolgen:
Sicheres Kennwort
Zu einem sicheren Login gehört normalerweise nicht nur das Kennwort, sondern auch der Benutzername. Allerdings ist es unter WordPress recht einfach an den Benutzernamen zu kommen, wenn Permalinks eingeschaltet sind (und wer schält die nicht ein?) Wer mehr Infos zu diesem Thema wissen will: Google nach „WordPress User Enumeration“.
Dieses Verhalten von WordPress macht es natürlich noch wichtiger ein schweres Passwort, mit mindestens 12-20 Zeichen, inklusive Ziffern, Sonderzeichen und Groß-/Kleinschreibung. Dies erschwert ungemein ein Eindringen per Brute-Force-Attacken und Wörterbuch-Angriffen.
Ein kleines Beispiel: Nehmen wir einen Brute-Force Angriff mit 10.000 Passwörtern/Sekunde an. Für ein Passwort mit 5 Zeichen Länge das nur aus Kleinbuchstaben besteht, bräuchte der Angreifer maximal 20 Minuten, bei Klein-/Großbuchstaben 11 Stunden, mit Sonderzeichen maximal 10 Tage. Bei einem Passwort mit 15 Zeichen Länge (Groß-/Kleinschreibung, Sonderzeichen) maximal 1.742.818.865.293.560.000 Jahre! Ob Ihre WordPress-Seite so lange besteht???
Tipp: Benutzt Passwort-Manager, wie LastPass! Absolut empfehlenswert, damit können lange und sichere Passwörter erstellt werden, ohne dass man sie sich merken muss!
Zugriffsschutz auf Login-Datei wp-login.php
Das oben angemerkte Problem mit der „WordPress User Enumeration“, kann man mit dem folgenden Trick entschärfen.
Dies funktioniert aber nur bei WordPress-Installationen bei denen keine „Fremden“ Benutzer sich als WordPress Benutzer anmelden müssen um zum Beispiel einen Beitrag zu kommentieren.
Hierzu kann man in die .htaccess Datei (bei Apache-Webservern) folgenden Code einfügen
#ErrorDocument 401 default
<Files wp-login.php>
AuthType Basic
AuthName „Restricted Area“
AuthUserFile /yourDirTo/.htpasswd
Require valid-user
</Files>
Dieser Code muss natürlich angepasst werden. „/yourDirTo“ muss mit dem Pfad ersetzt werden, der die Password-Datei „.htpasswd“ enthält. Wer Hilfe zum Erstellen des Passwortschutzes per .htaccess braucht, ist gut mit https://wiki.selfhtml.org/wiki/Webserver/htaccess/Passwortschutz beraten.
Wenn nach der Einrichtung des Passwortschutzes 404er-Fehler oder „Too many redirects“ auftreten, müssen Sie ggfs. die erste Linie auskommentieren (siehe auch diesen Beitrag).
Mit dieser Zusatzabsicherung ist es eigentlich egal ob der Eindringling den Benutzernamen kennt oder nicht, da er gar nicht auf die Login-Seite kommt.
Ändern des Tabellenprefix
Eine einfaches Ändern des Tabellenprefixes von „wp_“ auf einen komplizierteren (z.B: 23x2ad_wp_) reduziert massiv die Möglichkeiten durch SQL-Injections Zugriff auf Standard SQL Tabellen zu bekommen!
WordPress und Plugins regelmäßig auf Updates prüfen
Viele Angreifer benutzen Fehler oder Schwachstellen in WordPress oder installierten Plugins um auf sensible Dateien (z.B. wp-config.php) Zugriff zu erlangen. Dem kann man etwas vorbeugen, wenn man seine WordPress Installation immer auf dem neuesten Stand hält. WordPress macht es hier einem sogar leicht, indem es die aktuellsten Versionen stehts zum Installieren auffordert.
Nur die nötigsten Plugins
Installiere nur Plugins die auch benötigt werden.
Es gibt viele tolle Plugins (auch für bessere Sicherheit), aber jede Zeile extra Programmiercode öffnet auch die Türen für eventuelle Fehler und Schwachstellen. Speziell Themes mit denen man alles machen, liefern viele Plugins mit einer Entwickler Lizenz mit, die man legal benutzen kann aber keine kostenlose Updates bekommt. Deshalb mein Tipp: Kurz bevor die Website online gestellt wird, alle Plugins überprüfen: Brauch ich dieses Plugin wirklich. Weniger ist oft mehr!
Backup
Eines der wichtigsten Sicherheitsmaßnahmen sind ohne Zweifel Backups. Backups helfen einem im Worst-Case-Fall die Webseite auf den Stand zu bringen, der vor dem Schadensfall online war. Oft merkt man gewisse Angriffe und Eindringlinge erst nach mehreren Tagen und dann ist es wichtig das richtige Backup rausholen zu können.
Es empfiehlt sich folgende Backupstrategie: Täglich eine Inkrementelle Sicherung und wöchentlich ein Vollbackup für ein Jahr. So kann stehts auf seine Daten zugreifen!
Neueste Kommentare