Zum Absichern von WordPress ist schon vieeeel geschrieben worden, deshalb hier die einfachsten und wirksamsten Sicherheitsma\u00dfnahmen f\u00fcr WordPress:<\/p>\n
Laut meinen Eintr\u00e4gen in den Server-Logfiles die ich betreue, gehen die meisten Angriffe mit Versuchen die wp-login.php zuzugreifen. \u00a0Deshalb die folgenden Sicherheitsma\u00dfnahmen unbedingt befolgen:<\/p>\n
Zu einem sicheren Login geh\u00f6rt normalerweise nicht nur das Kennwort, sondern auch der Benutzername. Allerdings ist es unter WordPress recht einfach an den Benutzernamen zu kommen, wenn Permalinks eingeschaltet sind (und wer sch\u00e4lt die nicht ein?) Wer mehr Infos zu diesem Thema wissen will: Google nach „WordPress User Enumeration“.<\/p>\n
Dieses Verhalten von WordPress macht es nat\u00fcrlich noch wichtiger ein schweres Passwort, mit mindestens 12-20 Zeichen, inklusive Ziffern, Sonderzeichen und Gro\u00df-\/Kleinschreibung. Dies erschwert ungemein ein Eindringen per Brute-Force-Attacken und W\u00f6rterbuch-Angriffen.<\/p>\n
Ein kleines Beispiel: Nehmen wir einen Brute-Force Angriff mit 10.000 Passw\u00f6rtern\/Sekunde an. F\u00fcr ein Passwort mit 5 Zeichen L\u00e4nge das nur aus Kleinbuchstaben besteht, br\u00e4uchte der Angreifer maximal 20 Minuten, bei Klein-\/Gro\u00dfbuchstaben 11 Stunden, mit Sonderzeichen maximal 10 Tage. \u00a0Bei einem Passwort mit 15 Zeichen L\u00e4nge (Gro\u00df-\/Kleinschreibung, Sonderzeichen) maximal\u00a01.742.818.865.293.560.000 Jahre!\u00a0<\/span><\/strong>Ob Ihre WordPress-Seite so lange besteht???<\/span><\/p>\n Tipp: Benutzt Passwort-Manager, wie LastPass<\/a>! Absolut empfehlenswert, damit k\u00f6nnen lange und sichere Passw\u00f6rter erstellt werden, ohne dass man sie sich merken muss!<\/p><\/blockquote>\n Das oben angemerkte Problem mit der „WordPress User Enumeration“, kann man mit dem folgenden Trick entsch\u00e4rfen.<\/p>\n Dies funktioniert aber nur bei WordPress-Installationen bei denen keine „Fremden“ Benutzer sich als WordPress Benutzer anmelden m\u00fcssen um zum Beispiel einen Beitrag zu kommentieren.<\/p><\/blockquote>\n Hierzu kann man in die .htaccess Datei (bei Apache-Webservern) folgenden Code einf\u00fcgen<\/p>\n #ErrorDocument 401 default Dieser Code muss nat\u00fcrlich angepasst werden. „\/yourDirTo“ muss mit dem Pfad ersetzt werden, der die Password-Datei „.htpasswd“ enth\u00e4lt. Wer Hilfe zum Erstellen des Passwortschutzes per .htaccess braucht, ist gut mit https:\/\/wiki.selfhtml.org\/wiki\/Webserver\/htaccess\/Passwortschutz<\/a> beraten.<\/p>\n Wenn nach der Einrichtung des Passwortschutzes 404er-Fehler oder „Too many redirects“ auftreten, m\u00fcssen Sie ggfs. die erste Linie auskommentieren (siehe auch diesen Beitrag<\/a>).<\/p>\n Mit dieser Zusatzabsicherung ist es eigentlich egal ob der Eindringling den Benutzernamen kennt oder nicht, da er gar nicht auf die Login-Seite kommt.<\/p>\n Eine einfaches \u00c4ndern des Tabellenprefixes von „wp_“ auf einen komplizierteren (z.B: 23x2ad_wp_) reduziert massiv die M\u00f6glichkeiten durch SQL-Injections Zugriff auf Standard SQL Tabellen zu bekommen!<\/p>\n Viele Angreifer benutzen Fehler oder Schwachstellen in WordPress oder installierten Plugins um auf sensible Dateien (z.B. wp-config.php) Zugriff zu erlangen. Dem kann man etwas vorbeugen, wenn man seine WordPress Installation immer auf dem neuesten Stand h\u00e4lt. WordPress macht es hier einem sogar leicht, indem es die aktuellsten Versionen stehts zum Installieren auffordert.<\/p>\n Installiere nur Plugins die auch ben\u00f6tigt werden.<\/p><\/blockquote>\n Es gibt viele tolle Plugins (auch f\u00fcr bessere Sicherheit), aber jede Zeile extra Programmiercode \u00f6ffnet auch die T\u00fcren f\u00fcr eventuelle Fehler und Schwachstellen. Speziell Themes mit denen man alles machen, liefern viele Plugins mit einer Entwickler Lizenz mit, die man legal benutzen kann aber keine kostenlose Updates bekommt. Deshalb mein Tipp: Kurz bevor die Website online gestellt wird, alle Plugins \u00fcberpr\u00fcfen: Brauch ich dieses Plugin wirklich. Weniger ist oft mehr!<\/p>\n Eines der wichtigsten Sicherheitsma\u00dfnahmen sind ohne Zweifel Backups. Backups helfen einem im Worst-Case-Fall die Webseite auf den Stand zu bringen, der vor dem Schadensfall online war. Oft merkt man gewisse Angriffe und Eindringlinge erst nach mehreren Tagen und dann ist es wichtig das richtige Backup rausholen zu k\u00f6nnen.<\/p>\n Es empfiehlt sich folgende Backupstrategie: T\u00e4glich eine Inkrementelle Sicherung und w\u00f6chentlich ein Vollbackup f\u00fcr ein Jahr. So kann stehts auf seine Daten zugreifen!<\/p><\/blockquote>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Zum Absichern von WordPress ist schon vieeeel geschrieben worden, deshalb hier die einfachsten und wirksamsten Sicherheitsma\u00dfnahmen f\u00fcr WordPress: Laut meinen Eintr\u00e4gen in den Server-Logfiles die ich betreue, gehen die meisten Angriffe mit Versuchen die wp-login.php zuzugreifen. \u00a0Deshalb die folgenden Sicherheitsma\u00dfnahmen unbedingt befolgen: Sicheres Kennwort Zu einem sicheren Login geh\u00f6rt normalerweise nicht nur das Kennwort, sondern […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"off","_et_pb_old_content":" Zum Absichern von WordPress ist schon vieeeel geschrieben worden, deshalb hier die einfachsten und wirksamsten Sicherheitsma\u00dfnahmen f\u00fcr WordPress:<\/p> Laut meinen Eintr\u00e4gen in den Server-Logfiles die ich betreue, gehen die meisten Angriffe mit Versuchen die wp-login.php zuzugreifen. \u00a0Deshalb die folgenden Sicherheitsma\u00dfnahmen unbedingt befolgen:<\/p> Zu einem sicheren Login geh\u00f6rt normalerweise nicht nur das Kennwort, sondern auch der Benutzername. Allerdings ist es unter WordPress recht einfach an den Benutzernamen zu kommen, wenn Permalinks eingeschaltet sind (und wer sch\u00e4lt die nicht ein?) Wer mehr Infos zu diesem Thema wissen will: Google nach \"WordPress User Enumeration\".<\/p> Dieses Verhalten von WordPress macht es nat\u00fcrlich noch wichtiger ein schweres Passwort, mit mindestens 12-20 Zeichen, inklusive Ziffern, Sonderzeichen und Gro\u00df-\/Kleinschreibung. Dies erschwert ungemein ein Eindringen per Brute-Force-Attacken und W\u00f6rterbuch-Angriffen.<\/p> Ein kleines Beispiel: Nehmen wir einen Brute-Force Angriff mit 10.000 Passw\u00f6rtern\/Sekunde an. F\u00fcr ein Passwort mit 5 Zeichen L\u00e4nge das nur aus Kleinbuchstaben besteht, br\u00e4uchte der Angreifer maximal 20 Minuten, bei Klein-\/Gro\u00dfbuchstaben 11 Stunden, mit Sonderzeichen maximal 10 Tage. \u00a0Bei einem Passwort mit 15 Zeichen L\u00e4nge (Gro\u00df-\/Kleinschreibung, Sonderzeichen) maximal\u00a01.742.818.865.293.560.000 Jahre!\u00a0<\/span><\/strong>Ob Ihre Wordpress-Seite so lange besteht???<\/span><\/p> Tipp: Benutzt Passwort-Manager, wie LastPass<\/a>! Absolut empfehlenswert, damit k\u00f6nnen lange und sichere Passw\u00f6rter erstellt werden, ohne dass man sie sich merken muss!<\/p><\/blockquote> Das oben angemerkte Problem mit der \"WordPress User Enumeration\", kann man mit dem folgenden Trick entsch\u00e4rfen.<\/p> Dies funktioniert aber nur bei WordPress-Installationen bei denen keine \"Fremden\" Benutzer sich als WordPress Benutzer anmelden m\u00fcssen um zum Beispiel einen Beitrag zu kommentieren.<\/p><\/blockquote> Hierzu kann man in die .htaccess Datei (bei Apache-Webservern) folgenden Code einf\u00fcgen<\/p> #ErrorDocument 401 default Zugriffsschutz auf Login-Datei wp-login.php<\/h4>\n
\n<Files wp-login.php>
\nAuthType Basic
\nAuthName „Restricted Area“
\nAuthUserFile \/yourDirTo\/.htpasswd
\nRequire valid-user
\n<\/Files><\/p>\n\u00c4ndern des Tabellenprefix<\/h4>\n
WordPress und Plugins regelm\u00e4\u00dfig auf Updates pr\u00fcfen<\/h4>\n
Nur die n\u00f6tigsten Plugins<\/h4>\n
Backup<\/h4>\n
Sicheres Kennwort<\/h4>
Zugriffsschutz auf Login-Datei wp-login.php<\/h4>
AuthType Basic
AuthName \"Restricted Area\"
AuthUserFile \/yourDirTo\/.htpasswd
Require valid-user
<\/Files>
Dieser Code muss nat\u00fcrlich angepasst werden. \"\/yourDirTo\" muss mit dem Pfad ersetzt werden, der die Password-Datei \".htpasswd\" enth\u00e4lt. Wer Hilfe zum Erstellen des Passwortschutzes per .htaccess braucht, ist gut mit https:\/\/wiki.selfhtml.org\/wiki\/Webserver\/htaccess\/Passwortschutz<\/a> beraten.<\/p>