WordPress Sicherheit: Ma├čnahmen zum Schutz des Systems

Die Statistiken zeigen es deutlich: WordPress besetzt Platz 1 im Ranking der 10 meist verwendeten Content-Management-Systeme (CMS) weltweit nach Marktanteil (April 2017, Quelle: Statista). Solch ein verbreiteter Einsatz macht Sicherheitsl├╝cken umso mehr kritischer – und lukrativer f├╝r Hacker. Kein System kann zu 100% gesch├╝tzt werden. Das sollte aber niemanden dazu veranlassen, keine Ma├čnahmen im Vorhinein zu treffen, um die eigene WordPress Sicherheit im System zu erh├Âhen.

Grundlegende Prinzipien: WordPress sichern durch Verhaltensregeln

Bevor man sich ausf├╝hrlich ├╝ber bekannte Angriffsmechanismen wie Cross-Site Scripting (XSS), Path Traversal, Brute-Force-Attacken o.├Ą. informiert, sollte man zun├Ąchst einige grundlegende Dinge bedenken:

WordPress Updates regelm├Ą├čig durchf├╝hren

Ein Check durch WPScan einer zuf├Ąlligen WordPress-basierenden Website zeigt es auf: Die Verwendung von veralteten WordPress Plugin Versionen sowie eine alte WordPress Version per se macht die eigene Website zu einem leichteren Angriffsziel.

Das Programm zeigt die Vulnerability (Verletzlichkeit) der Software-Version auf und gibt die passende Update-Version zur Behebung des Problems an. Aktualisiert man seine Plugins regelm├Ą├čig, hat man diese Probleme nicht.

Wordpress Plugins updaten
Wordpress Version updatenDie WordPress Version sollte regelm├Ą├čig und zeitnahe aktualisiert werden.

Plugin-Bewusstsein: Plugins als Sicherheitsrisiko

Nicht hinter jedem Plugin steht ein Entwicklerteam, die regelm├Ą├čig die Integrit├Ąt des Plugins gew├Ąhrleisten wollen sowie fr├╝hzeitig Updates liefern, um Sicherheitsl├╝cken zu schlie├čen. Bei der Wahl der eigenen Plugins sollte man daher stets die Update-Historie ├╝berpr├╝fen und nur sichere Download-Quellen wie das offizielle WordPress Plugin Verzeichnis verwenden.

Passwortwahl: Bitte nicht 123456

(via GIPHY) Man ist immer erschrocken, wie leichtfertig Personen ihre Passw├Ârter w├Ąhlen. Heutzutage sind Brute-Force-Attacken vom eigenen Computer realisierbar. Mit WPScan l├Ąsst sich eine Brute-Force-Attacke ├╝ber drei Konsolenbefehle ausf├╝hren. Passende Passwort-Listen in zweistelliger MB-Gr├Â├če gibt es z.B. bei Weakpass.

Angriffsfl├Ąchen bei WordPress – Kommentare und Meta-Informationen

F├╝r WordPress Versionen 4.2 und ├Ąlter besteht die Gefahr des Cross-Site-Scripting im Kommentar-Bereich. Das ist aber nur eine von vielen Sicherheitsl├╝cken, die in zeitnahen Abst├Ąnden durch Updates korrigiert werden. ┬áVor zwei Jahren hat WordPress dringend ein Update seinen Nutzern empfohlen (auf Version 4.2.1). Generell ist der Kommentar-Bereich ein gern gesehenes Werkzeug, um schadhafte Links hinter Nutzernamen zu legen. Auf Unterseiten bspw. lohnt es sich, die Funktion einfach zu deaktivieren.

Weiterhin: Das Offenlegen von Meta-Informationen, genauer: der Benutzernamen des Autors. Mit dem Benutzername kann der Angreifer nun Passw├Ârter durchtesten. Eine Alternative (fiktiv, Spitzname, ein Alias) kann eingestellt werden. admin und Abwandlungen sind nicht empfehlenswert. In der unteren Abbildung hat man eine WordPress-Installation durchgef├╝hrt, die der Nutzer durch Navigation nicht erreichen kann, aber durch eine site:Abfrage gefunden werden kann. Der Blog wurde nicht gepflegt, das Post Beispiel wurde nicht entfernt und in der Meta findet man den Benutzername des Autors, den man nun f├╝r Login Attacken verwenden kann.

Sicherheitsma├čnahmen f├╝r WordPress – Plugins, Serverkonfiguration, …

Sortiert nach dem gesch├Ątzten technischem Aufwand sind hier erste Sicherheitsma├čnahmen f├╝r euch aufgelistet.

 

    • Whitepaper von Kaspersky lesen

 

Das Whitepaper von Kaspersky zum Thema WordPress Sicherheit sollte zum Einstieg f├╝r jeden interessant sein.

 

Zun├Ąchst einmal gibt es eine Reihe an WordPress Sicherheitsplugins oder umfassendere Plugins mit zus├Ątzlichen Sicherheitsfunktionen. Zur oberen Kategorie geh├Âren z.B. Wordfence Security, iThemes Security und All In One WP Security, die ihre User bei der Absicherung ihres Systems unterst├╝tzen. All in One und Wordfence gl├Ąnzen vor allem durch ihre stetige Aktualisierung.
Zur zweiten Kategorie l├Ąsst sich beispielsweise Jetpack z├Ąhlen. Jetpack bietet eine gro├če Palette an Werkzeugen an, um die Funktionalit├Ąt und Nutzbarkeit der Seite zu erh├Âhen (Infinite Scroll, Statistiken, Mobile Theme). In der kostenlosen Version gibt es eine Brute Force Attack Protektion, Down- und Uptime Monitoring sowie einen gesicherten Login und Zwei-Faktor-Authentifizierung. Die bezahlte Version bietet zus├Ątzlich das Scannen von Malware und Code, Threat Resolution, Website Backups, Wiederherstellung und Migrationen.

Sehr zu empfehlen: Limit Login Attempts. Sichert die Seite einfach vor Brute Force Attacken.

Viele setzen bei der Bek├Ąmpfung von Spam auf die Antispam Bee, falls ihr Probleme beim Managen von Kommentaren habt.

 

    • HTTPS statt HTTP einrichten

 

Die Umstellung erfolgt an sich sehr unkompliziert. Mit Let’s Encrypt kommt man schnell an ein zeitlich begrenzt nutzbares Zertifikat, das zur Umstellung auf HTTPs verwendet werden kann. Auch hier gibt es individuell f├╝r jeden Hosting-Anbieter eine Anleitung.

 

    • .htaccess konfigurieren

 

Es gibt die M├Âglichkeit, seine Login-Seite durch die Konfiguration der .htaccess durch ein zus├Ątzliche Eingabemaske zu sch├╝tzen. HostEurope hat den Verzeichnisschutz bereits f├╝r alle Kunden, die sich f├╝r das WordPress Hosting entschieden haben, fest integriert. Dort muss bei der Startkonfiguration ein Nutzername und ein entsprechendes Passwort gesetzt werden. Ansonsten tummeln sich dutzende Anleitungen im Internet rum, wie man den Verzeichnisschutz bei seinem Hosting-Anbieter aktivieren kann.

WordPress Sicherheit auf den Zahl f├╝hlen mit WPSCan

Mit WPScan kann man sich n├╝tzliche Sicherheitshinweise durch eine entsprechende Site Analyse anzeigen lassen. Die entsprechenden Anleitungen kann man sich hier bei GitHub ansehen. Nach Start der Analyse ├╝ber┬áruby wpscan.rb –url www.example.com┬ágibt es auf der Konsole einen ├ťberblick ├╝ber die Sicherheitsprobleme der Seite. Interessant dabei: WPScan empfiehlt das L├Âschen der ReadMe-Datei (je nach Sprachversion liesmich.html oder readme.html), die Aufschluss ├╝ber die WordPress Version gibt. L├Âschen!

Marvin J├Ârs

Gr├╝nder von onlinemarketingscience.com, Student der Wirtschaftsinformatik, Werkstudent bei der [get:traction] GmbH (Berlin und Frankfurt) und gesch├Ąftsf├╝hrender Gesellschafter der Skyscraper Marketing UG in Frankfurt.

Ich interessiere mich vor allem f├╝r Themen wie Big Data, Data Science, neuronale Netze, Business Process Optimization im Online-Gesch├Ąft und nat├╝rlich SEO (Suchmaschinenoptimierung).

Entschuldigung, Kommentare zu diesem Artikel sind nicht m├Âglich.

Wem geh├Ârt dieser Blog?


Marvin J├Ârs

Urspr├╝nglich als Fundgrube f├╝r scientific approaches im Online Marketing gedacht, stellt der Online Marketing Science Blog meinen pers├Ânlichen Online Marketing Blog dar. Mit mir ist der Wirtschaftsinformatik-Student Marvin J├Ârs aus dem Raum Frankfurt gemeint, der seit der ersten selbstprogrammierten Website marvonomics.de vor sechs Jahren begeistert im digitalen Hexenkessel rumturnt. Vom ersten Schulpraktikum bei der deutschen Telekom bis zur ersten eigenen Online Marketing Agentur in Frankfurt besch├Ąftige ich mich mittlerweile seit f├╝nf Jahren intensiv mit diesem Themengebiet.
marvinjoers