Über die Kunst, WordPress richtig abzusichern

Bloggen mit WordPress? Nicht ohne Schutz
Keine Kommentare

Das Thema Sicherheit ist nicht unbedingt das Lieblingsthema der meisten User und wird daher von vielen gerne ignoriert. Trotzdem führt leider kein Weg daran vorbei. Jeder Nutzer muss sich früher oder später damit beschäftigen. Denn das Thema ist einfach zu wichtig, als dass man es lange ignorieren könnte.

In meinen Augen sollte man im Bezug auf WordPress das Thema Sicherheit ein wenig so betrachten, wie die Kraftsportler es mit dem Aufwärmen halten: Nur die wenigsten mögen das Aufwärmen, obwohl es ziemlich wichtig ist. Stattdessen wollen alle sofort mit den Gewichten loslegen. Dabei kann sich das Vernachlässigen von Aufwärmen, Dehnen und Beweglichkeitsübungen vor dem Training unter Umständen schnell rächen: Das Verletzungsrisiko steigt und man muss im Fall der Fälle Wochen oder sogar Monate das eigentliche Training ausfallen lassen, um sich dem Auskurieren der Verletzung zu widmen.

So ähnlich wie in unserer Analogie ist es auch bei Bloggern und anderen Nutzern von WordPress: Die Sicherheit wird häufig ignoriert, und alle wollen sich direkt dem Design oder den Inhalten zuwenden. Dabei spielt die Sicherheit eine wichtige Rolle und sollte nie vernachlässigt werden. Jeder, der schon einmal eine gehackte Website auf Vordermann bringen musste, weiß wovon ich rede. Man verwendet Ressourcen, also Zeit und Geld, um die Seite wieder zu reparieren und zum Laufen zu bringen. Auf die eigentliche Arbeit kann man sich dann natürlich nicht mehr konzentrieren.

Es gibt allerdings noch eine weitere Analogie zwischen dem Aufwärmen beim Krafttraining einerseits und der Beschäftigung mit dem Thema Sicherheit in WordPress andererseits. Ein besserer Fokus auf das Training und zusätzliches Lernen über den eigenen Körper durch Aufwärmen entspricht einem bewussteren Herangehen an das WP-Projekt und dadurch einem besseren Verständnis über WordPress selbst. Sich mit Sicherheit zu beschäftigen, ist daher keine verschwendete Zeit – im Gegenteil.

Warum ist die Sicherheit so wichtig?

Bei WordPress gibt es mehr Faktoren als bei statischen Websites, es kommen hier nämlich noch PHP und MySQL hinzu. Das erweitert die Angriffsfläche, und zu den WP-eigenen Schwachstellen muss man auch auf die Schwachstellen von PHP und MySQL achten. Kurz gesagt: Eine dynamische Website bietet einfach mehr Angriffsfläche. WordPress ist mit Abstand das beliebteste CMS und beherrscht den Markt der Content-Management-Systeme mit knapp 60 Prozent. Nimmt man auch die statischen Websites hinzu, laufen momentan knapp 29 Prozent sämtlicher Websites weltweit mit Word-Press. Durch die hohe Verbreitung sowie die hohe Anzahl an Plug-ins und Themes ist WordPress ein lohnenswertes Ziel für potenzielle Angreifer.

In der Standardinstallation und ohne Plug-ins ist WordPress eine relativ sichere Sache. Mit wenigen einfachen Schritten können Sie die eingerichtete Installation zusätzlich absichern und es einem Angreifer noch schwerer machen in Ihr System einzudringen.

Individueller Benutzername und starkes Passwort

Die Sicherheitsmaßnahmen fangen bereits mit der Installation an. Gönnen Sie sich einen individuellen Benutzernamen und ein starkes Passwort (Abb. 1).

Abb. 1: Individuelle Benutzernamen sind in Verbindung mit dem automatisch generierten Passwort eine gute Wahl

Abb. 1: Individuelle Benutzernamen sind in Verbindung mit dem automatisch generierten
Passwort eine gute Wahl

Während des kurzen Installationsprozesses werden Sie unter anderem gebeten, auch einen Benutzernamen und das Passwort für den ersten Nutzer bzw. den Administrator zu bestimmen. Da Sie dieser Schritt keine zusätzliche Zeit oder Mühe kostet, entscheiden Sie sich bitte für einen individuellen Benutzernamen. Nehmen Sie bitte nicht admin, Administrator, Webmaster, Demo, Test oder etwas Ähnliches. Ein individueller Name muss keine exotische Buchstabenkombination sein. Ihr Vorname oder Spitzname ist schon ausreichend, um Sie von der Masse abzuheben und schützt Sie gut vor den plumpen Angriffen (Abb. 2) auf die gängigen Benutzernamen, da diese dann ins Leere laufen.

Abb. 2: Aufgezeichnete Angriffe auf den Benutzernamen „admin“ und „administrator“. IPs wurden geschwärzt

Abb. 2: Aufgezeichnete Angriffe auf den Benutzernamen „admin“ und „administrator“.
IPs wurden geschwärzt

Während der Installation generiert WordPress ein Passwort. Es ist zwar ein schwer zu merkendes, aber ein von der Installationsroutine als stark gekennzeichnetes Passwort. Ich würde Ihnen empfehlen, das Passwort zu verwenden und es in die Zwischenablage zu kopieren oder es in einen Passwortmanager zu überführen (Kasten: „Schwache Passwörter und ihre Folgen“).

Schwache Passwörter und ihre Folgen
Wozu ein schwaches Passwort führen kann, zeigt folgender Vorfall: Mitte 2016 wurde TechCrunch, ein sehr großes und bekanntes IT-Portal, gehackt. Dabei wurde keine Lücke in WordPress oder einem Plug-in zum Verhängnis, sondern das schwache Passwort des Redakteurs.

Log-in-Versuche begrenzen

Eine äußerst sinnvolle und auch schnell eingerichtete Sicherheitsmaßnahme ist die Einschränkung der Login- Versuche für einen festgelegten Zeitraum. Damit erschwert man die automatisierten Angriffe auf die Installation (Brute Force), mit denen der Angreifer versucht, die richtige Kombination aus dem Benutzernamen und Passwort zu erraten.

Es gibt mehrere Plug-ins, die Log-in-Versuche beschränken können. Ich persönlich empfehle hierfür momentan Limit Login Attempts Reloaded , da es sich einfach einrichten lässt und nicht nur den Log-in, sondern auch die XML-RPC-Schnittstelle beobachtet. Allerdings muss man anmerken, dass diese Maßnahme lediglich gegen weniger elegante Angriffe schützt, die z. B. immer wieder über die gleiche IP kommen. Hier kann das Plug-in ein Muster erkennen und gemäß den eingestellten Regeln reagieren. Erfolgen die Angriffe dagegen etwas eleganter, zum Beispiel indem sie zeitlich verteilt über mehrere IPs kommen, dann kann dieses Plug-in logischerweise wenig ausrichten.

Benutzerrechte mit Bedacht einsetzen

WordPress verfügt über eine Benutzerverwaltung, die in der Standardinstallation fünf Benutzergruppen kennt. Mein erster Ratschlag bezüglich der Benutzerverwaltung wäre, sparsam mit den Benutzerrechten
umzugehen. Nehmen wir einmal an, Sie betreiben einen Weblog, auf dem mehrere Autoren tätig sind. Dann wäre es ratsam, dass Sie den Autoren mit wenig Word-Press-Erfahrung lediglich die Rechte als Mitarbeiter einräumen. Den erfahrenen Autoren können Sie Autorenrechte geben, und nur diejenigen, die das Ganze koordinieren und leiten, sollten auch Rechte als Redakteur bekommen. Die Administrationsrechte sollte nur derjenige haben, der tatsächlich für die Pflege der WordPress-Installation verantwortlich ist.

ML Conference 2018

Making Enterprises Intelligent with Machine Learning

with Dr. Sebastian Wieczorek (SAP)

Machine Learning 101++ using Python

with Dr. Pieter Buteneers (Robovision)

Mein zweiter Rat ist, dass Sie sich selbst auch nicht immer als Administrator einloggen. Gönnen Sie sich den Luxus eines zweiten Accounts: einen mit Administratorrechten und den anderen mit Autor- oder maximal Redakteurrechten. Nutzen Sie den Administratoraccount nur für administrative Tätigkeiten, etwa um Plug-ins und WordPress selbst zu aktualisieren. Neue Beiträge verfassen Sie am besten in einem Account mit weniger Rechten. Es ist schließlich ein deutlicher Unterschied, ob der Angreifer es dann irgendwann schafft, einen Account mit Autorenrechten zu knacken, oder ob er gleich im Besitz der Administratorrechte ist.

Aktualisieren und auf dem Laufenden bleiben

Der vierte Tipp in Bezug auf die Sicherheit ist eigentlich eine Selbstverständlichkeit, wird aber dennoch von vielen Nutzern sträflich vernachlässigt, wie ich aus meiner Erfahrung als WordPress-Dienstleister weiß. Hauptgründe für diese Vernachlässigung sind zum einen Unwissenheit und zum anderen Zeitmangel. Man sollte das Geschehen rund um WordPress beobachten, um schnell reagieren zu können, etwa um Sicherheitsupdates für WordPress und die Plug-ins einzuspielen oder unsichere Erweiterungen zumindest temporär zu deaktivieren.

Die Sicherheitsupdates für die Installation, also für die Plug-ins und für die Themes, sollten Sie zügig einspielen. Nehmen Sie diesen Punkt nicht auf die leichte Schulter. Sie wollen bestimmt nicht, dass jemand gekaufte Backlinks in Ihren Blogartikeln setzt oder auf Ihrer Website Werbung anzeigt, wenn Besucher über die Google-Suche auf Ihre Website gelangen. Das und einiges mehr begegnete mir auf WordPress-Installationen, die nicht mehr gepflegte Themes und Plug-ins im Einsatz hatten und die ich dann im Auftrag der Betreiber bereinigen musste. Darüber hinaus sollten Sie auch wichtige Anbieter von Neuigkeiten zu sicherheitsrelevanten Themen im Auge behalten. Neben dem offiziellen Blog von Word-Press sollten Sie meiner Meinung nach zumindest noch Website Security News , WPScan Vulnerability Database und heise Security folgen.

Sperren der XML-RPC-Schnittstelle

Die XML-RPC-Schnittstelle wird für zwei Bereiche benötigt: einmal für das Pingback-System innerhalb von WordPress und dann noch, wenn Sie auf WordPress mit externen Anwendungen zugreifen wollen, z. B. mit externen Editoren. Greifen Sie nicht mit externen Anwendungen zu und sind Ihnen die Pingbacks nicht wichtig, dann können Sie die XML-RPC-Schnittstelle blockieren, die standardmäßig aktiv ist. Das geht unter anderem durch das Eintragen des folgenden Codes in die .htaccess-Datei:

 
<files xmlrpc.php>
Order deny,allow
deny from all
</files>

Mithilfe dieser Anweisung werden die externen Zugriffe auf die Schnittstelle bzw. die Datei xmlrpc.php blockiert. Das Problem an dieser Schnittstelle ist nämlich, dass man gleichzeitig mehrere Hundert Passwortabfragen an sie abschicken kann, was Brute-Force-Attacken Tür und Tor öffnet.

Fazit

Die von mir im Rahmen des Artikels vorgestellten Maßnahmen sind nicht die einzigen, die man anwenden kann. Sie sind aber vor allem schnell und leicht umzusetzen, auch von Nutzern mit weniger Erfahrung. Und sie entfalten eindeutig eine Wirkung. Darüber hinaus sollten Sie das Thema Sicherheit ganzheitlich angehen. Dazu sollte man die Sicherheitsmaßnahmen nicht einzeln, sondern als ein Gesamtpaket betrachten, bei dem sich die einzelnen Maßnahmen ergänzen und nicht in die Quere kommen. Zum Thema Sicherheit gehören auch Maßnahmen gegen Spam auf Ihrer Installation und Back-ups, also muss ein Sicherungskonzept her. Sollten irgendwann einmal Ihre Sicherheitsmaßnahmen nicht ausreichen, dann können Sie mithilfe eines sauberen Back-ups in kurzer Zeit wieder mit der Arbeit loslegen.

Entwickler Magazin

Entwickler Magazin abonnierenDieser Artikel ist im Entwickler Magazin erschienen.

Natürlich können Sie das Entwickler Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -