Wordpress Sicherheit erhöhen

Wordpress Sicherheit erhöhen

29.01.2016
Kim Schneider
  • Development
  • Das Blogsystem Wordpress hat in den vergangen Jahren immer mehr an Zuwachs gewonnen. Sowohl als Blog als auch als CMS kann man mit Wordpress mittlerweile komplexe und mächtige Websites erstellen. Doch die Beliebheit hat auch einen Nachteil: Wordpress wird immer häufiger das Ziel von Attacken aller Art. Dabei werden immer wieder neue Sicherheitslücken entdeckt und als Angriffsziel benutzt, um Zugriff auf das Dateisystem zu erhalten, sich als Admin einzuloggen oder dubiose Skripte auszuführen.

    Um die Sicherheit einer Wordpress-Installation zu erhöhen, gibt es eine Handvoll Möglichkeiten, die man nutzen kann. Doch auch das kann schnell mühsam und anstrengend werden, wenn man als Agentur für einen Großteil von Wordpress-Installationen verantwortlich ist.

    Wir möchten euch mit diesem Post zeigen, wie wir alle unsere Installationen im Blick haben und welche grundlegenden Sicherheitsmaßnahmen getroffen werden, um Angriffen vorbeugend entgegen zu wirken.

    Was kann denn eigentlich schief gehen?

    Wordpress hat tatsächlich viele Schwachstellen, aber mit den richtigen Einstellungen oder Anpassungen kann man da relativ schnell gegenwirken. Die häufigsten Probleme sind Plugins, Themes oder selbst der Wordpress Core, die nicht up to date gehalten werden. Angreifer haben so die Möglichkeit, bekannte Sicherheitslücken, die noch nicht durch Updates behoben wurden, direkt auszunutzen.

    Das kann dann folgendermaßen aussehen:
    Der Angreifer (das ist überspitzt gesagt; tatsächlich ist das nur ein Skript oder Bot, der das Web nach Wordpress-Installationen durchsucht und angreift) sucht sich eine Wordpress-Installation und versucht dann entweder eine Vielzahl von “Attacken” oder greift gezielt einen Punkt an, auf den er sich spezialisiert hat.
    Das kann dann auf unterschiedliche Art und Weise enden. Es kann eine Weiterleitung eingerichtet werden, sodass die Website auf eine dubiose andere Seite im Web weiterleitet. Es kann aber auch auf den ersten Blick gar nicht ersichtlich sein, dass ein Angreifer Zugriff erlangt hat. Das ist meist das schlimmste: Es ist möglich, dass Besucher mit Viren infiziert werden und die Seite dadurch auch aus dem Google Index fliegt, oder dass der Angreifer in die Datenbank eindringt um sensible Informationen zu erlangen. Benutzerdaten zum Beispiel.
    Anstrengend wird es dann, wenn man “gehackt” wurde und nun die Dateien bereinigen muss. Dabei stößt man oft auf ziemlich abgefahrene Codefetzen. Unser Highlight bisher war eine installierte Nutzeroberfläche neben Wordpress, über die man den Server komplett fernsteuern konnte.
    Sogenannte Brute Force Attacken versuchen sich mit aller Gewalt in das Wordpress-Backend einzuloggen. Dabei werden tausende Benutzernamen/Passwort-Kombinationen im Minutentakt ausprobiert, bis eine Kombination funktioniert. Zum einen kann das ganz schnell die Seite lahmlegen, zum anderen wird bei erfolgreichem Login die entsprechende Kombination irgendwo hingeschickt und irgendwann kommt vielleicht mal irgendwer vorbei und hat bestimmt keine guten Ideen im Kopf.

    Tja, und wie kann man sich nun vor solchen Angriffen schützen?

    Multiple Wordpress Site Management

    Um immer einen Blick über die Gesamtsituation zu haben, gibt es “Multiple Wordpress Site Management” Solutions. Tools, wie z.B. InfiniteWP oder ManageWP bieten umfangreiche Dashboards, in denen alle Installationen abgebildet werden können. Hier sieht man sofort, wenn ein Plugin ein Update benötigt, wenn die Verbindung zu einer Installation abbricht oder irgendein anderes Problem auftritt. Durch die direkte Verbindung mit einem Plugin in jeder Installation, kann man direkt aus dem Dashboard heraus Updates installieren oder sich als User einloggen, um die Seite zu verwalten.

    © InfiniteWP

    Grundlegende Wordpress Sicherheitsmaßnahmen

    Damit Wordpress nicht ganz ohne Schloss an der Tür da steht, kann man sich mit ein paar schnellen Maßnahmen aushelfen.

    1. Admin User umbennen
      • Den Usernamen “admin” oder generell eine Benutzer mit der ID 1 sollte es nicht geben. Viele Skripte zielen direkt auf diese beiden Eigenschaften ab, weil sie davon ausgehen, dass sie existieren. Wenn sie das aber nicht tun, hat man direkt eine Last weniger.
    2. Datenbank Prefix ändern
      • Standardmäßig speichert Wordpress seine Inhalte in Tabellen mit dem Prefix wp_ ab. Auch hier greifen Bots gezielt auf wp_ Tabellen an. Änder man den Prefix ab, hat man auch hier direkt eine Vielzahl von Angreifern die Tür vor den Augen zugeschlagen.
    3. Dateirechte der Wordpress-Ordnerstruktur
      • Die Dateirechte auf dem Server sollten richtig gesetzt sein. Erlaubt man zu viel, haben Angreifer direkt einen Einstiegspunkt, über den Dateien auf dem Server abgelegt werden können. Im schlimmsten Fall wird eine vorhandene Datei so modifiziert, dass andere Sicherheitslücken geöffnet werden können und dem Angreifen direkt vollen Zugriff ermöglichen. Damit das alles nicht passiert, sollten die Rechte so gesetzt werden:

    / | 755 /wp-includes | 755 /wp-admin | 755 /wp-admin/js | 755 /wp-content | 755 /wp-content/themes | 755 /wp-content/plugins | 755 /wp-content/uploads | 755 /wp-config.php | 444 /.htaccess | 444

    Wenn man diese drei grundlegenden Schritte befolgt, ist man schonmal nicht ganz ungeschützt. Man kann allerdings noch einiges mehr tun. Und damit das nicht allzu kompliziert wird und man eine Übersicht über alle Sicherheitsfeatures hat, die man anwenden kannn gibt es nützliche Plugins.

    iThemes Security

    © iThemes Security Pro

    Wir entschieden uns für iThemes Security. Vielleicht ist es etwas erschlagend, mit der Masse an Settings, die es einem bietet. Aber auf der anderen Seite ist es das mehr als wert. iThemes funktioniert direkt als Plugin innerhalb der Wordpress Installation und zeigt auf einem Blick High-, Medium- und Low-Priority Hinweise, um die Sicherheit zu erhöhen. Darunter sind zum Beispiel die drei oben genannten Hinweise, aber auch viel komplexere Aufgaben. Ein weiterer Vorteil ist es, dass man mit nur wenigen Klicks einen Sicherheitsaspekt erledigen kann. Ohne das Plugin hätte man oft schwierige Aufgaben zu meistern.
    Weitere Features sind das Benachrichtigen von geblockten Angriffsversuchen, eine Übersicht über Dateiänderungen auf dem Server, Datenbank-Backups, das Scannen von Malware und vieles mehr.

    Schlussstrich

    Das Spammer, Scammer, böswillige Hacker und Malware zu dem Abschaum des Internets gehören, steht außer Frage. Damit man nicht zum Opfer dieser wird, gibt es immer einige Hilfsmittel, die, wenn man sich damit befasst, gar nicht so kompliziert sind. Man sollte sich lieber eine Stunde hinsetzen um die Sicherheitseinstellungen zu studieren und anzuwenden, statt mehrere Tage eine befallene Website zu bereinigen. Das kostet Nerven, Zeit und man könnte seine Zeit mit so viel wichtigeren Dingen verbringen. Mit der Kombination InfiniteWP und iThemes Security konnten wir uns eine saubere Übersicht sowie eine automatisierte Überwachung, Datensicherung und tägliche Reports schaffen, um gar nicht erst zum Opfer zu werden.

    12.07.2017
    Inga
  • Intern
  • Wir hatten die Idee einen P2P Campus zu starten & das kam dabei raus.
    07.04.2017
    Sarah
  • Intern
  • Im heutigen Talk2 haben wir uns Nele geschnappt!
    07.02.2017
    Sarah
  • Development
  • Wie misst man eigentlich die Klicks auf einer Website? Also die Klicks, die wirklich interessieren und zählen?

    Funken Sie uns an.

    PIER2PORT GmbH Steckelhörn 11 20457 Hamburg
    +49 40 466 6435 0 ahoi@pier2port.de
    Pier2Port Map
    Jetzt anfunken