WordPress är den mest populära blogg-softwaren och det mest använda innehållshanteringssystemet. Inget under, att därför många angripare försöker attackera och hacka WordPress-installationer och servrar slumpvis. Där emot kan och måste man försvara sig, bara för att på Google finns diverse anvisningar om hur säkerhetsluckor kan utnyttjas.
WordPress säkerhets skannern
Är du osäker på om din WordPress-webbplats eller blogg är sårbar för hackangrepp och om du måste skydda den extra? Gör då Security Scan (externa sida, gratis). Scannen kontrollerar bland annat vilken version av WordPress som används, den bör vara uppdaterad. Dessutom kontrolleras samtliga installerade plugins och jämförs med en databas över farliga plugins. Om allt går bra ser testresultatet ut såhär:
Denutom granskar skannen de använda namnen på administratörerna. Om möjligt bör detta inte vara admin eller liknande som webbplatsens namn.
En annan skanner som heter Nikto kollar din webbplats och server i allmänhet på säkerhetsluckor (man måste registrera sig för det eller ladda ner den offline-versionen).
Allmänna åtgärder
Det är absolut nödvändigt att använda ett starkt lösenord för din WordPress-admin-användare, så kan du med liten ansträngning skydda WordPress och skydda dig mot attacker. Använd aldrig samma lösenord flera gånger, antingen inom en WordPress-installation för flera användare eller liknande lösenord för olika tjänster och program!
Till de enklaste säkerhetsåtgärderna hör att radera standardanvändaren med identitetsnummer 1 och användarnamnet "admin". För att namnge författaren med index 1 kan lätt upptäckas genom att kalla upp URL:en nedan.
www.yourblog.com/?author=1
Administrationsområdet på din server bör dessutom skyddas med en katalogskydd. Annars kan man helt enkelt logga in-skärmen kalla på så här:
www.yourblog.com/wp-admin
Så skapar man en katalogskydd för admin-området:
En lösenordsfil utanför det skyddade kataloget och utanför huvudkatalogen lägga, som heter .htpasswd och har följande uppbyggnad:
username:passworthash
För username väljer du en valfri användarnamn, som bäst inte överensstämmer med ditt WordPress-användarnamn. passworthash är hashvärdet för lösenordet med vilket du vill autentisera den katalogskyddningen. Den enklaste sättet att skapa innehållet i detta dokument är att använda ett htpasswd-generator. Se till att säkra lösenord, det borde vara självklart!
Efter det skapa en fil med namnet .htaccess i katalogen wp-admin till din WordPress-installation och lägg in följande innehåll:
AuthType Basic AuthName "Passwortgeschuetzter Bereich" AuthUserFile /pfad/zur/Datei/.htpasswd AuthGroupFile /dev/null require valid-user
Med detta är en multifaktorautentisering, även kallad MFA, säkerställd. Det skulle vara ännu bättre med ett mediaavbrott, men det skulle i många fall gå för långt på informationswebben. Det kan vara annorlunda vid online-bankning.
Nu även förhindra åtkomst från utsidan till filen wp-config.php i WordPress-path, eftersom alla viktiga åtkomstinformationer som databasanvändare och motsvarande lösenord finns där. I samma katalog eller mapp som wp-config.php hittar du en htaccess-fil. I detta file lägger du till följande rader helt i slutet:
\# Zugriff auf wp-config.php von außen verbieten <files wp-config.php> Order deny,allow deny from all </files>
Dessa åtgärder bör ge en tydlig säkerhetsförbättring, med dem kan du redan relativt effektivt skydda WordPress mot hackare!
Uppdatera plugins och WordPress själv regelbundet
Dashboarden meddelar om ett uppdatering tillgängligt är. Många gånger innehåller uppdateringarna Säkerhetsåtgärder eller kod för att stänga säkerhetshål. Vem som helst som tycker det manuella uppdateringen är tröttande kan lägga följande rad i wp-config.php filen för att aktivera automatiskt uppdatering:
// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );
Noch mehr Security-Tipps
För att angripare eller hackare inte direkt kan läsa ut WordPress-versionen, är det bäst att automatiskt lägga till följande kodrad i filen functions.php helt nerifrån:
remove\_action('wp\_head','wp\_generator');
Du kan redigera filen via Admin-panelen, Design → Editor
Om du vill skydda WordPress ytterligare, lägg till följande rad i slutet av filen wp-config.php:
define('DISALLOW\_FILE\_EDIT', true);
Hindrar från att redigera PHP- och CSS-filer via WP-redigeraren i Admin-panelen av hackare. Men ändringar i dessa filer bör bara förbjudas om du inte själv vill ändra dem ofta (för komforts skull). Men du kan ändå alla dessa filer direkt på webbservern, till exempel via FTP eller Shell.
Om din WordPress-sida inte stöder HTTPS eller SSL, borde du aldrig som administratör komma åt din installation via Wi-Fi från offentliga platser, eftersom då kan angripare läsa ditt lösenord i klartext! Och den här vägen vill du säkert inte ta. Under vissa omständigheter måste även rättsliga konsekvenser accepteras om du visar upp säkerhetsluckor via nätverk. SSL kan dock bara användas med ett kostnadsfritt certifikat, så det är snarare företag som har möjlighet till detta.
Tvåfaktorsautentisering
Med hjälp av ett plugin kan en tvåfaktorsautentisering vid inloggning tillhandahållas. Därav krävs dessutom en Google-app. Utöver det egentliga WordPress-inloggningen måste man också via mobiltelefonen godkänna sig. Pluginet heter Google Authenticator – Two Factor Authentication (2FA). Tack till Ralf för den fina kommentaren till detta inlägg!
Begränsa antalet inloggningsförsök
Unglaublich, men sant: Av standard kan varje användare företa sig obegränsat många inloggningsförsök i din administrativa område! I tecken på WordPress-säkerhet bör du installera ett plugin som Login Lockdown, för att införa en begränsning. Efter installation hittar du under Inställningar -> Login Lockdown de alternativ som tillhandahålls av pluginet. Där kan man särskilt ställa in hur många gånger någon i följd får försöka logga in, alltså hur många felgillningar denne har. När dessa försök är uppnådda är en inloggning från samma IP-adress inte möjlig under 5 minuter. Denna tid kan du också konfigurera. Nu måste de onda villkoren göra mer ansträngning för att ta sig in!
Det är också mycket användbart att ställa in Mask Login Errors. Man borde sätta den på Yes. Då får angriparen ingen information om varför hans inloggning misslyckades. Annars meddelas det nämligen om antingen användarnamnet är känt men lösenordet fel eller om redan användarnamnet är fel.
Ändra tabellprefix
Normalt börjar varje tabell med prefixet wp. Det gör det vid lyckade SQL-injektion-försök enkelt att läsa innehåll från databasen eller manipulera den. Innan installationen kan man ändra detta prefix genom att redigera filen _wp-config.php. Om installationen redan har gjorts hjälper tillägget Change DB Prefix.
Vi fick själva nyligen en spam-kommentar som innehöll ett grov SQL-injection-försök och avslöjar spåren efter hackarna:
Det var nog en rysk medborgare som skrev det, men han kan inte skriva engelska eller SQL på ett korrekt sätt. För SQL-statementet innehåller syntaxfel och leder till ingenting på databasen. Det går knappt att tänka ut något dummare, men det är knappt att tänka ut någonting som skulle kunna lyckas om detta varit ett verkligt angrepp!
Läs och licensdokument skydda eller radera
readme.html och license.txt filerna ligger i rotkatalogen till installationen och innehåller information om WordPress-versionen. De ger angripare en bra utgångspunkt för att värdera målet. Antingen radera dessa två filer, eftersom de inte behövs för drift. Eller så öka i htaccess-filen, som ligger i rotkatalogen, följande rader:
# Protect readme.html File <Files readme.html> order allow,deny deny from all </Files>
` # Protect license.txt file <Files license.txt> order allow,deny deny from all </Files>
Säkerhetspluginer använda
Med ett plugin som Bullet Proof Security, som är mycket spritt och uppskattat av administratörer i många installationer, får man en gratis och omfattande lösning för att stänga potentiella säkerhetsluckor och inträdesportar.
Det här tillägget skyddar mot olika attacker, det skyddar till exempel htaccess -filen, bygger upp en brandvägg runt hela installationen, begränsar den maximala antalet tillåtna inloggning försök, kontrollerar lösenord och erbjuder ett effektivt skydd för databasen.
Detta säkerhetsplugin är mycket enkelt att hantera och med några klick installerat och konfigurerat, absolut prova på!
Ytterligare tips
Selvklart bör du regelbundet göra en Backup av din WordPress-installation, det räcker att kopiera installationskatalogen till ett lokalt hårddisklag. Under inga omständigheter ska backupen läggas på samma server som WordPress installerats på eller uppladdas via FTP! Det nämnda pluginet skapar för övrigt en backup av din databas! Enstaka åtgärder som att anpassa htaccess för att skydda installationer och andra ovan beskrivna säkerhetsinställningar skyddar i alla fall väl mot att bli hackad. Helt avgörande är uppdateringarna som erbjuds för plugins och teman. På alla sätt ska du läsa Change Log och om säkerhetshållet har stängts, installera omedelbart.
Skapar du själv teman eller ändrar du befintliga mallar, så se till att du inte öppnar några säkerhetsluckor vid webbdesignen. Informera dig bäst möjligt innan du använder externt javascriptbibliotek, om dessa anses som trygga.
WordPress har till och med ett arkiv med säkerhetsrelaterade meddelanden.
Sidor kontrollerar
Säkerhet och dataskydd hör ihop. Den som skyddar sin WordPress-webbplats bör inte bara tänka på hackare, utan också på dataskyddslagstiftningen. Med hjälp av webbplatskontrollen kan du direkt se hur din hemside är uppbyggd.
Den webbplatskontrollen fungerar helt enkelt:
- Sök på webben
- Tryck på startknappen
- Vänta bara några sekunder, resultatet kan ses direkt i webbläsaren
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
