Sikre WordPress

WordPress er den mest populære blog-software og det mest brugte indholdstilpasnings-system. Derfor er det ikke overraskende, at mange angribere prøver at angribe og hacke tilfældige WordPress-installationer og servere. Mod dette kan og skal man forsvar sig selv, blot fordi der på Google findes diverse vejledninger om, hvordan sikkerhedsbrister kan udnyttes.

WordPress Sikkerhedsscan

Er du usikker på, om din WordPress-website eller blog er sårbar over for hackerangreb og om du skal sætte ekstra beskyttelse op? Så gør den Sikkerheds Scan (ekstern side, gratis). Scannen tjekker blandt andet, om WordPress-versionen er på det seneste. Derudover bliver alle identificerede plugins overværd og sammenlignet med en database af farlige plugins. Hvis alt går godt, ser testresultatet sådan ud:

Desuden undersøger scanen de brugte navne på admin-brugerne. Hvis muligt skal dette ikke være admin eller ligesom websitet selv.

En yderligere scanner ved navn Nikto tjekker din hjemmeside og server generelt på sikkerhedshuller (man skal dog registrere sig eller downloade den offline-version).

Almindelige tiltag

Det er absolut nødvendigt og essentielt at bruge et stærkt adgangskode til din WordPress-admin-bruger, så du kan beskytte WordPress med lidt indsats og forhindre angreb. Hvis du ikke gør det, skal du aldrig bruge samme adgangskode flere gange inden for en WordPress-installation til flere brugere eller bruge samme adgangskoder til forskellige tjenester og programmer!

Til de enkleste sikkerhedsforanstaltninger hører det sletning af standardbrugeren med identitetsnummer 1 og brugerens navn "admin". Fordi navnet på forfatteren med index 1 kan let opspores ved at kalde den følgende URL.

www.yourblog.com/?author=1

Administrationsområdet på din server skal desuden beskyttes med en Adgangskontrol. Man kan ellers simpelthen kalde login-skærmen op således:

www.yourblog.com/wp-admin

Sådan oprettes en mappebeskyttelse for admin-området:

En adgangsfil uden for det beskyttede map og uden for hovedmappen placere, der hedder .htpasswd og har følgende opbygning:

username:passworthash

For username vælger du en hvilken som helst brugernavn, der bedst ikke svarer til dit WordPress-brugernavn. passworthash er hash-værdien af det password, med hvilket du ønsker at autenticere den directory-sikring. Det kan være nemmest at oprette indholdet i denne fil ved hjælp af en htpasswd-Generator. Husk på sikre adgangskoder, det skulle jo være selvforståeligt!

Efterfølgende en fil med navn .htaccess i mappe wp-admin til din WordPress installation oprette, der indeholder følgende indhold:

AuthType Basic
AuthName "Passwortgeschuetzter Bereich"
AuthUserFile /pfad/zur/Datei/.htpasswd
AuthGroupFile /dev/null
require valid-user

Med dette er en multifaktor-authentifikation, også kendt som MFA, sikret. Det ville være endnu bedre med en mediebrud, men det ville i mange tilfælde føre for langt på informationswebsteder. Det kunne være anderledes ved online-banking.

Nu også forby Zugriff fra udenfor på filen wp-config.php i WordPress' hjemmappe, da denne fil indeholder alle nøgleinformationer som databasbrugernavn og tilhørende adgangskode. I samme mappe/folder finder du en htaccess-fil. I dette file tilføj følgende linjer helt nedenunder:

\# Zugriff auf wp-config.php von außen verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>

Dette vil være en meget sikrere måde at beskytte WordPress mod hackere på!

Plugin og WordPress selv opdateres regelmæssigt

Das Dashboard meddler, hvis et opdatering er til rådighed. Ofte indeholder opdateringer Sikkerhedsfremstøde eller kode, der lukker sikkerhedshuller. Hvis manuel opdatering er for besværligt, kan man i wp-config.php filen følgende linje tilføje, for at aktivere automatisk opdatering:

// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );

Noch mehr Security-Tipps

Her er oversættelsen: For at angrebere eller hackere ikke kan læse WordPress-versionen direkte, og muligvis selv automatisk, skal du tilføje følgende linie kode i filen functions.php helt i bunden:

remove\_action('wp\_head','wp\_generator');

Du kan redigere filen via Admin-panellet, Design → Editor.

Ønsker du at beskytte WordPress endnu mere, så indsæt følgende linje i slutningen af filen wp-config.php:

define('DISALLOW\_FILE\_EDIT', true);

forhinderer redigeringen af PHP- og CSS-filer via WP-redaktøren i Admin-panellet til hacker. Dog bør ændringer i disse filer kun forbudes, hvis du ikke selv ønsker at ændre dem ofte (af komforts årsager) gennem redaktøren i panellet. Dog kan du også ændre alle disse filer direkte på webserveren, f.eks. via FTP eller Shell.

Hvis din WordPress-side ikke understøtter HTTPS eller SSL, skal du aldrig som administrator tilgang på din installation over et offentligt WLAN-netværk, fordi angriberne så kan læse dit adgangskode i klartekst! Og denne vej ønsker du sikkert ikke at følge. Under visse omstændigheder må også juridiske konsekvenser tages i betragtning, hvis du åbner sikkerhedsporten over fjernsynsnetværk. SSL kan dog kun bruges med et kostenpflichtigt certifikat, så det er mere sikkert for virksomheder at kunne gøre dette.

To-Tangenter-Authenticering

Med hjælp af et plugin kan en to-faktor-authentifikation tilføjes ved login. Dette kræver yderligere en Google-app. Ved siden af det egentlige WordPress-login skal man således også legitimere sig via smartphone. Pluginmetoden hedder Google Authenticator – Two Factor Authentication (2FA). Tak til Ralf for den fine kommentar til denne artikel!

Begræn Logleførselsskift

Unglaublich, men sandt: Per default kan enhver få til at prøve flere login-forsøg i din administratorområde! I tegn på WordPress Sikkerhed skal du installere et plugin som Login Lockdown, så du kan sætte en grænse. Efter installation finder du under Indstillinger -> Login Lockdown de valgmuligheder, der er til rådighed. Der kan du især sætte ind, hvor ofte nogen i træk prøver at logge sig ind, altså hvor mange fejlprøver de har. Efter at disse forsøg er nået, er en login fra samme IP-adresse ikke længere mulig i 5 minutter. Denne tid kan du også konfigurere. Nu skal børstede kriminelle skulle gøre mere indsats, hvis de vil prøve at komme ind!

Det er også meget nyttigt at sætte indstillingerne til Mask Login Errors. Man skal sørge for, at de stilles på Yes. Således får angreieren ingen information om, hvorfor hans login mislykkedes. I ellers vil der meddeles, om brugernavnet var kendt, men passwordet forkert eller om selv brugernavnet var forkert.

ændre tabel præfikset

Normalt begynder hver tabel med præfikset wp. Det gør det ved lykkelige SQL Injection forsøg simpelthen til at læse eller manipulere tabellenindhold fra databasen. Før installation kan man ved redigering af filen _wp-config.php ændre præfikset. Er installationen allerede blevet udført, så hjælper pluginget Change DB Prefix.

Vi har selv nyligt modtaget en spam-kommentar, som indeholdt en tynd SQL-injection forsøg og afslører stien til hackere:

Det var sandsynligvis en russisk medborger, der dog hverken kunne skrive engelsk eller SQL korrekt. Fordi SQL-statementet indeholdt syntaxfejl og førte til ingen handling på databasen. Dummere kan man slet ikke tænke sig, hvis denne angreb var lykkedes!

Læsme og licensfiler beskyt eller slet

readme.html og license.txt-filerne ligger i installationskataloget og indeholder oplysninger om WordPress-versionen. De giver angriber en god udgangspunkt til at vurdere målet. Enten slett disse to filer, da de ikke er nødvendige for drift. Eller elsekutter htaccess-filen i root-kataloget og tilføj følgende linjer: # Protect readme.html File <Files readme.html> order allow,deny deny from all </Files> ` # Protect license.txt file <Files license.txt> order allow,deny deny from all </Files>

Security Plugins verwenden

Med et plugin som Bullet Proof Security, der er meget udbredt og har en stor popularitet blandt administratører i mange installationer, får man en gratis og omfattende løsning til at lukke potentielle sikkerhedsbrister og indfaldsdøre.

Det plugin beskytter mod forskellige angreb, det beskytter f.eks. htaccess filen, opbygger en brandmur omkring hele installationen, begrænser den maksimale antal tilladte login forsøg, tjekker adgangskoder og tilbyder en effektiv sikring af databasen.

Dette sikkerheds-plugin er meget let at bruge og med få klik installeret og konfigureret, prøv det sikkert!

Yderligere anvisninger

Selvklart skal du regelmæssigt gøre en Backup af din WordPress-installation, det er nok at kopiere installationsmappen til et lokalt disk. Under ingen omstændigheder placere backupken på samme server, hvor du har WordPress installeret eller ved hjælp af FTP uploade! Det ovennævnte plugin opretter overhovedet ikke en backup af dine data i databasen! En gang til gennemførelse som at justere htaccess til sikring af installationer og andre ovennævnte sikkerhed indstillinger beskytter dig godt mod at blive hacket. Det helt afgørende er opdateringerne, der tilbydes for plugins og themes. Under ingen omstændigheder læse Change Log og hvis sikkerhedsbrister blev lukket, installere nødvendigt.

Skaber du selv temaer eller ændrer du eksisterende skabeloner, så sørg for at du ikke åbner sikkerhedsbrud under webdesignet. Informér dig bedst muligt før du eksisterende JavaScript-biblioteker bruger, om disse er ansette som sikre.

WordPress har selv en Arkiv med sikkerhedsrelevante meldinger.

Sider tjekkes

Sikkerhed og privatliv hører sammen. Den, der sikrer sin WordPress-website, skal ikke kun have hacker i blikket, men også lovgivning omkring privatliv. Med den online hjemmeside check får du direkte indsigt i, hvordan din hjemmeside er opbygget.

Denne hjemmeside tjek kan fungere helt enkelt:

1. Indtast webside
2. Tryk på startknappen
3. Vænt lidt sekunder, resultatet kan ses direkte i browseren