Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

WordPress absichern

Veröffentlicht am 7. Januar 2020 von Dr. DSGVO
2

Kategorien: Security und Retrospektive

Dies ist ein älterer Beitrag, der nicht unbedingt die aktuelle Haltung des Autors darstellt. Insbesondere zu den Themen Datenschutz, Google und Social Media ist der Autor aufgrund mittlerweile gewonnener Erkenntnisse anderer Meinung als früher! Was Web Hosting angeht, empfehle ich Strato, 1&1 und andere große nicht mehr.

WordPress Security

WordPress ist die beliebteste Blog-Software und das populärste Content Management System. Kein Wunder, dass deshalb so viele Angreifer versuchen, wahllos WordPress Installationen und Server anzugreifen und zu hacken. Dagegen kann und muss man sich wehren, alleine schon, weil auf Google diverse Anleitungen existieren, wie Sicherheitslücken ausgebeutet werden können.

Der WordPress Security Scan

Bist Du unsicher, ob Deine WordPress Webseite oder Dein Blog verwundbar gegen Hackerangriffe ist und ob Du sie besonders schützen musst? Dann mache den Security Scan (externe Seite, kostenlos). Der Scan prüft u.a. die Version von WordPress, sie sollte auf dem neuesten Stand sein. Weiterhin werden alle erkannten Plugins überprüft und mit einer Datenbank von gefährlichen Plugins abgeglichen. Wenn alles gut läuft, sieht das Testergebnis so aus:

WordPress Security Scan

Außerdem prüft der Scan die verwendeten Namen der Adminbenutzer, nach Möglichkeit sollte dieser weder admin heißen noch so, wie die Webseite selbst.

Ein weiterer Scanner namens Nikto checkt Deinen Webseite und Deinen Server generell auf Sicherheitslücken (man muss sich dafür allerdings registrieren oder die Offline-Version herunterladen).

Allgemeine Maßnahmen

Auf jeden Fall ist es notwendig und absolut essentiell, ein starkes Passwort für Deinen WordPress Admin-User zu verwenden, so kannst Du mit wenig Aufwand WordPress absichern und vorn Angriffen schützen. Weiterhin keinesfalls dasselbe Passwort mehrfach nutzen, weder innerhalb einer WordPress Installation für mehrere User noch gleichlautende Passworte für verschiedene Dienste und Anwendungen verwenden!

Zu den einfachsten Sicherheits-Maßnahmen gehört das Löschen des Standard-Users mit der Identitätsnummer 1 und dem User-Namen »admin«. Denn der Name des Autors mit dem Index 1 kann sehr leicht über den Aufruf der URL

www.deinblog.de/?author=1

ermittelt werden!

Der Admin-Bereich auf Deinem Server sollte zudem mit einem Verzeichnisschutz versehen werden. Man kann ansonsten einfach den Login-Screen wie folgt aufrufen:

www.deinblog.de/wp-admin

So erstellt man einen Verzeichnisschutz für den Admin-Bereich:

Eine Passwort-Datei außerhalb des zu schützenden Verzeichnisses und außerhalb des Hauptverzeichnisses ablegen, die mit .htpasswd benannt ist und folgenden Aufbau hat:

username:passworthash

Für username wählst Du einen beliebigen Usernamen, der am besten nicht mit Deinem WordPress-Usernamen übereinstimmt. passworthash ist der Hashwert des Passworts, mit dem Du den Verzeichnisschutz authentifizieren willst. Am einfachsten kannst Du den Inhalt dieser Datei mit einem htpasswd-Generator erzeugen. Achte auf sichere Passwörter, das sollte sich eigentlich von selbst verstehen!

Danach eine Datei namens .htaccess im Verzeichnis wp-admin Deiner WordPress Installation anlegen, die folgenden Inhalt hat:

AuthType Basic
AuthName "Passwortgeschuetzter Bereich"
AuthUserFile /pfad/zur/Datei/.htpasswd
AuthGroupFile /dev/null
require valid-user

Nun auch noch den Zugriff von außen auf die Datei wp-config.php im Pfad von WordPress verbieten, denn in dieser Datei stehen alle wichtigen Zugriffsinfos wie der Datenbankuser und das zugehörige Passwort drin. Im selben Verzeichnis bzw. Ordner wie wp-config.php befindet sich eine htaccess-Datei. In diesem File ergänzt Du ganz am Ende folgende Zeilen:

# Zugriff auf wp-config.php von außen verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>

Diese Maßnahmen sollten spürbar mehr Sicherheit bringen, damit kannst Du schon recht effektiv WordPress gegen Hacker absichern!

Plugins und WordPress selbst regelmäßig updaten

Das Dashboard meldet, wenn ein Update zur Verfügung steht. Oft enthalten Updates Sicherheitsmaßnahmen oder Code, um Sicherheitslücken zu schließen. Wem das manuelle Aktualisieren zu lästig ist, der kann in der wp-config.php Datei folgende Zeile hinzufügen, um das automatische Update zu aktivieren:

// Enable all automatic updates
define( 'WP_AUTO_UPDATE_CORE', true );

Noch mehr Security-Tipps

Damit Angreifer oder Hacker nicht direkt die WordPress-Version auslesen können, am besten noch automatisiert, füge folgende Zeile Code in der Datei functions.php ganz am Ende ein:

remove_action('wp_head','wp_generator');

Die Datei kannst Du bearbeiten über das Admin-Panel, Design -> Editor.

Möchtest Du noch weitergehend WordPress absichern, dann füge folgende Zeile am Ende der Datei wp-config.php ein:

define('DISALLOW_FILE_EDIT', true);

Das verhindert das Editieren von PHP- und CSS Files über den WP-Editor im Admin-Panel durch Hacker. Allerdings sollten Änderungen an diesen Dateien nur verboten werden, wenn Du nicht selbst über den Editor im Panel öfters Dateien ändern willst (aus Komfortgründen). Allerdings kannst Du all diese Dateien auch direkt auf dem Webserver ändern, etwa per FTP oder Shell.

Wenn Deine WordPress-Seite kein HTTPS bzw. SSL unterstützt, dann solltest Du keinesfalls per WLAN von öffentlichen Orten aus als Admin auf Deine Installation zugreifen, denn dann kann es passieren, dass Angreifer Dein Passwort im Klartext mitlesen! Und diesen Pfad willst Du sicher nicht beschreiten! Unter Umständen müssen auch rechtliche Konsequenten in Kauf genommen werden, wenn Du über Funknetze Sicherheitstore offenbarst. SSL kann allerdings nur mit einem meist kostenpflichtigen Zertifikat benutzt werden, so dass eher Firmen hierzu die Möglichkeit haben.

Zwei-Faktor-Authentifizierung

Mit Hilfe eines Plugins kann eine Zweifaktor-Authntifikation beim Login vorgesehen werden. Dafür braucht man zusätzlich eine Google App. Neben dem eigentlichen WordPress Login muss man sich also über das Smartphone berechtigen. Das Plugin heißt Google Authenticator – Two Factor Authentication (2FA). Danke an Ralf für den tollen Hinweis per Kommentar zu diesem Beitrag!

Anzahl der Login-Versuche begrenzen

Unglaublich, aber wahr: Per Default kann jeder beliebig viele Login-Versuche in Deinen Admin-Bereich unternehmen! Im Zeichen der WordPress Security solltest Du ein Plugin wie Login Lockdown installieren, um ein Limit einzubauen. Nach Installation findest Du unter Einstellungen -> Login Lockdown die Optionen des Plugins. Dort kann man insbesondere einstellen, wie oft jemand hintereinander versuchen darf, sich anzumelden, also wie viele Fehlversuche er hat. Nachdem diese Versuche erreicht sind, ist eine Anmeldung für 5 Minuten von derselben IP Adresse nicht mehr möglich. Diese Zeit kannst Du ebenfalls konfigurieren. Nun müssen Bösewichten sich mehr anstrengen, wenn sie sich einhacken wollen!

Sehr nützlich ist auch die Einstellung Mask Login Errors. Man sollte sie auf Yes stellen. Dann nämlich bekommt der Angreifer keine Info, warum seine Anmeldung fehlschlug. Ansonsten wird nämlich gemeldet, ob der Username bekannt, aber das Passwort falsch war oder ob schon der Username falsch war.

Table Prefix ändern

Normalerweise beginnt jede Tabelle mit dem Präfix wp_. Das macht es bei erfolgreichen SQL Injection Versuchen einfach, Tabelleninhalte aus der Datenbank auszulesen oder zu manipulieren. Vor der Installation kann man durch Editieren der wp-config.php Datei jenes Präfix ändern. Wurde die Installation schon vorgenommen, dann hilft das Plugin Change DB Prefix.

Wir haben selbst vor kurzem einen Spam Kommentar erhalten, der einen plumpen SQL Injection Versuch enthielt und den Pfad der Hacker erkennen lässt:

WordPress Hacking
SQL Injection via Kommentar

Das war wohl ein russischer Mitbürger, der allerdings weder englisch noch SQL richtig schreiben kann. Denn das SQL Statement enthält Syntaxfehler und führt zu keiner Aktion auf der Datenbank. Dümmer geht es kaum, aber kaum auszudenken, wenn dieser Angriff erfolgreich gewesen wäre!

Readme und License Dateien schützen oder löschen

Die Dateien readme.html und license.txt liegen im Hauptverzeichnis der Installation und enthalten Informationen über die WordPress Version. Sie bieten für Angreifer einen guten Ausgangspunkt, um das Angriffsziel auszuwerten. Entweder diese beiden Dateien löschen, denn sie werden für den Betrieb nicht benötigt. Oder die htaccess Datei, die im Root Verzeichnis liegt, um folgende Zeilen erweitern:

# Protect readme.html File
<Files readme.html>
order allow,deny
deny from all
</Files>

# Protect license.txt file
<Files license.txt>
order allow,deny
deny from all
</Files>

Security Plugins verwenden

Mit einem Plugin wie Bullet Proof Security, das weit verbreitet ist und sich großer Beliebtheit bei Admins in zahlreichen Installationen erfreut, bekommt man eine kostenfreie und umfassende Lösung zum Schließen potentieller Sicherheitslücken und Einfalltore.

Das Plugin wehrt diverse Angriffe ab, es schützt beispielsweise die htaccess Datei, baut eine Firewall um die gesamte Installation auf, limitiert die maximale Anzahl erlaubter Login Versuche, prüft Passwörter und bietet eine wirksame Absicherung für die Datenbank.

Dieses Security Plugin ist sehr einfach zu bedienen und mit wenigen Klicks installiert und konfiguriert, auf jeden Fall ausprobieren!

Weitere Hinweise

Selbstverständlich solltest Du regelmäßig ein Backup Deiner WordPress Installationen vornehmen, dazu reicht es, das Installationsverzeichnis auf ein lokales Laufwerk zu kopieren. Auf keinen Fall das Backup auf demselben Server ablegen, wo Du WordPress installiert hast oder per FTP uploaden! Das zuvor genannte Plugin erstellt übrigens ein Backup Deiner Datenbank! Einmalige Maßnahme wie das Anpassen von htaccess zur Absicherung von Installationen und andere oben beschriebene Security Einstellungen schützen jedenfalls ganz gut davor, gehackt zu werden.  Ganz wichtig sind die Updates, die für Plugins und Themes angeboten werden. Auf jeden Fall das Change Log dazu lesen und wenn Sicherheitslücken geschlossen wurden, unbedingt installieren.

Erstellst Du selbst Themes oder ändert vorhandene Templates ab, dann achte beim Webdesign darauf, dass Du keine Sicherheitslücken öffnest. Informiere Dich am besten, bevor Du externe Javascript Bibliotheken verwendest, ob diese als sicher gelten.

WordPress selbst führt übrigens ein Archiv mit Sicherheits-relevanten Meldungen.

PS: Dies ist ein älterer Beitrag.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/wordpress-absichern
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Dr. DSGVO

Dieser Beitrag wird in anderen Beiträgen erwähnt

  • WordPress Login – So geht’s! […] für eine ausreichende Security noch nicht vollständig getan. Du solltest weitere Maßnahmen zum Absichern Deiner WordPress
  • Was ist WordPress? […] WordPress bisher nicht geboten hat. Beispiele sind SEO und SEM Optimierungen, Caching von Inhalten, Zugriffsrestriktionen wie die Anzahl der