In diesem Gastartikel gibt Autor Mathias Kempowski Tipps zur Absicherung des eigenen WordPress-Blogs gegen Hackerangriffe. Er bloggt auf geld-im-internet-verdienen-blog.de
In Zeiten, in denen vermehrt von Hackerangriffen auf die verschiedensten Institutionen in den Medien berichtet wird, wächst auch bei so manchem Blogbetreiber die Angst vor unbefugten Zugriffen auf die eigenen Datenbanken.
Verständlich, ist das Engagement für einen Blog doch in der Regel mit viel Herzblut verbunden. Der eine oder andere sieht gar seinen Lebensunterhalt, den er mit seinen WordPress-Installationen verdient, bedroht und damit seine Existenzgrundlage gefährdet.
Dem Wunsch nach mehr Sicherheit für die eigenen Blogs, Shops etc., die auf Basis von WordPress arbeiten, kann glücklicherweise nachgekommen werden, ohne dass es großartiger Programmierkenntnisse bedarf.
Es braucht lediglich ein paar kleinere Anpassungen in der Datenbank und in der Nutzerverwaltung sowie ein leicht bedienbares, nützliches Plugin, um aus WordPress ein Bollwerk gegen Hacker zu machen.
Immer aktuell bleiben
Wer seine WordPress-Installationen vor unbefugten Zugriffen schützen will, sollte in jedem Fall mit der Zeit gehen und auf aktuelle Systeme setzen.
Auch wenn WordPress allgemein als sehr sicheres System betrachtet wird, tauchen doch immer wieder Sicherheitslücken in den verschiedenen Versionen auf, die erst mit einer Aktualisierung dieser geschlossen werden können. Deshalb empfiehlt es sich immer das jüngste Update eines WordPress-Systems zu nutzen.
Blogger und Webmaster die den Aufwand ständiger Aktualisierungen meiden und dennoch ihre Datenbanken möglichst gut geschützt wissen wollen, sollten wenigstens die aktuellste Version ihres jeweiligen WordPress-Systems nutzen. Wer beispielsweise noch mit dem 2.8. System arbeitet, könnte zumindest die Version 2.8.6 verwenden.
Ebenfalls sehr wichtig ist es die installierten Plugins auf dem neusten Stand zu halten. Das sollte zumindest bei den offiziellen WordPress-Plugins keine Schwierigkeit darstellen, da diese, wie auch WordPress selbst, automatisch getrackt und Aktualisierungen daraufhin innerhalb des Dashboards kenntlich gemacht werden.
Nutzerkonten umstrukturieren
Bei der Installation von WordPress auf einem Webspace wird ganz automatisch ein Nutzerkonto mit Administrationsrechten eingerichtet, das auf den Namen “admin” läuft. Für Hacker kommt dieser Prozess einer Einladung gleich, müssen sie doch nur noch halb so viel Arbeit investieren, um sich Zugang zur Datenbank zu verschaffen.
Damit ein Eindringling nicht nur das Passwort knacken zu braucht, um vollen Zugriff auf das Blogsystem zu erhalten, sollte man möglichst sofort nach der Installation ein neues Nutzerkonto mit Administrationsrechten anlegen und den alten Admin löschen.
Da zu einem Artikel im Blog auch meist der Autor angezeigt wird, empfiehlt es sich mit dem neuen Administrationskonto keine Beiträge zu schreiben, sondern ein weiteres Konto ohne Adminrechte, das nur zum Schreiben dient, einzurichten.
Datenbank-Präfixe abändern
WordPress ist unter anderem dank seiner leicht bedienbaren Standards ein sehr erfolgreiches Content Management System (CMS).
Doch diese Standards sind auch zugleich die größte Schwachstelle des Blogsystems – nicht nur in Sachen Nutzerkonten. Viele Hackerangriffe erfolgen nämlich auch über das immer gleiche Datenbankschema mit identischen Datenbanknamen.
Um Zugriffe über diesen Pfad zu erschweren, ist es sinnvoll wenigstens die Präfixe der Tabellen zu ändern. Voreingestellt bei einer Installation ist das Präfix “wp_”. Dieses sollte bei einer Neuinstallation gleich abgewandelt werden, möglichst auf einen Zufallswert.
Bei bestehenden WordPress-Installationen lassen sich die Präfixe glücklicherweise auch im Nachhinein verändern, zum Beispiel mit dem Plugin “WP Prefix Table Changer“. Die Neubenennung der Datenbank kann direkt nach erfolgter Installation des Plugins im Dashboard vorgenommen werden.
Login limitieren
Die Absicherung des Login-Vorgangs lässt sich durch die bereits beschriebene Abänderung der Nutzerkontenstruktur vollziehen. Es geht allerdings noch ausgefeilter – gewissermaßen eine Ebene höher -, mithilfe des Plugins Login LockDown.
Dieses Plugin vermag den natürlichen Schwachpunkt des Login-Bereichs noch deutlich effektiver vor unberechtigten Zugriffen zu sichern. Es ist nämlich als wirksames Mittel gegen die so genannte Brute-Force-Methode gedacht, die auf rohe digitale Gewalt setzt.
Mit entsprechender Hardware, hoher Rechenleistung und allerlei Helferprogrammen wird bei dieser Methode im Grunde genommen so lange ausprobiert und eine Kombintion nach der anderen getestet bis irgendwann die Richtige gefunden, also das Passwort geknackt ist.
Login LockDown setzt diesem Vorgang einen Riegel vor und sperrt nach einer gewissen Anzahl von Passworteingaben die genutzte IP für eine vorgegebene Zeit.
Mit dem Plugin lässt sich neben einer maximalen Anzahl an Login-Versuchen auch ein Zeitraum für diese einrichten sowie die Dauer einer möglichen Sperrung. Es ist sogar möglich eine Zeit festzulegen in der ein Login unmöglich ist. Falsche Benutzernamen können ebenfalls gesperrt werden und die Fehlermeldungen, die bei einer Falscheingabe generiert werden, lassen sich maskieren.
Zudem erlaubt Login LockDown aktuell geblockte IP-Adressen einzusehen und die Option manueller Eingriffe, für den Fall einer unbeabsichtigten Sperrung eines realen Nutzers.
Natürlich gibt es auch zahlreiche Alternativen zu diesem Plugin. Eine gute mit vergleichbarer Funktionalität wäre beispielsweise Limit Login Attempts.
Fazit
Die beschriebenen Möglichkeiten zur Steigerung der Sicherheit von WordPress-Installationen, können natürlich keinen Rundumschutz für Blogs gewährleisten. Zumal es sich in diesen Fällen um recht einfache Methoden handelt, die auch für Laien leicht umzusetzen sind.
Aber durch eine konsequente Umsetzung dieser Strategien, wird es für Hacker deutlich schwerer unbefugt in die Datenbanken einzudringen.
Ähnliche Einträge:
- 5 Plugins um WordPress sicherer zu machen
- Wichtiges Sicherheitsupdate für WordPress – 2.8.2
- WordPress 2.8 erschienen
- WordPress 2.8.6. erschienen
- Eigene Buttons im WordPress-Editor
Der Artikel hat Dir gefallen?
Dann abonniere den
"Blogprojekt"-Blog!
Loading ...
1 Ein Kommentar von Sebastian Scholz am 20 Okt, 2011
Hallo! Ja, ich kann diese Schritte und Plugins nur empfehlen!
Letztes Wochenende hat es mich erwischt – meine Blogs wurden gehackt und so manupuliert, dass es erst garnicht auffällt und somit die Backups mit dem Schadcode versehen sind.
Nachdem mir aber die sehr lange Ladezeit aufgefallen ist und dann die ersten Fehlermeldungen eintrafen habe mich sofort mit meinem Hoster in Verbindung gesetzt um gemeinsam eine Lösung zu finden. Denn wie oben schon geschrieben, ich hatte schon Backups mit dem Schadcode.
Zum Glück, war der Hacker freundlich gesinnt und hatte nur alle index-Datein manipuliert. Das Ergebniss, 2 von 3 Blogs sind immer noch down. Wenn man oben auf meinen Namen klickt kommt man auf den bereits reparierten Blog
Ich vermute, dass ich eben in die “Admin-Falle” getreten bin. Denn stutzig wurde ich weil es einen weiteren Benutzer gab.
Die LogIn-PlugIns habe ich nun auch, was ist aber mit dem Präfix-PlugIn, ist dieses Verfahren sicher – funktioniert das zuverlässig?
2 Ein Kommentar von chris butik am 20 Okt, 2011
Danke für Login LockDown Plugin, das kannte ich noch nicht, mit den Tips hier sollten wohl die meisten Gelegenheits Hacker unüberwältigbare Schwierigkeiten haben, und der Pro zieht einfach weiter wo es einfacher geht…
3 Ein Kommentar von Jakob am 20 Okt, 2011
Auch sehr effektiv: Das wp-config.php in ein Verzeichnis ausserhalb des Webservers verschieben oder wenn das nicht geht per htaccess schützen.
4 Ein Kommentar von Nathanael Dalliard am 20 Okt, 2011
Ich denke, dass ein gewiefter Hacker in praktisch jede Seite eindringen kann und wenn er das nicht kann, dann kann man jede Seite mit einer DDoS-Attacke lahmlegen. Dennoch finde ich den Artikel sehr gut, denn man sollte es einem Hacker nicht zu einfach machen, solange es “schwächere” Blogs gibt, konzentrieren sich die Hacker meist darauf. Zumindest denke ich das mal!
5 Ein Kommentar von Markus am 20 Okt, 2011
Den kompletten wp-admin Ordner, per .htaccess oper web.config je nach System eben, mit einem Passwort schützen fehlt mir hier. Bei den meisten Blogs darf sich sowieso keiner anmelden, also muss der auch nicht öffentlich sein. Eine einfache aber sehr gute Möglichkeit einiges an Sicherheit zu gewinnen.
Zum Thema “Nutzerkonten umstrukturieren”: Bei den aktuellen Versionen wird diese Konto nicht mehr erstellt, sondern man kann einen frei nutzbaren Namen wählen. Leider wird dort immer noch die ID 1 verwendet, was man eigentlich leicht ändern könnte in eine zufällig generierte.
6 Ein Kommentar von Toni am 23 Okt, 2011
Ist ein guter Bericht aber ich glaube wie schon einer hier sagte, dass es praktisch für jeden guten Hacker möglich ist in eine Seite einzudringen. Klar ausreichend Absicherungen sind schon wichtig, aber wenn z.B. meine Seite wirklich einer hacken möchte, dann schaft er es mit ein bissien Erfahrung und Zeit auch. Trotzdem danke für die guten Infos, bin nämlich gerade die Sicherheit am optimieren.
Gruß
Toni
7 Ein Kommentar von Marc am 23 Okt, 2011
Hallo! Die Tipps, die hier im Artikel gegeben werden, sind sehr hilfreich und sollten von möglichst vielen Blogbetreibern befolgt werden.
Anzumerken habe ich jedoch etwas anderes, nämlich den Titel. Hier geht es zwar auch um Hacker, aber einen Großangriff auf einen “normalen” Blog erwartet man eher selten. Vielleicht sollte das Thema eher als allgemeine Sicherheitstipps durchgehen, sonst tun es einige vielleicht zu schnell ab?
8 Ein Kommentar von Maik am 24 Okt, 2011
Ich muss Marc zustimmen, der Titel ist im Gegensatz zum Artikel-Bild nicht ganz passend. Man kann keine Website gegen Hacker absichern, egal ob mit zusätzlichem Schutz oder nicht. Erstrecht keinen Blog. Man kann es dem Hacker “erschweren”, aber genau das lieben echte Hacker – Herausforderungen.
Ansonsten sind es grundlegende Tipps, die man standardmäßig für jeden WP-Blog nutzen sollte. Allein schon weil meistens irgendwelche Script Kiddies einen Blog “hacken” wollen und an solchen Schutzmaßnahmen scheitern. Allerdings hätte man hier noch ein paar weitere Tipps geben können.
9 Ein Kommentar von Markus am 25 Okt, 2011
Hallo Mathias,
vielen Dank für den Artikel. Ich bin immer Dankbar für Tipps und Tricks. Das mit der Datenbank war mir bekannt, allerdings mit dem Login limitieren noch nicht. Das werde ich sofort umsetzten!
Viele Dank auch an Peer!
10 Ein Kommentar von Joaquin am 30 Okt, 2011
Man sollte dabei nicht vergessen, dass die Sicherheit hier auf der untersten Ebene beginnt und dies ist die des Servers. Wenn dieser schlecht eingestellt und gewartet wird, hilft jegliche Konfiguration auf den höheren Ebenen nichts.
11 Ein Kommentar von Crack am 2 Nov, 2011
Ich kann Joaquin nur zu stimmen. Des Weiteren wäre es kein Hacker, sondern ein Cracker. Bruteforce wird sicherlich keiner machen. Das wäre viel zu aufwendig. Man kontaktiert den Webmaster mit einer E-Mail wodrin ein Trojaner ist. Sicherheit fängt immer bei einem selber an. Die richtigen Cracker nutzen Sicherheitslücken in der CMS aus, welche noch unbekannt sind. Da kannst dich quasi kaum schützen.
12 Ein Kommentar von Squashschläger Steffen am 3 Nov, 2011
Das ist nicht so einfach mit den Hackern. Sicherheit am Pc ist bestimmt sehr wichtig.Es ist ein Katz und Maus Spiel.