Vorheriger Artikel Nächster Artikel

5 Schritte gegen Angreifer: So erhöhst du die Security deiner WordPress-Seite

Aus dem
t3n Magazin Nr. 36

06/2014 - 08/2014

Jetzt kaufen
5 Schritte gegen Angreifer: So erhöhst du die Security deiner WordPress-Seite

ist in der Standardinstallation – also ohne Plugins und von Drittanbietern – ein recht sicheres System. Aber allein aufgrund seiner großen Verbreitung ist es ein lohnenswertes Ziel für Angreifer. Daher sollte sich jeder Betreiber einer WordPress-Website mit Sicherheitsaspekten auseinandersetzen.

WordPress: Sicherheit von Anfang an

Die Absicherung von WordPress fängt bereits bei der Installation an. So müssen WordPress-Nutzer schon beim Anpassen der Konfigurationsdatei (wp-config.php) Sicherheitsschlüssel auf der dafür eingerichteten Website generieren. Dabei sollte man sich die Mühe machen, sichere Schlüssel (Secret Keys) zu erzeugen und in die wp-config.php einzutragen – sie spielen später eine wichtige Rolle bei der Verschlüsselung der Login-Daten in den Cookies.

Auch während des Installationsprozesses lässt sich das Präfix für die Datenbanktabellen ändern. Standardmäßig steht hier „wp_“. Daraus wird später in der Datenbank zum Beispiel „wp_posts“ oder „wp_comments“. Wer das „wp_“ zu etwas Individuellem ändert – etwa „projektname_“ oder „ihr_name_“ –, macht seine WordPress-Anwendung zu einem schwerer zu fassenden Ziel für Angreifer. Auch für den Benutzernamen und das Passwort, das man beim Installationsvorgang für den Admin-Account eingeben muss, sollten sich WordPress-Installation etwas Individuelles überlegen, etwa den Vor- oder Spitzname. Aber auf keinen Fall sollten sie „admin“, „demo“, „test“, „wordpress“, „webmaster“ oder Ähnliches verwenden. Denn Brute-Force-Attacken sind unter anderem auf genau solche Nutzernamen spezialisiert. Bei der Wahl eines sicheren Passworts unterstützt Sie WordPress. Das von Ihnen angegebene Passwort wird in vier Sicherheitsstufen eingeteilt: sehr schwach, schwach, mittel und stark.

Ausgefallene Benutzernamen und Passworte sind ein wichtiger Schutz. WordPress zeigt daher mit vier Signalen an, wie sicher ein Passwort ist.
Ausgefallene Benutzernamen und Passworte sind ein wichtiger Schutz. WordPress zeigt daher mit vier Signalen an, wie sicher ein Passwort ist.

Falsche Anmeldeversuche begrenzen

Auch mit Hilfe von Erweiterungen, die die Anzahl ungültiger Anmeldeversuche innerhalb eines festgelegten Zeitraums verhindern, lässt sich die Sicherheit einer WordPress-Installation erhöhen. Ein Beispiel eines solchen Plugins ist „Limit Login Attempts“.

Brute-Force-Angriffe probieren mit Hilfe purer Rechnerkraft so lange alle möglichen Kombinationen aus, bis sie die richtigen Nutzernamen und Passworte erraten haben. Eine Beschränkung der möglichen Login-Versuche pro Zeiteinheit in Verbindung mit einer Zwangspause für Anmeldungen macht es diesen Angreifern wesentlich schwerer.

Mit Sicherheit unterwegs bloggen

Wer oft von unterwegs aus schreibt, vielleicht sogar von wechselnden Rechnern aus, sollte dies nicht über den Administrator-Account tun. Sicherer ist es, einen Account mit Redakteur- oder Autoren-Rechten zu erstellen und mit diesem die Inhalte einzustellen.

Angreifer, die unterwegs genutzte Accounts hacken, erlangen somit keine administrativen Rechte, die zum Beispiel für die De- und Installation von Plugins und Themes notwendig sind. Sie können lediglich auf die Inhalte zugreifen. Bei regelmäßigen Backups kommt es so schlimmstenfalls zu einem minimalen Verlust. Viel ärgerlicher wäre es, wenn der Angreifer über die Admin-Rechte die WordPress-Installation in eine Viren- und Spam-Schleuder verwandeln würde.

Sicherheit beginnt bei der WordPress-Installation, etwa bei den Sicherheitsschlüsseln für das Anpassen der Konfigurationsdatei, die hier zu sehen sind.
Sicherheit beginnt bei der WordPress-Installation, etwa bei den Sicherheitsschlüsseln für das Anpassen der Konfigurationsdatei, die hier zu sehen sind.

WordPress: Plugins und Themes sicher einsetzen

WordPress-Plugins sollten generell nur mit Bedacht zum Einsatz kommen und nicht nach dem Motto „viel hilft viel“. Das hat zwei Gründe:

  1. Je größer die Anzahl der Plugins, desto wahrscheinlicher kommen sich diese untereinander in die Quere und/oder verlangsamen das System.
  2. Die allermeisten Plugins stammen von Drittanbietern. Viele dieser Autoren sind erfahrene Programmierer. Aber da es vergleichsweise einfach ist, ein Plugin zu entwickeln, erstellen auch viele ambitionierte Feierabend-Programmierer die Erweiterungen. Dabei kann ein Sicherheitsrisiko entstehen, denn nicht alle verstehen es, ihre Plugins auch tatsächlich sicher zu machen.

Alle eingesetzten Plugins sollten deshalb auch aus dem offiziellen Verzeichnis von WordPress stammen. Hier muss sich jeder Autor registrieren, der ein Plugin zur Verfügung stellen möchte. Ist irgendetwas an der Erweiterung nicht in Ordnung, wird das früher oder später jemandem in der großen Community auffallen und entsprechend auf der WordPress-Website kommentiert.

Auch die Anzahl der Downloads, die Zahl und Qualität der Bewertungen sowie die letzten zehn Foren-Beiträge auf der Übersichtsseite eines Plugins geben Anhaltspunkte für die Qualität eines Plugins und machen auf eventuelle Fehler oder Sicherheitslücken aufmerksam. Analog verhält es sich übrigens mit den Themes. Wer kostenlose Themes testen möchte, sollte sich diese ebenfalls aus dem offiziellen Verzeichnis holen.

Plugins wie „Limit Login Attempts” schützen vor Brute-Force-Attacken, indem sie nach einer bestimmten Anzahl von falschen Anmeldungen innerhalb einer bestimmten Zeit eine Zwangspause für einen Nutzernamen verordnen.
Plugins wie „Limit Login Attempts” schützen vor Brute-Force-Attacken, indem sie nach einer bestimmten Anzahl von falschen Anmeldungen innerhalb einer bestimmten Zeit eine Zwangspause für einen Nutzernamen verordnen.

Auf dem Laufenden bleiben

Neue Updates für WordPress, Plugins und Themes sollte man der Sicherheit zuliebe immer möglichst zeitnah einspielen. Und natürlich sollten Betreiber einer WordPress-Website sicherheitsrelevante Nachrichten verfolgen. Hierfür eignen sich vor allem der deutsche oder der englische WordPress-News-Aggregator, um jederzeit gut gerüstet zu sein und notfalls schnell reagieren zu können.

Weitere Sicherheitsmaßnahme: Admin-Bereich absichern

Die fünf genannten Maßnahmen sind mehr als ausreichend und bieten einen guten Schutz gegen diverse Angriffe. Doch gibt es noch weitere Möglichkeiten. Zum Beispiel lässt sich die Login-Datei (wp-login.php) serverseitig absichern. Beim Apache-Webserver erstellt man dazu eine .htaccess- und .htpasswd-Datei, etwa mit dem Generator von All-Inkl. Komfortabler ist ein Plugin, das die WordPress-Installation mit einer so genannten Zwei-Wege-Authentifizierung nachrüstet.

Hier gibt es beispielsweise Clef oder auch Google Authenticator. Das Prinzip dahinter dürfte vielen bekannt sein: Neben den üblichen Zugangsdaten gibt man beim Einloggen auch noch einen Code ein, den ein Dienst oder eine App erzeugt. Angreifer müssen somit nicht nur die Zugangsdaten der WordPress-Installation kennen, sondern auch die des externen Dienstes. Logischerweise hilft ein solcher Dienst nur, wenn man verschiedene Passwörter verwendet.

Fazit

WordPress-Anwendungen lassen sich schon mit wenigen, schnellen Schritten viel sicherer machen. Das Fundament ist die sichere Installation: der Einbau der Sicherheitsschlüssel, die Wahl eines individuellen Nutzernamens und eines sicheren Passworts sowie ein individuelles Präfix für die Datenbank-Tabellen.

Mit einer Erweiterung wie „Limit Login Attempts“ begrenzt man zudem die ungültigen Anmeldeversuche und hält so automatische Angreifer auf Abstand. Blogger, die viel unterwegs sind, sollten sich einen separaten Redakteurs- oder Autoren-Account zulegen. Wer sich dann auch noch zu neuen Sicherheitsaspekten auf dem Laufenden hält, sorgt dafür, dass die Sicherheit seiner WordPress-Installation auch künftig gewährleistet bleibt.

Zudem gibt es noch viele weitere Maßnahmen, um die Sicherheit bei WordPress zu erhöhen. Dazu gehören zum Beispiel der serverseitige Passwortschutz für die Login-Datei oder Plugins, die die WordPress-Installation um eine Zwei-Wege-Authentifizierung erweitern.

Links und Literatur

Softlink 3445
  1. 1 http://t3n.me/wp-key
    Beispiel Sicherheitsschlüssel
  2. 2 http://t3n.me/wp-sicherheit
    Über die Bedeutung der Sicherheitsschlüssel
  3. 3 http://t3n.me/brute-force-attacken
    Brute-Force-Attacken auf typische Nutzernamen
  4. 4 http://t3n.me/limit-login-perun
    Limit Login Attempts
  5. 5 http://t3n.me/wp-nutzerrechte
    WordPress-Nutzerrechte
  6. 6 http://wordpress.org/plugins/
    WordPress-Plugin-Seite
  7. 7 http://wordpress.org/themes/
    Übersicht WordPress-Themes
  8. 8 http://planet.wordpress.org
    WordPress Planet
  9. 9 http://planet.wpde.org
    Planet WordPress
  10. 10 http://all-inkl.com/wichtig/htaccessgenerator/
    Login-Datei auf Apache-Servern sichern
  11. 11 https://wordpress.org/plugins/wpclef/
    Plugin Clef
  12. 12 https://wordpress.org/plugins/google-authenticator/
    Google Authenticator
Abonniere jetzt t3n-News über WhatsApp und bleib mobil auf dem Laufenden!
t3n-News via WhatsApp!
Vorheriger Artikel Zurück zur Startseite Nächster Artikel
17 Antworten
  1. von Andreas am 28.10.2014 (14:20 Uhr)

    Das sind aber gerade einmal ein paar Basics. Da kann und sollte man noch wesentlich mehr tun um seine Webseite zu schützen.

    Antworten Teilen
    • von Vlad am 28.10.2014 (20:35 Uhr)

      Hallo Andreas,

      "Da kann und sollte man noch wesentlich mehr tun um seine Webseite zu schützen."

      Ja, man kann sich auch einen Aluhut aufsetzen ;-)

      Antworten Teilen
  2. von Jan am 28.10.2014 (18:23 Uhr)

    Das Plugin Limit Login Attempts hat ja schon seit über zwei Jahren kein Update mehr bekommen. Und im Support Board wird ja schon über Sicherheitslücken im Plugin orakelt. Ist es trotzdem noch empfehlenswert?

    Ich habe es mich nicht getraut einzusetzen und habe stattdessen folgendes Plugin benutzt: Login LockDown ... Bisher hat es seinen Dienst gut verrichtet. Gibt es weitere Erfahrungen dazu?

    Antworten Teilen
    • von Vlad am 28.10.2014 (20:41 Uhr)

      Hallo Jan,

      der Artikel ist vom Juni. Mittlerweile empfehle ich auch eher Login LockDown. Das kann sich aber wieder mal ändern, da auch Login LockDown eine Zeit lang mehr als 2 Jahre nicht aktualisiert wurde. Deswegen bin ich dann vor ca. 1 Jahr übergegangen, Limit Login Attempts zu empfehlen.

      Antworten Teilen
      • von Jan am 29.10.2014 (15:42 Uhr)

        Danke dir für die Info, Vlad! Wirklich schade, dass so wichtigen Plugins nicht regelmäßiger gewartet werden.

        Teilen
  3. von Andreas Hecht am 28.10.2014 (19:24 Uhr)

    Die Wahl des Nutzernamens ist nicht wirklich wichtig, der darf durchaus auch "admin" lauten. Jeder durchschnittlich begabte User kann den (Admin) Nutzernamen einer WordPress-Seite innerhalb von 15 Sekunden herausfinden.

    Man muss einfach nur ein "deinewebseite.de/?author=1" in das Adressfeld der WordPress-Seite eingeben, eventuell die Nummer noch auf 2 erhöhen und schon wird der Admin-Benutzername in der Adressleiste des Browsers angezeigt. Dann braucht es nur noch das Passwort, um die Seite zu hacken.

    Antworten Teilen
    • von Vlad am 28.10.2014 (20:38 Uhr)

      Hallo Andreas,

      "Man muss einfach nur ein "deinewebseite.de/?author=1" in das Adressfeld der WordPress-Seite eingeben, eventuell die Nummer noch auf 2 erhöhen und schon wird der Admin-Benutzername in der Adressleiste des Browsers angezeigt. Dann braucht es nur noch das Passwort, um die Seite zu hacken."

      Genau! Und genau darum geht es auch. Keine der o.g. Maßnahmen liefert die absolute Sicherheit ... die ist in der Praxis gar nicht möglich. Es geht lediglich darum, dass man es dem Angreifer schwerer macht.

      Antworten Teilen
      • von irgendeinem Spinner am 28.10.2014 (23:10 Uhr)

        Security through obscurity hat noch niemandem geholfen. Verschleierung erhöht die Sicherheit eben nicht, das sollte mittlerweile bei sämtlichen Entwicklern angekommen sein.

        Teilen
    • von Doger am 29.10.2014 (13:05 Uhr)

      Hallo Andreas,

      da hast Du schon Recht.

      Trotzdem bleibt es eine Tatsache das Bots immer erst den Admin Administrator user durchtesten, sieht man immer schön in den Sucuri logs.

      Antworten Teilen
  4. von Daniela am 29.10.2014 (09:00 Uhr)

    Wer die absolute Sicherheit haben will, muß halt den Netzstecker ziehen :)

    Auch wenn für mich persönlich diesmal nichts Neues dabei war, so finde ich solche Artikel immer wieder sehr gut. Es gibt immer Menschen die mit Wordpress gerade anfangen, sich noch nicht auskennen und denen kann man ja diesen Artikel einfach weiterempfehlen, denn er ist für Jeden verständlich geschrieben.

    Antworten Teilen
  5. von Petra am 30.10.2014 (12:30 Uhr)

    bisher nutze ich Limit Login Attempts und bin damit recht zufrieden, allerding habe ich die Sperrzeiten um einiges verlängert, damit mein Postfach nicht mehr vor Meldungen gescheiterter Anmeldeversuche überqillit

    Antworten Teilen
  6. von Sylsine am 08.11.2014 (17:11 Uhr)

    Man kann ja eigentlich nicht oft genug darüber schreiben, mit welchen Maßnahmen ein WordPress-Blog vor Angreifern geschützt werden kann. Daher danke Vlad. :-)
    Und besser 2-3 Lösungen umsetzen, als gar keine.

    Die von Dir angeprochene "Zwei-Wege-Authentifizierung müsste doch eigentlich das Plugin "Limit Login Attempts" überflüssig machen, oder täusche ich mich da?

    Den "author"-Link (0-9) leite ich per .htacess auf meine Sitemap um.

    Kürzlich habe ich meinen Blog neu aufgesetzt und sofort die Chance genutzt, zusätzlich den Präfix in der Datenbank zu ändern und nicht wie üblich "wp_" zu verwenden.

    Antworten Teilen
  7. von RolfSchweizer am 16.05.2015 (10:22 Uhr)

    Also ich kann auch nur definitv zustimmen. Habe meinen Blog mit den wichtigen Limit Attemps geschützt, dazu noch die wp-config verlagert und die Datenbank (Präfix) richtig eingerichtet.
    Ich denke, man kann aber auch zu tode sichern, was auf die Performance extrem sich auswirkt.

    Mittlerweile habe ich über 1000 WP's installiert und noch keiner ist gehackt worden.
    Aber die Angriffe sind schon extrem, habe diese auf nem kleinen "unscheinbaren" Blog mal verfolgt.

    Antworten Teilen
  8. von Torsten_Kelsch am 29.04.2016 (16:10 Uhr)

    Ja, diese Tipps sind gut und umfassen die Mindestmaßnahmen, die man ergreifen sollte, und sie sind für Normalbenutzer leicht durchzuführen.

    Allerdings wäre es doch besser, Angreifer gar nicht erst bis zu WordPress durchkommen zu lassen. Bei einem selbst gehosteten Blog, das man alleine betreibt, kann man beispielsweise den Zugriff auf das Login auf die eigene IP-Adresse beschränken. In die Datei .htacess im Falle eines Apache-HTTP-Servers kann man eintragen (ich hoffe, der Code wird nicht zerschossen):


    Order deny,allow
    Deny from all
    Allow from xx.xxx.


    Wobei die x-Zeichen die ersten beiden Kolonnen der IP-Adresse(n), die man vom Internet-Service-Provider zugewiesen bekommt, darstellen sollen.

    Antworten Teilen
    • von Torsten_Kelsch am 29.04.2016 (16:11 Uhr)


      Order deny,allow
      Deny from all
      Allow from xx.xxx.

      Antworten Teilen
      • von Torsten_Kelsch am 29.04.2016 (16:12 Uhr)

        [öffnende spitze Klammer]Files ~ ^(.*)?wp-login\.php(.*)$[schließende spitze Klammer]
        Order deny,allow
        Deny from all
        Allow from xx.xxx.
        [öffnende spitze Klammer]/Files[schließende spitze Klammer]

        Teilen
  9. von Trinar am 12.07.2016 (15:49 Uhr)

    Wichtig ist sicher auch die Aktivierung von automatischen Backups, beispielsweie mit dem Plugin UpdraftPlus, dass diesen Service sogar kostenlos ermöglicht. Dadurch kann man sich eine Menge Zeit und Ärger ersparen!

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Aktuelles aus dem Bereich WordPress
13 schicke HTML- und WordPress-Templates für deine Webvisitenkarte
13 schicke HTML- und WordPress-Templates für deine Webvisitenkarte

Nicht jeder braucht gleich eine eigene umfangreiche Homepage. Den meisten fehlen dafür auch schlicht die Inhalte. Aber für viele Webworker empfiehlt es sich, zumindest eine Webvisitenkarte … » weiterlesen

Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“
Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“

In der kalifornischen Stadt Palo Alto, bekannt vor allem als Konzernsitz von Apple, patroulliert ein Roboter vor einem Einkaufszentrum. Der Knightscope hat keine Waffen wie der „RoboCop“, kann … » weiterlesen

Landingpage-Templates: 20 Vorlagen zur Conversion-Optimierung
Landingpage-Templates: 20 Vorlagen zur Conversion-Optimierung

Mit der richtigen Landingpage steigerst du die Zahl von Anmeldungen oder Downloads – trotz unveränderter Besucherzahlen. Dabei helfen können dir Landingpage-Templates – und von denen stellen … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?