Von Angriffen auf Blogs hörte man bisweilen glücklicherweise noch nicht allzu viel. Ist man jedoch erst einmal Opfer einer Attacke geworden, wäre man sicher froh gewesen die eine oder andere vorbeugende Maßnahme getroffen zu haben, die den Erfolg des Angriffs hätte verhindern können. Ein paar Tipps zur Sicherheit unter WordPress.
Das Thema Sicherheit fristet bei den meisten Bloggern ein recht stiefmütterliches Dasein, da, so behaupte ich jetzt einmal, 90% von ihnen in 90% der Fälle noch nie Opfer eines Angriffs oder Virus geworden sind. Zugegebenermaßen verleitet einen der Mangel an schlechten Erfahrungen es einfach dabei zu belassen ein Passwort zu haben, welches als Bollwerk gegen alles und jeden fungieren soll und sich den interessanteren Dingen beim Bloggen zu widmen. Die Größe des eigenen Blogs spielt dabei auch eine entscheidende Rolle – bei einem kleinen nicht-kommerziellen Projekt ist der Schaden nur für den armen Blogbetreiber messbar und schmerzhaft. Dabei ist es nicht schwer mit ein paar Kniffen hier und da die Sicherheit seines WordPress Blogs signifikant zu erhöhen.
Allgemeine Tipps
Merkliste
- Sicherheitspdates zeitig installieren
- Plugins regelmäßig aktualisieren
- Starke Passwörter verwenden
- Sicherheitskeys in wp-config.php eintragen
- Tabellen Präfixe ändern.
Die einfachste Möglichkeit seinen Blog zu schützen ist immer die aktuellste Version aufgespielt zu haben. Installiert relevante Sicherheitsupdates möglichst schnell und ihr habt schon viel gewonnen. Das kann man einfach nicht oft genug sagen und gilt natürlich (vielleicht auch vor allem) für eure Plugins!
Des Weiteren legt WordPress bei jeder neuen Installation einen Standardbenutzer “admin” an, wie man es auch von Windows kennt. Tut euch selbst einen Gefallen und erstellt schlicht und einfach einen neuen Benutzer mit Administrator Rechten, meldet euch mit diesem neu an und löscht das Standardkonto “admin”. Vor dem Löschen werdet ihr auch gefragt ob ihr Beiträge des zu löschenden Nutzers übernehmen oder ebenfalls löschen wollt, natürlich nur sofern schon Artikel vorhanden sind.
Achtet auch auf ein starkes Passwort. Wenn ihr es euch nicht merken könnt oder wollt empfehle ich euch KeePass, ein sehr guter und vor allem sicherer Passwort Manager. Oder schaut einmal hier vorbei, falls ihr eine Alternative zu KeePass vorziehen würdet.
Schaut in eurer wp-config.php nach ob ihr auch die Sicherheitskeys (Authentication Unique Keys) eingetragen habt. Falls dem nicht so ist, könnt ihr hier welche generieren und anschließend eintragen.
Habt ihr euer Blog noch gar nicht installiert empfiehlt es sich bei der Installation nicht die Standard Tabellen Präfixe “wp” für eure Datenbank zu nehmen sondern irgendetwas Kryptisches. So erschwert ihr automatisierte Angriffe auf die Datenbank.
Plugins fuer mehr Sicherheit
Es gibt eine handvoll sehr guter Plugins, die ein Blogsystem wirklich sicherer machen ohne dass man Fachkenntnisse benötigen würde. Und an dieser Stelle sollte man wirklich nicht anfangen Ressourcen sparen zu wollen, zwecks Performanceoptimierung.
Login LockDown
Ein ziemlich effektives Plugin für mehr Schutz eures WordPress Systems ist “Login LockDown” von Bad Neighborhood, welches eurem Blog ein paar simple aber extrem wirksame Sicherheitsvorkehrungen hinzufügt. Es zeichnet zum Einen die IP-Adresse mitsamt einem Zeitstempel bei jedem fehlgeschlagenen Anmeldeversuch auf. Überschreitet die Anzahl der fehlgeschlagenen Logins der gleichen IP ein frei wählbares Limit, wird die Login Funktion für diese Adresse deaktiviert. Die Anzahl der maximal möglichen Versuche sich einzuloggen kann selbstverständlich selbst gewählt werden, ebenso wie die Zeitspanne der Sperrung. Zudem wird auf Wunsch auch die Fehlerausgabe bei fehlgeschlagenen Anmeldungen abgeschaltet – ein wichtiges Indiz für potentielle Eindringlinge.
WP-Plugin Login LockDown
Sperrt die Anmeldung nach zu vielen falschen Logins um unliebsame Eindringlinge vor der Tür stehen zu lassen und maskiert die Fehlermeldungen des Login Bereiches um keine Rückschlüsse für Cracker zu hinterlassen.
Download, Autor
Limit Login Attempts
Das Plugin Limit Login Attempts schlägt in dieselbe Kerbe wie Login LockDown, zumindest laut der Features Liste. Allerdings habe ich es noch nicht selber ausprobiert, möchte es aber trotzdem als Alternative nennen, falls jemandem Login LockDown nicht beliebt.
WP-Plugin Limit Login Attempts
Ähnlich wie Login LockDown sperrt Limit Login Attempts nach einer bestimmten Anzahl fehlgeschlagener Anmeldungen den Login-Bereich. Einziger Unterschied: Es gibt eine optionale Benachrichtigung per Email.
Download, Autor
AntiVirus
Sollte doch der Fall eintreten, dass man sich einen Virus oder ungebetenen Gast eingefangen/eingeladen hat, gibt es seit einiger Zeit einen Virenscanner für WordPress vom bekannten Entwickler Sergej Müller. Eventuell hat man mit diesem Helfer eine Chance um mittlere Katastrophen wie hier zu verhindern. Zumindest serverseitig gesehen. Der Virenscanner prüft eure Template Dateien und untersucht die Permalinkstruktur auf ein bekanntes Sicherheitsrisiko. Wird etwas gefunden, kann man sich die betroffene Stelle im Code genauer ansehen und mit offline Dateien vergleichen oder aber als “false positive” deklarieren. Eine Email Benachrichtigung ist ebenfalls enthalten.
WP-Plugin AntiVirus
AntiVirus scannt eure Template Dateien und prüft die Permalinkstruktur eures Blogs.
Ein optionaler täglicher Email Rapport rundet die Software ab.
Download, Autor
Secure WP
Ein beliebter und ebenso unnötiger Angriffspunkt ist die WordPress Version, die überall im Quelltext auftaucht und auch im Feed. Dies hat vor allem statistische Hintergründe, da sehr leicht ermittelt werden kann welche Versionen wie oft im Einsatz sind von Seiten der WordPress Entwickler, bietet aber zugleich eine einfache Möglichkeit bekannte Sicherheitslücken effektiv bei dieser oder jener Versionsnummer zu suchen. Es gibt dazu schon einen sehr guten Artikel von Sergej Müller, der eine einfache Lösung von Hand vorschlägt aber auch auf ein kleines Plugin namens Secure WP von Frank Bueltge verweist. Das Plugin kommt ohne Einträge in der Datenbank aus und ist damit ein echtes Leichtgewicht.
WP-Plugin Secure WP
Secure WP entfernt jedwede Information bezüglich der verwendeten WordPress Version, auch aus dem Feed.
Die Entfernung der Versionsinformationen kann auch von Hand mit Hilfe eines Filter realisiert werden.
Download, Autor
htaccess bietet zusaetzlichen Schutz
Neben dem normalen Login in WordPress empfiehlt es sich auch noch einen zusätzlichen Passwortschutz per htaccess anzulegen. Solltet ihr daran Interesse haben empfehle ich euch folgende Artikel zu lesen. “.htaccess Passwortschutz für wp-admin” bei Crazy Girls Tipps und “Wordpress Sicherheit: wp-admin durch .htaccess schützen” bei Reiffix. Einen Generator für die benötigte .htpasswd findet ihr hier.
Und nu? Was nun?
Es gibt noch einen ganzen Haufen nützlicher Tipps & Tricks und ich habe mir unzählige Artikel durchgelesen, die mir mehr oder weniger behilflich waren. Dieser Beitrag basiert auf vielen eigenen Erfahrungen und dem was ich durch andere Artikel gelernt habe. Meine Intention war es dieses Wissen einmal zusammenzufassen und somit einen kleinen Leitfaden zu erstellen. Abschließend lege ich euch noch ausdrücklich die folgenden Links ans Herz.
Internet
- Sicherheit von WordPress erhöhen: Login LockDown.
- WordPress Login Sicherheit – Secure WP (Plugin)
- Sicherheit in WordPress: WP-Version aus dem Feed und Quelltext entfernen
- Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs
- Sicherheit / WordPress absichern
- WordPress sicherer machen
Alternativ gibt es auch gute Bücher ganz allgemein zum Thema WordPress, die euch interessieren könnten.
Bücher
- WordPress – Das Praxisbuch
- WordPress: Das Einsteigerseminar
- Das WordPress-Buch. Vom Blog zum Content-Management-System
- WordPress. Weblogs einrichten und administrieren
Bildquelle: © S. Hofschlaeger / PIXELIO
3 Comments
Leave a Reply
Related Posts
WordPress Plugin – Memory Usage
20/09/2009 • Gerade habe ich ein nettes kleines Helferlein für WordPress entdeckt: WordPress Memory Usage. Es zeigt euch im Dashboard eures Blogs den aktuellen Speicherverbrauch, der durch sämtliche eurer anderen Plugins verursacht wird. Mir kam jetzt schon öfters zu Ohren, dass das Limit vieler Hoster im Normalfall bei 32MB liegt, was seit WordPress mehr
Wahl zum beliebtesten Wordpress Plugin 2009
25/11/2009 • Matthias vom Meinungs Blog hat nach der klasse Technorati Idee mal wieder eine super Aktion aus dem Boden gestampft und da bin ich natürlich mit von der Partie. Deshalb ohne große Reden zu schwingen: Ich mache bei der Wahl zum beliebtesten Wordpress Plugin 2009 mit und das ist meine Liste der mehr
WordPress System Health
11/12/2009 • Damit der Patient WordPress auch immer schön gesund bleibt, gibt es ein nettes kleines Plugin über welches ich per Tanjas Artikel und einen Kommentar in Frank Bueltges Artikel gestoßen bin. Es nennt sich WordPress System Health und informiert einen von den allgemeinen Server Informationen, wie Nutzung des Arbeitsspeicher durch PHP, mehr
Wordpress Plugin Postalicious
20/10/2009 • Zur Zeit kommt es mir so vor, als ob das automatisierte veröffentlichen von Artikeln in Blogs gerade recht angesagt ist. Per Feedburners "Link Speisler" habe auch ich neue Links meines Kontos bei Delicious automatisch veröffentlichen lassen. Aber eben nur im RSS-Feed und nicht als eigenständigen Beitrag hier im Blog, trotz mehr
Recent Posts
Programmieren wie in den guten alten Zeiten
25/02/2010 • Meistens spricht ja Opa und Oma von den guten alten Zeiten, als alles einfach besser war. Was genau ist nicht so ganz klar aber irgendwie war es eben so. Beim Programmieren scheint diese Behauptung tatsächlich zu stimmen, wie ich festgestellt habe. Morgen bricht der letzte Tag meines Praktikums an und da mehr
CreaWriter
20/02/2010 • Zählt man sich zu den selbst hostenden Bloggern wird das Bloggen an sich des Öfteren zur Nebensache. Der Feed ist aus unerfindlichen Gründen nicht mehr valide, Pingbacks kommen nicht mehr an und wieso sind jetzt alle Kategorien verschwunden? Bei all den Kleinigkeiten mit denen man sich rumschlagen muss ist die mehr
ffffl*ckr – schoener als am Wuehltisch
18/02/2010 • Du findest Flickr ist eine klasse Sache aber es gibt dort einfach zu viel Mist? Du würdest gerne nur noch tolle Fotos finden, die auch noch genau deinen Geschmack treffen? Kein Problem mein Freund. Die Seite ffffl*ckr bietet dir genau das, indem sie sich ein genauso simples wie geniales Prinzip auf mehr
Geburtsrecht
16/02/2010 • Wer gerade mit sich selbst oder seinem Leben hadert - schaut euch diesen Kurzfilm an. One interesting fact is that the place where we filmed him entering the water was the exact location he broke his neck and became disabled 30 years ago. He told me that time and time again mehr
In der Computerbild wurde Keepass mit “mangelhaft” bewertet. Ich bezweifle, dass es gut ist ;)
Hm, da will ich jetzt aber schon wissen warum. Einfach nur mangelhaft sagt mir ja wenig. Was wurde denn bemängelt? Oder meinst du diesen Bericht hier?
In der c`t gab es bis jetzt nämlich immer nur positive Aussagen über KeePass.
Gruß
Jack
Über die Sicherheit von Wordpress hab ich mir auch schon viele Gedanken gemacht. Ich denke ein Passwort per htaccess setzen ist schon mal sehr effektiv.
Aber grundsetzlich das Wichtigste ist einen neuen User als admin anlegen und mit einem starken Passwort versehen. Dann nur mit einem anderen Namen posten, sodas keiner weiß wie der admin wirklich heißt. So mache ich das zumindest oft!