Web

WordPress Security Tutorial

WordPress Blogs absichern

Sascha Thattil ist begeisterter Blogger und Indien-Experte. Als Geschäftsführer von YUHIRO baut er für Agenturen, Softwareunternehmen und IT-Abteilungen, Digital Remote Teams in Indien auf.
Unser Wordpress Tutorial zeigt, wie Sie Blogs zuverlässig vor Bedrohungen aller Art schützen können.
WordPress Installationen werden oftmals von Hackern angegriffen.
WordPress Installationen werden oftmals von Hackern angegriffen.
Foto: David M G - shutterstock.com

Als eines der am weitesten verbreiteten Content Mangement Systeme am Markt ist WordPress auch bei Hackern ein beliebtes Ziel. Unternehmen wie auch Privatleute tun gut daran, Ihre Webseiten abzusichern und häufige Schwachstellen rechtzeitig zu schließen. Unser Tutorial zeigt Schritt für Schritt, worauf Sie achten müssen.

Als erste Maßnahme empfielt sich die Einrichtung eines zweiten Logins mit einer HTACCESS Datei. Damit erzeugt man einen weiteren Schutz für die Login Seite, welche meist hier verortet ist:https://ihreDomain.de/wp-admin

Der Grund: Besonders die /wp-admin Login Seite wird von Hackern genutzt, umBrute Force-Angriffe zu starten. Dabei werden unterschiedliche Loginkombinationen im Sekundentakt ausgeführt. Mit dem zweiten zusätzlichen HTACCESS-Login verhindert man solche Attacken zumindest teilweise.

Was zunächst kompliziert klingt, kann auch von einem Laien umgesetzt werden.

a) Hier die Schritte für das zusätzliche Login:

Die Anleitung bitte genau befolgen! Auch kleine Fehler, wie zum Beispiel ein fehlender Punkt (.), können die ganze Website lahm legen. Vor der Absicherung sollte ein Backup der ganzen WP Installation (Datenbank, Serverdateien) vorgenommen werden. Werkzeuge wie derMySQL DumperundBackupBuddykönnen hier unterstützen.Zusätzlich sollte auch ein separates Backup der .htaccess Datei erstellt werden, so dass diese wieder hochgeladen werden kann, falls ein Fehler bei der Änderung gemacht wurde.

1) HTACCESS Datei erstellen

Auf den meisten sogenannten Root Verzeichnissen der WP Installation im Webhosting gibt es eine ".htaccess" Datei.

DIGITAL INNOVATION Award - bewerben Sie sich jetzt!

Tipp: Wenn man nicht weiss wo sich das Root Verzeichnis befindet, kann man es sich vom Webhosting Support zeigen lassen. Darüber hinaus lässt sich erfragen, ob es bereits eine .htaccess Datei im Root Verzeichnis gibt.

Sollte diese jedoch fehlen, lässt sie sich einfach erstellen.

Hierfür einfach eine Notepad-Datei öffnen/erstellen und im Anschluss mit dem Dateinamen ".htaccess" auf dem Computer speichern. Wichtig: es ist ".htaccess" und nicht "htaccess". Der Punkt am Anfang des Dateinamens hat seine Daseinsberechtigung.

2) Nutzernamen und Passwort festlegen, mit der .htpasswd Datei

Genau wie bei der .htaccess Datei sollte man eine neue Notepad-Datei öffnen und als ".htpasswd" abspeichern.

Für diesen Schritt gibt es zudem eine einfache Abkürzung.

Mit der Website htaccesstools.com lassen sich der Nutzername und das Passwort erstellen.

Den eingegebenen Benutzernamen und das Passwort merken.

Klickt man dann auf den Button "Create .htpasswd file" wird nun die Zeile erstellt, welche man dann in die .htpasswd Datei kopieren muss.

Nun lädt man auch diese Datei in das Root Verzeichnis der WordPress Installation.

3) .htpasswd mit der .htaccess Datei verbinden

Um den Login zu aktivieren, muss man folgenden Code in die .htaccess Datei kopieren

------------------------

<FilesMatch "wp-login.php">

AuthName "Authorized Only"

AuthType Basic

AuthUserFile /home/username/.htpasswd

require valid-user

</FilesMatch>

------------------------

Dabei sollte der Teil "/home/username/.htpasswd" auf den jeweiligen Hostingpfad der eigenen Installation verweisen. Im Zweifel sollte man den Pfad beim Hosting Support erfragen.

So sieht die Login Absicherung aus
So sieht die Login Absicherung aus
Foto: YUHIRO.DE

Wenn man nun auch die .htaccess Datei hochgeladen hat, ist der zusätzliche Login aktiv und man ist gegenüber einem Großteil der Brute Force Attacken geschützt.

b) Nutzung eines Sicherheits-Plugins

Es existieren sehr viele kostenfreie wie auch kostenpflichtige Plugins, die helfen die Sicherheit der eigenen Wordpress-Installation zu verbessern. Sie lassen sich überWordPress.orgherunterladen.

Eines der besten Plugins istiThemes Security(früher als Better WP Security bekannt).

Für die meisten Nutzer reicht die kostenfreie Variante.

Hier sollte man folgendes aktivieren:

1) Hide Login & Admin

Mit dieser Funktionalität ändert man die URL zum WordPress Login. Auf diese Weise wissen Angreifer nicht, wo sie suchen müssen, denn der Login einer WP Installation ist fast immer unter /wp-admin zu finden. Sogar ein Laie könnte daher einen Angriff starten.

Zum Beispiel kann man mit der iThemes Funktionalität "Hide Login & Admin" die URL vonwww.domain.de/wp-adminzuwww.domain.de/meinsichererzugangändern. Damit ist man vor vielen Angriffen geschützt.

2) Brute Force Protection

Trotz der am Anfang dieses Beitrags beschriebenen .htaccess-Absicherung kann es sein, dass man Brute Force Attacken ausgesetzt ist.

Mit der Einschaltung der Funktionalität "Brute Force Protection" beschränkt man die Möglichkeit mehrere Dutzend oder gar Tausende automatisierte Einloggversuche zu starten.

Am besten limitiert man die Login Versuche auf 3 bis 4. Nach 4 Fehlversuchen wird die IP des Angreifers für eine vorgegebene Zeit gesperrt.

3) 404 Fehler Erkennung

Hacker suchen mit Bots und erzeugen dadurch 404 Fehlerseiten
Hacker suchen mit Bots und erzeugen dadurch 404 Fehlerseiten
Foto: YUHIRO.DE

Meist versuchen Angreifer mit Bots die WordPress Installation nach Sicherheitslücken zu durchsuchen. Zum Beispiel um die versteckte Login-Seite zu finden.

Dies verursacht jedoch viele sogenannter 404-Fehler. Die IP's solcher Nutzer werden dann vom Plugin gesperrt.

4) File Change Detection

Darüber hinaus kann man sich noch täglich über Änderungen der WP Dateien informieren lassen.

Das Plugin sendet hierbei Daten über mögliche Angriffe per Email Update.

Man sollte dabei jedoch beachten, dass Plugin-Updates und das Leeren des Caches als Dateiänderungen erkannt werden. Diese Änderungen sind natürlich keine Angriffe und können ignoriert werden.

Wenn man jedoch lange keine Updates durchgeführt hat und dennoch Änderungsmitteilungen erhält, sollte man weitergehend recherchieren.

c) Grundsätzliche Maßnahmen

Zusätzlich zu den oben genannten empfehlen sich einige grundsätzliche Maßnahmen:

1) Weniger ist mehr

Besonders Installationen mit vielen Plugins sind anfällig für Angriffe und empfänglich für Softwareviren.

Daher ist es besser die Zahl der Plugins so gering wie nötig zu halten.

Auch die Zahl der installierten Themes kann man auf zwei oder drei reduzieren.

2) Nur kompatible Plugins nutzen

Im WordPress Dashboard wird jeweils angezeigt ob Plugins kompatibel mit der derzeitigen WordPress-Version sind.

Ist dies nicht der Fall, sollte man auf diese Add-Ons wenn möglich verzichten.

3) Alles Up-To-Date halten

Plugins, Themes und auch die WordPress Versionen ändern sich von Zeit zu Zeit. Hier sollte man relativ zeitnah Updates durchführen.

Tipp: Bei Plugin Updates sind Backups eventuell nicht notwendig. Vor WP Versionsänderungen oder Theme-Upgrades sollte man jedoch ein Backup der kompletten Installation vornehmen.

Fazit

WordPress ist ein sehr spannendes Werkzeug, um Webseiten zu bauen und Inhalte zu pflegen.

Durch die weite Verbreitung ist es jedoch ein Ziel von Hackern weltweit. Wenn man die Tipps aus diesem Tutorial berücksichtigt, kann man sich vor den meisten Angriffen schützen oder zumindest das Risiko eines erfolgreichen Angriffs deutlich reduzieren.