Eine gut funktionierende und sichere Webseite ist das A und O eines Unternehmens. Nicht auszudenken, was passiert, wenn eine Webseite gehackt wird: Es kann von Dritten zum Beispiel Schadsoftware auf den Server geladen, Inhalte geändert oder Daten gestohlen werden. Das schadet nicht nur dem Ruf, sondern auch den Umsätzen. Eine unsichere, gehackte Webseite sagt viel über die Unternehmenskultur aus. Um diesem massiven Image-Schaden vorzubeugen, haben wir hier ein paar Tips für Wordpress-Betreiber.
Tipp 1: Autorenseite deaktivieren
Die Wordpress Autorenseite gibt nähere Informationen über den Autor des Artikels Preis. Diese Informationen können in den falschen Händen Schaden anrichten. Author=1 ist in den allermeisten Fällen der User "admin". Durch iteratives Abfragen ist es einem Angreifer möglich, alle Usernamen einer Webseite zu identifizieren. Das wollen wir verhindern, um zum Beispiel erfolgreiche Bruteforce-Attacken zu vermeiden. In der Datei author.php des Themes fügen Sie also ganz am Anfang folgenden Code ein:
/* die Autorenseite nicht mehr aufrufbar machen*/
header("HTTP/1.1 301 Moved Permanently");
header("Location:http://example.com/");
exit;
Damit verhindern Sie, dass die Autorenseite weiterhin aufgerufen werden kann. Das Sicherheits-Plugin Wordfence übernimmt diese Aufgabe natürlich ebenfalls und noch vieles mehr. Wir nutzen es in jeder unserer Installationen und können es bedenkenlos weiterempfehlen.
Tipp 2: admin löschen
Der User "admin" sollte gleich zu Beginn gelöscht und durch einen anderen User mit Administrationsrechten ersetzt werden. Die meisten Angriffe auf die Administrationsoberfläche gehen davon aus, dass es einen User admin gibt. Überdies sollte ein User mit Administrationsrechten keine Artikel verfassen oder sonstwie öffentlich seine Identität preisgeben. Legen Sie für redaktionelle Arbeiten einen eigenen User an und gestatten Sie Redakteuren keine Admin-Rechte.
Wie man Userrechte ändert oder Benutzer löscht, finden Sie hier.
Tipp 3: Ändern Sie das Wordpress Tabellen-Präfix
Das Standard Tabellenpräfix der Datenbank-Tabellen für Wordpress ist wp_. Das ist bei Hackern und Scammern aber bekannt, und deshalb basieren viele Angriffe auf dieser Tatsache. Ändern Sie dieses Präfix um zahllose Attacken mit einfachen Mitteln zu verhindern.
Das Tabellenpräfix sollte VOR der Installation geändert werden, im Anschluss daran ist es eher umständlich und schwierig. Empfehlenswert ist ein Wert, der nicht so leicht zu erraten ist, zb. x3w_wp_. Der Großteil aller automatisierten Angriffe geht von Präfixen wie wp oder my_wp aus. Das Tabellenpräfix kann in der wp-config.php geändert werden.
Tipp 4: wp-config Datei ausserhalb der Documentroot legen
Dies erfordert seit Wordpress 2.6 kaum mehr Arbeit, erhöht aber die Sicherheit enorm. In der wp-config liegen die Passwörter und Security-Hashes im Klartext, das ist unsicher und sollte dadurch behoben werden, dass man diese Datei ausserhalb der Documentroot und somit ausserhalb des HTTP-Zugriffs legt.
Loggen Sie sich einfach über Ihr FTP-Programm auf ihrem Server ein und schieben Sie diese Datei eine Ebene höher. Wordpress ist so schlau und sucht dort selbständig nach der Datei, falls er sie nicht vorher in der Documentroot gefunden hat.
Fragen Sie Ihren Webmaster, falls Sie hier nicht weiterkommen. Wir helfen Ihnen natürlich auch gerne weiter!
Tipp 5: Zwei-Faktor-Authentifizierung für den Login-Bereich
Sicherheitshalber sollte der Login-Bereich zusätzlich zum normalen Login noch durch ein httaccess-Passwort geschützt werden.
Da 90% aller Bruteforce-Angriffe auf diesen Bereich gehen, ist das eine effektive Möglichkeit, Angreifer abzuhalten. Bitte andere Usernamen und Passwörter verwenden, als für den Wordpress-Login.
Wir man das macht, finden Sie im Beitrag vom Selfhtml-Wiki.
6. Tipp: Generator Tags blockieren
Die Generator Tags geben Auskunft über die jeweiligen Versionsnummern von Wordpress bzw. der installierten Plugins. Diese Informationen wollen wir Angreifern nicht preisgeben. Bösartige Crawler suchen im Netz nach Versionsnummern mit bekannten Schwachstellen und liefern so wertvolle Informationen für Angreifer.
Öffnen Sie dafür die Datei functions.php, die in Ihrem Theme-Ordner liegt, in Ihrem Editor. Am Ende der Seite ganz unten fügen Sie ein:
// Generator - Daten aus head and rss nicht anzeigen
function disable_version() {
return '';
}
add_filter('the_generator','disable_version');
remove_action('wp_head', 'wp_generator');
Ein möglicher Angreifer sollte nichts über Ihr verwendetes System wissen!
Tipp 7: Löschen Sie die readme Datei im Livesystem!
Im Livesystem sollten die Dateien readme.txt und liesmich.txt nicht öffentlich erreichbar sein. Sie liefern Informationen über das verwendete System, und das wollen wir ja nicht. Falls Sie Software-Versionierung nutzen, muss diese Datei ignoriert werden.
Tipp 8: Inhalte von Verzeichnissen nicht anzeigen lassen
Folgende Verzeichnisse sollten nicht über den Browser aufrufbar sein:
/wp-content/
/wp-content/plugins/
/wp-content/themes/
/uploads/
/images/
Um dies zu verhindern, entweder index-Dateien für jedes Verzeichnis erstellen, htaccess-Dateien mit den entsprechenden Direktiven in den Verzeichnissen ablegen oder den Webserver entsprechend konfigurieren. Mehr Infos: Verzeichnisinhalte nicht anzeigen lassen.
Tipp 9: Im Upload-Verzeichnis php-Dateien verbieten
Wir wollen nicht, dass ausführbare Dateien in den upload-Ordner hochgeladen werden können. Dies könnte durch fehlerhafte Plugins oder falsch konfigurierte Wordpress-Installationen geschehen. Solche Dateien können massiven Schaden anrichten, wenn sie ausgeführt werden. Unter Umständen erhalten Hacker so relativ leicht Zugang zu Ihrem Server.
Legen Sie dafür im Upload-Verzeichnis eine htaccess-Datei an. In diese .htaccess schreiben Sie dann folgende Zeilen:
# PHP Ausführung verhindern
<Files *.php>
deny from all
<Files>
Tipp 10: Die Wordpress-Sicherheits-Keys in der wp-config ändern
Kaum ein User ändert diese Keys und daher ist es für Angreifer ein leichtes, diese Keys zu erraten. Gleich bei Neuinstallation sollten diese Keys geändert werden. Bitte ebenfalls starke Keys verwenden.
Tipp 11: Pingbacks und Trackbacks deaktivieren
Unter Einstellungen / Diskussion sollten Sie Pingbacks und Trackbacks deaktivieren, wenn sie nicht unbedingt benötigt werden. Diese Dateien können von böswilligen Angreifern für Ddos-Attacken genutzt werden.
Tipp 12: Kommentarmoderation aktivieren
Ebenfalls unter Einstellungen->Diskussion sollte die Kommentarmoderation aktiviert werden, um zu verhindern, dass User Spam oder Schadware zu Gesicht bekommen.
Fazit:
Wordpress absichern ist keine leichte Sache! Angreifer denken sich immer neue Attacken aus. Wichtig ist natürlich, dass Sie Ihr System immer up-to-date halten, am Besten mit einem Wartungsservice, wenn Sie es nicht selber machen wollen.
Über den Autor:
Bernd Fischer ist seit 18 Jahren freiberuflicher Web-Entwickler, IT-Berater und Software-Experte. Er gibt immer mal wieder Kurse rund um die Themen Python, Programmierung, Datenbanken und Software-Lösungen.
0 Kommentare