2013-09-25_hacking_wordpress_webfox_schutz_tomgrafix_pixelio.de

© tomgrafix / pixelio.de

Vor ca. zehn Jahren auf den Markt gekommen, gilt WordPress mittlerweile als eines der meist verbreitetsten Content Management Systeme. Kein Wunder, dass das System immer öfter Opfer von Hacking-Angriffen ist. Wie gelingt es, eine WordPress Website abzusichern und vor Hacker-Angriffen zu schützen?

Zunächst sollte erwähnt werden, dass WordPress an sich als ein sicheres CMS gilt. Die Verantwortung liegt somit primär bei den Administratoren und Redakteuren, um für die nötige Sicherheit zu sorgen. Für diese gilt es, einige Basics zu beachten.

Die Grundlage: Ein sicheres Passwort

Sichere Passwörter sind das A und O. Der eigene Vorname, die Heimatstadt oder der Lieblingsfußballer sollten hier nichts zu suchen haben. Ein sicheres Passwort besteht in der Regel aus Klein- und Großbuchstaben, Satzzeichen und Nummern. Wichtig ist auch die Länge des Passworts: Mindestens acht Zeichen sollten es schon sein, ideal sind allerdings ca. 15 Symbole. Der klassische Hack-Angriff erfolgt über Robots, die mit bekannten Wörtern aus Wörterbüchern gefüllt sind, um das Passwort eines Accounts zu erraten. Ein leistungsfähiger Rechner kann so über eine Million Wortkombinationen pro Sekunde ausprobieren.

Die Seite „How secure is my Password?“ gibt euch Auskunft, wie viel Zeit ein Hacker benötigen würde, um euer Kennwort zu knacken.

Ein weiterer Tipp: Passwörter können über den Dienst „Strong Password Generator“ auf ihre Sicherheit geprüft werden. Auch solltet Ihr darauf verzichten, eure Kennwörter mehrfach zu verwenden. 

„Admin“-User entfernen

Bei vielen WordPress-Installationen  besitzt der Administrator den Benutzernamen „admin“. Diesen Benutzernamen zu erraten, ist selbst für einen wenig bewanderten Hacker leicht. Das große Problem: Der Administrator einer Seite besitzt meist ein Konto mit allen Berechtigungen. Der Schaden eines Hack-Angriffs an diesem Account wäre riesig: Themes und Plugins könnten gelöscht werden oder Core-Dateien upgedatet und Inhalte erstellt oder gelöscht werden. Somit gilt hier: Der Admin der Seite sollte einen eigenen Nutzernamen sowie ein besonders abgesichertes Passwort bekommen.

WordPress Core außerhalb von Theme und Plugin-Dateien legen

Ist der WordPress Core im gleichen Ordner wie Plugins und Themes installiert, können Hacker theoretisch auf Core-Dateien zugreifen und von hier aus direkt in die Datenbank schreiben oder Spam hinzufügen. Mark Jaquith, Core-Entwickler und WordPress-Sicherheitsberater, hat zu dieser Thematik einen höchst empfehlbaren Blogartikel geschrieben. Außerdem legte Jaquith ein Git Repository auf Github an – und stellte somit eine vernünftige Datenstruktur für WordPress-Installationen bereit.

Login-Versuche begrenzen

Wie zu Beginn des Artikels beschrieben, versuchen Hacker ein Passwort durch wiederholtes Eingeben von Kombinationen zu erraten. Wenn ein sicheres Passwort gesetzt ist und die Login-Versuche auf drei begrenzt sind, macht es dem Hacker das Leben noch schwerer. Hierfür gibt es eine Erweiterung für WordPress, die einen solchen Ansatz unterstützen soll.

Information aus dem <head> löschen

Per Default schreibt WordPress Information über die Installation in den Header der Website. Diese könnte beispielsweise so aussehen:

<meta name=“generator“ content=“WordPress 3.x.x“>

Anhand dieser Information weiß ein Hacker, welche Sicherheitslücken bei der benutzten Version bestehen. Davon abgesehen, dass man die Installation immer aktuell halten soll, ist diese Information zu vermeiden und kann durch einen speziellen WordPress-Filter ausgeblendet werden. Durch das Hinzufügen einer functions.php-Datei verhindert man, dass der Generator im Head angezeigt wird:

<?php remove_action(‚wp_head‘, ‚wp_generator‘); ?>

Umfangreichere Sicherheitserweiterungen

Durch die genannten Sicherheitsmaßnahmen ist jede WordPress-Installation gegen Angriffe gut abgesichert. Zusätzlich übernimmt „Better WP Security“ viele Sicherheitsmaßnahmen. Mit dieser Erweiterung lässt sich beispielsweise anhand einer Checkliste sehen, wie sicher die Installation tatsächlich ist.

2013-09-25-wordpress-blog-webfox-WordPress_Security

© Screenshot / Better WP Security

Einen ähnlichen Ansatz verfolgen die Installationen WordfenceBulletProof Security und Security Ninja Lite.

Das Internet bringt eine Vielzahl an Vorteilen, allerdings auch einige Gefahren. Hacker sind solche. Mit unseren Tipps und Tricks dürftet ihr in Zukunft vor Angriffen gewappnet sein!

Das könnte Dich auch interessieren:

Tatkräftige Zuarbeit: Unser WordPress-Entwickler Brian