So machen Sie WordPress wirklich gegen Angreifer sicher

Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Administratoren aber Sie sollten ihn als Betreiber auch kennen.

Juli 5, 2023 - Lesezeit: 3 Minuten
  • xmlrpc.php
  • wp-login.php

    • Die Sicherheit von WordPress ist ein Dauerbrenner im Internet! Machen Sie WordPress sicher, denn dieses CMS hat einen sehr hohen Angriffsvektor - gerade wegen seiner Beliebtheit und starken Verbreitung.

    WordPress ist extrem beliebt, denn mit dem CMS kann man alles erdenkliche machen. Manchmal hat man den EIndruck es sei die Antwort auf alle Fragen. Doch die hohe Popularität hat ihren Preis, denn auch bei Hackern und Störenfrieden besitzt WordPress einen populären Angriffsvektor. In diesem Beitrag zeige ich einige Beispiele, wie Sie das Risiko etwas reduzieren können (100%ige Sicherheit gibt es nicht).

    xmlrpc.php

    Die Datei xmlrpc.php (Extensible Markup Language Remote Procedure Call) ist ein äußerst beliebtes Angriffsziel bei WordPress und eine sehr bekannte Schwachstelle. Diese Datei ermöglicht den externen Zugriff auf den Content ohne dabei das Dashboard zu nutzen. Hacker können diese Datei verdeckt aufrufen und innerhalb von wenigen Millisekunden tausende von Anmelde-Kennungen durchprobieren, bis sie die gewünschte Kombination gefunden haben (Brute Force Angriff = systematisches Durchtesten von Kennwörtern). Solch ein Angriff kann sogar stattfinden während Sie selbst am Dashboard Ihrer Webseite angemeldet sind.

    Erdacht wurde dieses Script vom Entwicklerteam, um zum Beispiel mit Smartphone-APPs via Remote Bilder hochladen zu können oder mobil zu Bloggen (ohne das eigene Dashboard nutzen zu müssen).

    Die xmlrpc hat aber noch einen anderen Job, sie informiert Ihren oder andere angeschlossene Blogsysteme über Verlinkungen oder Verweise untereinander. Die Information darüber welcher Blog Ihren Beitrag teilt ist sicherlich ganz hilfreich aber für die Funktionsweise des Blog nicht zwingend nötig. Aber auch das kann zum Problem werden, denn Angreifer können über solche extremen Verlinkungen den Blog verlangsamen und Ihren Blog damit lahmlegen (DDoS Angriff = einen Dienst mit Anfragen überlasten). Der Dienst wird mit so genannten Pings und Pingbacks überflutet und gibt in Folge dessen den Geist auf.

    Die Lösung: Wenn Sie auf Remote-Apps einiger Dritthersteller verzichten können und die Blogfunktionen des Pings-Pingbacks nicht benötigen, dann löschen Sie diese Datei am besten aus dem Rootverzeichnis Ihrer Domain. Es gibt WordPress-Plugins die diese Funktion im Backend abschalten, Sie können auch den Zugriff mit Hilfe der Datei .htaccess steuern, jedoch ist spezielles Admin-Wissen gefragt. Die Löschung der Datei ist immer noch die sicherste Lösung.

    wp-login.php

    Der klassische Login ist ebenfalls ein lohnenswertes Ziel für Hacker. Zwar ist der externe Aufruf durch Angreifer etwas kostenintensiver, da er deutlich langsamer verläuft als über die oben beschriebene xmlrpc, dennoch ist er möglich und wird als Angriffziel genutzt.

    Die Lösung: Bauen Sie in die wp-login einen einfachen sleep(30) ein, damit dauert der Login immer 30 Sekunden länger, da das Script pausiert. Das Hacking Ihrer Webseite für Angreifer wird extrem teuer, da sie beim Durchtesten von Kennwortlisten kaum noch vorwärtz kommen. Der Angriff lohnt sich nicht mehr, Sie selbst können aber durchaus mit einer kleinen Wartezeit von 30 (oder eine beliebiger anderer Wert) Sekunden gut leben. Das könnte Sie interessieren

    https://raidboxes.de "WordPress xmlrpc Einfallstor"

    Schlagworte:

    Beiträge in der Kategorie "WordPress":

    Das beliebteste CMS WordPress hacken

    Mit wenigen Tricks finden Sie heraus, wie Sie WordPress hacken können und ermitteln beispielsweise das verwendete CMS, den Author oder die Admin URL.

    Die WordPress Seite Ihres CMS ist nicht erreichbar?

    Ist Ihre WordPress Webseite nach dem letzten Update nicht mehr erreichbar, dann könnte Ihnen dieser Beitrag schnell helfen um das Problem schnell zu beheben

    Was ist ein CMS und Wie funktioniert es?

    Die besten Content-Management-Systeme im Vergleich: Alles was ihr über WordPress, Joomla!, Drupal, TYPO3 und Co. wissen müsst. Jetzt Vergleich ansehen.

    th3_alpha.php im WordPress CMS Log und die Beudeutung

    Das WordPress Plugin steht im Verdacht Malware zu enthalten. In unterschiedlichen Foren im Netzt sind dazu widersprüchliche Infos zu finden - es ist abzuwarten

    So machen Sie WordPress wirklich gegen Angreifer sicher

    Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Administratoren aber Sie sollten ihn als Betreiber auch kennen.

    Kommentieren Sie gut in anderen WordPress oder CMS Blogs

    Damit Ihre WordPress Seite im Internet schnell bekannt wird, sollten Sie in anderen ähnlich gelagerten Blogs kommentieren und Ihre Seite ausreichend vernetzen.

    WordPress Kommentar Funktion leicht im CMS deaktivieren

    WordPress Kommentare deaktivieren Sie als angemeldeter Admin an Ihrem Blog im Backend ganz einfach. Der Beitrag zeigt Schritt für Schritt was Sie tun müssen.

    WordPress installieren so einfach geht es

    So machen Sie den Download von WordPress und installieren das CMS auf Ihrem Webserver und verbinden es mit der dortigen SQL-Datenbank. In wenigen Schritten.

    Groß angelegte Angriffswelle auf das CMS WordPress

    Ein groß angelegter Angriff gegen 1,3 Mio WordPress-Installationen wurde auf Schwachstellen in Plugins und Themes durchgeführt - laut Angaben der ZDNET.de.

    Beitragsdatum in Wordpress ausblenden oder doch nicht?

    Suchmaschinen finden aktuelle Beiträge toll, doch lassen Sie sich nicht zu Manipulationen mit dem Beitragsdatum hinreißen, Google belohnt Ehrlichkeit.

    Ist das CMS WordPress jetzt am Ende wie behauptet?

    Nach jedem großen Release Update brodelt die Gerüchteküche um das beliebte CMS WordPress der Welt und prophezeiht dessen Ende, doch tot gesagte leben länger

    do_reset_wordpress=1 und was es für das CMS beudeutet

    Dieses WordPress-Theme hat eine Sicherheitslücke - das sollten Sie wissen! Generell sollten Sie sich vor dem Einsatz üder das bevorzugte Theme informieren.

    Kategorien

    Automad

    Das kostenlose Flat File CMS Automad bietet bereits nach der Installation auf dem Server das beste Layout unter allen CMS am Markt.

    Bludit

    Das kostenlose Flatfile CMS Bludit ist das beliebteste Content Management System, das dem großen WordPress sehr nahe kommt, jedoch deutlich mehr Sicherheit bietet.

    CMS

    In dieser Rubrik geht es um übergreifenden Themen aus dem Bereich der Content Management Systeme.

    Coast

    Coast ist ein CMS aus deutscher Feder und ist mit einem exzellenten HTML/PHP Frontend-Editor zu vergleichen, die Daten werden direkt in der HTML-Datei gespeichert.

    GetSimple

    Das kostenlose Content Management System GetSimple verspricht genau das, was der Name andeutet, ein stabiles Flat File CMS auf der Basis von XML-Dateien.

    GRAV

    Das kostenlose Content Management System GRAV gehört zu den komplexesten CMS, da es den größten Funktionsumfang mitbringt.

    Handlebars.JS

    Handlebars.js ist eine kostenlose JavaScript Template-Engine mit der einfache Webseiten oder Prototypen leicht und schnell erzeugt werden können.

    htaccess

    Die .htaccess ist die wohl wichtigste und mächtigste Datei, über die der Server seinen Umgang mit den Daten und Besuchern steuert.

    Java

    Java ist die strategische Programmiersprache für verteilte Anwendungen im Internet oder auch in der Client-Server Architektur und sogar auf dem Host.

    Monstra

    Das CMS Monstra ist ein überaus gelungenes und sauber entwickeltes CMS mit Admin-Backend und Flat File Datenbank.

    PHP

    PHP ist die strategische Programmiersprache des Internets, mit PHP geht alles und ohne PHP nichts! Allerdings ist PHP nicht auf lokalen Client-Umgebungen verbreitet (aber möglich).

    Pico

    Das CMS Pico ist derzeit das ausgereifteste und einfachste headless CMS für den Einsatz großer Mengen an MarkDown-Files (Content).

    Smarty

    Smarty ist eine Template-Engine auf Basis der Programmiersprache PHP und ist in der Lage HTML-Vorlagen (Templates) dynamisch mit Content zu versorgen.

    Typemill

    Typemill ist zunächst ein ganz normales Flat File CMS, entfaltet jedoch sein wahres Potenzial mit einigen besonderen Plugins, die es zum kraftvollen Publishing-Tool macht.

    WonderCMS

    WonderCMS ist das mit Abstand kleinste CMS das es derzeit kostenlos gibt. WonderCMS kommt mit einem PHP-Script und einer JSON-Datenbank aus und bietet ein Backend.

    WordPress

    Das datenbankbasierte Content Management System WordPress ist das beliebteste CMS und hält die meisten Installationen - ist allerdings auch das am meisten attackierte System.

    Derzeit sind noch keine passenden Beiträge vorhanden.