Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Administratoren aber Sie sollten ihn als Betreiber auch kennen.
Die Sicherheit von WordPress
Die Sicherheit von WordPress ist ein Dauerbrenner im Internet! Machen Sie WordPress sicher, denn dieses CMS hat einen sehr hohen Angriffsvektor - gerade wegen seiner Beliebtheit und starken Verbreitung.
WordPress ist extrem beliebt, denn mit dem CMS kann man alles erdenkliche machen. Manchmal hat man den EIndruck es sei die Antwort auf alle Fragen. Doch die hohe Popularität hat ihren Preis, denn auch bei Hackern und Störenfrieden besitzt WordPress einen populären Angriffsvektor. In diesem Beitrag zeige ich einige Beispiele, wie Sie das Risiko etwas reduzieren können (100%ige Sicherheit gibt es nicht).
xmlrpc.php
Die Datei xmlrpc.php (Extensible Markup Language Remote Procedure Call) ist ein äußerst beliebtes Angriffsziel bei WordPress und eine sehr bekannte Schwachstelle. Diese Datei ermöglicht den externen Zugriff auf den Content ohne dabei das Dashboard zu nutzen. Hacker können diese Datei verdeckt aufrufen und innerhalb von wenigen Millisekunden tausende von Anmelde-Kennungen durchprobieren, bis sie die gewünschte Kombination gefunden haben (Brute Force Angriff = systematisches Durchtesten von Kennwörtern). Solch ein Angriff kann sogar stattfinden während Sie selbst am Dashboard Ihrer Webseite angemeldet sind.
Erdacht wurde dieses Script vom Entwicklerteam, um zum Beispiel mit Smartphone-APPs via Remote Bilder hochladen zu können oder mobil zu Bloggen (ohne das eigene Dashboard nutzen zu müssen).
Die xmlrpc hat aber noch einen anderen Job, sie informiert Ihren oder andere angeschlossene Blogsysteme über Verlinkungen oder Verweise untereinander. Die Information darüber welcher Blog Ihren Beitrag teilt ist sicherlich ganz hilfreich aber für die Funktionsweise des Blog nicht zwingend nötig. Aber auch das kann zum Problem werden, denn Angreifer können über solche extremen Verlinkungen den Blog verlangsamen und Ihren Blog damit lahmlegen (DDoS Angriff = einen Dienst mit Anfragen überlasten). Der Dienst wird mit so genannten Pings und Pingbacks überflutet und gibt in Folge dessen den Geist auf.
Die Lösung: Wenn Sie auf Remote-Apps einiger Dritthersteller verzichten können und die Blogfunktionen des Pings-Pingbacks nicht benötigen, dann löschen Sie diese Datei am besten aus dem Rootverzeichnis Ihrer Domain. Es gibt WordPress-Plugins die diese Funktion im Backend abschalten, Sie können auch den Zugriff mit Hilfe der Datei .htaccess steuern, jedoch ist spezielles Admin-Wissen gefragt. Die Löschung der Datei ist immer noch die sicherste Lösung.
wp-login.php
Der klassische Login ist ebenfalls ein lohnenswertes Ziel für Hacker. Zwar ist der externe Aufruf durch Angreifer etwas kostenintensiver, da er deutlich langsamer verläuft als über die oben beschriebene xmlrpc, dennoch ist er möglich und wird als Angriffziel genutzt.
Die Lösung: Bauen Sie in die wp-login einen einfachen sleep(30) ein, damit dauert der Login immer 30 Sekunden länger, da das Script pausiert. Das Hacking Ihrer Webseite für Angreifer wird extrem teuer, da sie beim Durchtesten von Kennwortlisten kaum noch vorwärtz kommen. Der Angriff lohnt sich nicht mehr, Sie selbst können aber durchaus mit einer kleinen Wartezeit von 30 (oder eine beliebiger anderer Wert) Sekunden gut leben.
Das könnte Sie interessieren
28.01.2024 Kontakt@Oliver-Lohse.de Sicherheit
