Permalink

8

Basisschutz – WordPress absichern Teil1

1. Und täglich grüßt das Murmeltier…Basisschutz WordPress

WordPress wird vielfach für Blogs, Webseiten oder andere Zwecke genutzt. Aufgrund der globalen Verbreitung im Web ist es gleichzeitig ein beliebtes Angriffsziel. Aktuell überschlagen sich Newsseiten (heise Artikel) und Blogs mit Warnungen vor einem Botnetzwerk, welches WordPress-Installationen weltweit attackiert.

Um seine WordPress-Installation abzusichern und gegen solche Übergriffe zu schützen sind zunächst nur ein paar einfache Maßnahmen notwendig. In dieser Artikelserie erkläre ich die Absicherung von WordPress (3.x) . Los geht’s mit einfachen Tipps, die wirklich jeder mit wenigen Mausklicks umsetzen kann. Das Niveau wird sich langsam steigern und Folgendes umfassen:

    • Basisschutz – Was wirklich jeder umsetzen sollte wenn er WordPress einsetzt.
    • Erweiteter Schutz bzw. was muss ich beachten?
    • Sicherheits-Plugins. Sind die eigentlich sinnvoll?
    • Konfigurationsbeispiele für die Absicherung des Admin-Bereichs (Apache, Lighttpd)
    • Eingriffe in den Quellcode.
    • Installation eines Host Intrustion Detection System (HIDS) zur frühzeitigen Erkennung von Angriffen. (setzt Systemzugang vorraus)

Unnütze Tipps und Schnickschnack lasse ich weg. Folgt ihr den vorgestellten Maßnahmen erhöht sich die Wahrscheinlichkeit, dass ihr kein Opfer eines Angriffs werdet.

Dieser Beitrag ist Teil einer Artikelserie:

2. Das Problem

Der hohe und weiterhin steigende Verbreitungsgrad von WordPress erregt die Aufmerksamkeit dubioser Gestalten. Aktuell wird versucht in den Administrationsbereich einzudringen, um dort Schadsoftware zu installieren. Dabei gehen Angreifer fast immer nach dem selben Muster vor. Mittels automatisierten Tools versucht man Zugang in schlecht geschützte Bereiche zu erhalten oder nutzt Schwachstellen in WordPress-Installationen und deren Plugins.

Neben der Attraktivität der hohen Verbreitung spielt allerdings noch ein weiterer Faktor eine wichtige Rolle. Gemeint ist der Anwender bzw. Betreiber einer WordPress-Installation. Durch dessen Unbedarftheit und teilweise auch Faulheit haben Angreifer oftmals leichtes Spiel. Und dabei werden wirklich alle Register gezogen. Angefangen bei einfachen Passwörtern wie “123456″ bis hin zu uralten und nicht aktualisierten Installationen bzw. Plugins. Selbst wenn Hosting-Provider ihre Kunden auf veraltete Installationen aufmerksam machen werden diese gutgemeinten Hinweise gerne ignoriert. Was soll denn schon passieren… !?

3. Basisschutz WordPress

Kommen wir nun zu den einfachen Tipps – die wirklich jeder umsetzen sollte wenn er WordPress einsetzt.

3.1 Updates, Updates, Updates…

Die Entwickler von WordPress reagieren meist unverzüglich wenn eine Schwachstelle innerhalb von WordPress gefunden wurde. Ein Patch ist schnell verfügbar und kann über das Dashboard zügig eingespielt werden. Im Normalfall werdet ihr direkt nach dem Login in den Administrationsbereich über zur Verfügung stehende Updates informiert. Clevere legen sich vor einem Update noch ein Backup an, falls während der Installation ein Fehler auftreten sollte. Dazu eignet sich zum Beispiel das Plugin BackUpWordPress oder BackWPup-Plugin.

Für die installierten Plugins gilt dies ebenso. Diese solltet ihr zeitnah aktualisieren und so stets auf aktuellem Stand halten. Wer sich nicht oft in das Dashboard einloggt oder gerne eine Benachrichtigung erhält, falls neue Updates zu Verfügung stehen, kann sich das Plugin WP Updates Notifier anschauen.

WordPress Updates


Wichtige Randbemerkung
Jedes Plugin stellt übrigens ein Risiko dar. Reduziert eure Plugins daher auf das Notwendigste. Für Spielereien ist bei ernsthaften WordPress-Installationen kein Platz!

3.2 Standard-Benutzername – Nein!

Bei einer Neuinstallation könnt ihr mittlerweile einen individuellen Benutzernamen vergeben. Ältere WordPress-Installationen hatten dieses Feature nicht und legten automatisch den Benutzer admin an. Warum kann das gefährlich sein? Die Authentifizierung (also der Login zum Admin-Bereich) besteht aus der Kombination Benutzername und Passwort.

Login

Möchte ein Angreifer Zugang zum System erlangen verwendet er meist Benutzernamen in der Form von admin, Administrator, root oder weitere Formen -  Namen die üblicherweise für Logins benutzt werden und erhöhte Rechte verleihen. Ändert ihr den Standard-Benutzernamen admin, erschwert dies einem Angreifer den Zugriff. Er benötigt neben dem korrekten Passwort nun auch noch den Benutzernamen.

Erledigt daher folgende Schritte:

  • Ihr legt im Dashboard unter Benutzer einen zusätzlichen Administrator an. Verwendet dabei einen Fantasienamen – zum Beispiel blogmaster3000. Danach loggt ihr euch aus.
  • Mit dem soeben erstellen Administrator meldet ihr euch wieder an.
  • Zusätzlich legt ihr einen weiteren Benutzer mit der Rolle Autor an.
  • Anschließend löscht ihr den Standard-Administrator Account mit dem Namen admin.
  • Beim Löschvorgang werdet ihr gefragt was mit den Beiträgen des Benutzers admin passieren soll. Übertragt alle Beiträge an den neu angelegten Benutzer mit der Rolle Autor.
  • In Zukunft schreibt und kommentiert ihr alle Beiträge mit dem Autor. Der Administrator-Account wird lediglich für die Pflege bzw. Verwaltung von WordPress verwendet.

Account

Warum macht es Sinn den zusätzlichen Nutzer mit der Rolle Autor anzulegen? Veröffentlicht ihr in Zukunft eure Beiträge oder kommentiert Artikel erscheint lediglich der Benutzername des Autors. Ihr vermeidet damit, dass der Administrator-Account irgendwo auf der Seite erwähnt wird oder über einen Link einsehbar ist – ein Angreifer findet also keinerlei Informationen. Jetzt muss er neben dem Passwort auch noch alle möglichen Kombinationen von Benutzernamen durchprobieren, bevor es sich Zugriff in den Administrationsbereich verschaffen kann. Somit laufen die meisten Angriffsversuche ins Leere – der Benutzer admin existiert nicht mehr.

3.3 Wichtig: Ein starkes Passwort

Unverzichtbar ist ein sicheres und individuelles Passwort für eure WordPress-Accounts. Denn schlechte Passwörter stellen nach wie vor ein Problem dar – nicht nur bei WordPress-Installationen. Generell fällt es Anwendern schwer ihre Passwörter korrekt zu verwalten, nicht immer das gleiche Passwort für mehrere Accounts zu verwenden oder sich gute Passwörter auszudenken.

Hier ein Tipp:

  • Nutzt einen Passwort-Manager. Gut geeignet ist das frei verfügbare KeePass. Neben Versionen für Windows, Linux, Mac OS X stehen sogar welche für iOS und Android zur Verfügung.
  • Wem es an Kreativität mangelt oder einfach nicht weiss welche Kriterien ein sicheres Passwort erfüllt, der kann einen Passwort-Generator nutzen. Dieser ist in KeePass bereits eingebaut – oder hier zu finden. 12 Zeichen (inklusive Sonderzeichen, Groß-und Kleinschreibung und Zahlen) stellen einen vernünftigen Wert dar.
  • Unter Benutzer ändert ihr anschließend das Passwort für den Administrator-Account, sowie für alle weiteren Accounts.

Passwort

WordPress visualisiert unter der Passworteingabe die errechnete Stärke eures Passworts und bietet euch so ein Feedback. Nutzt diesen Indikator und bleibt niemals unter dem Wert Stark.

4. Fazit

Die dargestellten Maßnahmen zur Absicherung einer WordPress-Installation sollte wirklich jeder durchführen. Sie stellen das Mindestmaß an Sicherheit dar und lassen sich mit wenigen Handgriffen erledigen. Damit entgeht man ca. 90% aller Angriffsversuche und reduziert die Wahrscheinlichkeit eines erfolgreichen Übergriffs deutlich.

Sobald der Bekanntheitsgrad eines Blogs oder Webseite ansteigt reichen die oben genannten Maßnahmen meist nicht mehr aus. Konkurrenten, Neider oder einfach nur Spaßvögel versuchen dann mit härteren Bandagen Zugang zu erlangen. Um böse Überraschungen vorzubeugen, werde ich in weiteren Teilen der Artikelserie weitere Maßnahmen beschreiben – bis hin zur serverseitigen Wächtern, die Angriffe bereits frühzeitig erkennen.

Wer sich generell für die Sicherheit von Webanwendungen interessiert, empfehle ich meine Artikelserie Sicherheit von Webnawendungen.

Bildquellen:

„WordPress-Secure”, https://wordpress.org/

Empfehle den Beitrag weiter:

Hat dir der Beitrag gefallen?

Dann abonniere doch den RSS-Feed oder füge mich zu deinem Xing-Profil hinzu. Du kannst mir auch bequem auf APP.NET oder Twitter folgen.

Gerne kannst du mich auch unterstützen: Support me!

Autor: Mike Kuketz

Mike beschäftigt sich seit vielen Jahren professionell mit dem Thema IT-Sicherheit. Er ist Gründer von Kuketz IT-Security (www.kuketz-security.de) und unterstützt Unternehmen bei der Implementierung neuer IT-Sicherheitstechnologien. Weitere Infos: Über mich

8 Kommentare

  1. Super Tipps, wird geteilt. Danke dir.

    Ich empfehle noch den Einsatz von Limit Login Attempts. IPs werden dank dem Plugin geblockt, wenn der Login Xmal fehlgeschlagen ist.

  2. Danke für die Tipps: Vielleicht doofe Frage, aber: Wenn ich den “alten” Admin lösche wie in 3.2 beschrieben, was passiert dann mit den Beiträgen, die ich damit verfasst habe?

  3. Toller Artikel, schön strukturiert. Und du hast recht, dieses Basis-Sicherheitseinstellungen sollte wirklich jeder machen. Eig. fast schon traurig dass man dafür einen extra Artikel machen muss….aber wir kennen das ja, hier in diesem Land….wo jeder denkt “ach sowas wird mir doch nicht passieren”… ;-)

  4. Gute Tipps für den Umgang mit WordPress. Ich denke auch, dass ein sicheres (lang und nicht einprägsames Passwort) mehr als die halbe Miete in Sachen Sicherheit ausmacht. Backups sind generell ein MUST HAVE. Leider werden diese gerne vergessen.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.