Als eines der am weitesten verbreiteten Content Mangement Systeme am Markt ist WordPress auch bei Hackern ein beliebtes Ziel. Unternehmen wie auch Privatleute tun gut daran, Ihre Webseiten abzusichern und häufige Schwachstellen rechtzeitig zu schließen. Unser Tutorial zeigt Schritt für Schritt, worauf Sie achten müssen.
Als erste Maßnahme empfielt sich die Einrichtung eines zweiten Logins mit einer HTACCESS Datei. Damit erzeugt man einen weiteren Schutz für die Login Seite, welche meist hier verortet ist:https://ihreDomain.de/wp-admin
Der Grund: Besonders die /wp-admin Login Seite wird von Hackern genutzt, umBrute Force-Angriffe zu starten. Dabei werden unterschiedliche Loginkombinationen im Sekundentakt ausgeführt. Mit dem zweiten zusätzlichen HTACCESS-Login verhindert man solche Attacken zumindest teilweise.
Was zunächst kompliziert klingt, kann auch von einem Laien umgesetzt werden.
a) Hier die Schritte für das zusätzliche Login:
Die Anleitung bitte genau befolgen! Auch kleine Fehler, wie zum Beispiel ein fehlender Punkt (.), können die ganze Website lahm legen. Vor der Absicherung sollte ein Backup der ganzen WP Installation (Datenbank, Serverdateien) vorgenommen werden. Werkzeuge wie derMySQL DumperundBackupBuddykönnen hier unterstützen.Zusätzlich sollte auch ein separates Backup der .htaccess Datei erstellt werden, so dass diese wieder hochgeladen werden kann, falls ein Fehler bei der Änderung gemacht wurde.
1) HTACCESS Datei erstellen
Auf den meisten sogenannten Root Verzeichnissen der WP Installation im Webhosting gibt es eine ".htaccess" Datei.
Tipp: Wenn man nicht weiss wo sich das Root Verzeichnis befindet, kann man es sich vom Webhosting Support zeigen lassen. Darüber hinaus lässt sich erfragen, ob es bereits eine .htaccess Datei im Root Verzeichnis gibt.
Sollte diese jedoch fehlen, lässt sie sich einfach erstellen.
Hierfür einfach eine Notepad-Datei öffnen/erstellen und im Anschluss mit dem Dateinamen ".htaccess" auf dem Computer speichern. Wichtig: es ist ".htaccess" und nicht "htaccess". Der Punkt am Anfang des Dateinamens hat seine Daseinsberechtigung.
2) Nutzernamen und Passwort festlegen, mit der .htpasswd Datei
Genau wie bei der .htaccess Datei sollte man eine neue Notepad-Datei öffnen und als ".htpasswd" abspeichern.
Für diesen Schritt gibt es zudem eine einfache Abkürzung.
Mit der Website htaccesstools.com lassen sich der Nutzername und das Passwort erstellen.
Den eingegebenen Benutzernamen und das Passwort merken.
Klickt man dann auf den Button "Create .htpasswd file" wird nun die Zeile erstellt, welche man dann in die .htpasswd Datei kopieren muss.
Nun lädt man auch diese Datei in das Root Verzeichnis der WordPress Installation.
3) .htpasswd mit der .htaccess Datei verbinden
Um den Login zu aktivieren, muss man folgenden Code in die .htaccess Datei kopieren
------------------------
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/username/.htpasswd
require valid-user
</FilesMatch>
------------------------
Dabei sollte der Teil "/home/username/.htpasswd" auf den jeweiligen Hostingpfad der eigenen Installation verweisen. Im Zweifel sollte man den Pfad beim Hosting Support erfragen.
Wenn man nun auch die .htaccess Datei hochgeladen hat, ist der zusätzliche Login aktiv und man ist gegenüber einem Großteil der Brute Force Attacken geschützt.
b) Nutzung eines Sicherheits-Plugins
Es existieren sehr viele kostenfreie wie auch kostenpflichtige Plugins, die helfen die Sicherheit der eigenen Wordpress-Installation zu verbessern. Sie lassen sich überWordPress.orgherunterladen.
Eines der besten Plugins istiThemes Security(früher als Better WP Security bekannt).
Für die meisten Nutzer reicht die kostenfreie Variante.
Hier sollte man folgendes aktivieren:
1) Hide Login & Admin
Mit dieser Funktionalität ändert man die URL zum WordPress Login. Auf diese Weise wissen Angreifer nicht, wo sie suchen müssen, denn der Login einer WP Installation ist fast immer unter /wp-admin zu finden. Sogar ein Laie könnte daher einen Angriff starten.
Zum Beispiel kann man mit der iThemes Funktionalität "Hide Login & Admin" die URL vonwww.domain.de/wp-adminzuwww.domain.de/meinsichererzugangändern. Damit ist man vor vielen Angriffen geschützt.
2) Brute Force Protection
Trotz der am Anfang dieses Beitrags beschriebenen .htaccess-Absicherung kann es sein, dass man Brute Force Attacken ausgesetzt ist.
Mit der Einschaltung der Funktionalität "Brute Force Protection" beschränkt man die Möglichkeit mehrere Dutzend oder gar Tausende automatisierte Einloggversuche zu starten.
Am besten limitiert man die Login Versuche auf 3 bis 4. Nach 4 Fehlversuchen wird die IP des Angreifers für eine vorgegebene Zeit gesperrt.
3) 404 Fehler Erkennung
Meist versuchen Angreifer mit Bots die WordPress Installation nach Sicherheitslücken zu durchsuchen. Zum Beispiel um die versteckte Login-Seite zu finden.
Dies verursacht jedoch viele sogenannter 404-Fehler. Die IP's solcher Nutzer werden dann vom Plugin gesperrt.
4) File Change Detection
Darüber hinaus kann man sich noch täglich über Änderungen der WP Dateien informieren lassen.
Das Plugin sendet hierbei Daten über mögliche Angriffe per Email Update.
Man sollte dabei jedoch beachten, dass Plugin-Updates und das Leeren des Caches als Dateiänderungen erkannt werden. Diese Änderungen sind natürlich keine Angriffe und können ignoriert werden.
Wenn man jedoch lange keine Updates durchgeführt hat und dennoch Änderungsmitteilungen erhält, sollte man weitergehend recherchieren.
c) Grundsätzliche Maßnahmen
Zusätzlich zu den oben genannten empfehlen sich einige grundsätzliche Maßnahmen:
1) Weniger ist mehr
Besonders Installationen mit vielen Plugins sind anfällig für Angriffe und empfänglich für Softwareviren.
Daher ist es besser die Zahl der Plugins so gering wie nötig zu halten.
Auch die Zahl der installierten Themes kann man auf zwei oder drei reduzieren.
2) Nur kompatible Plugins nutzen
Im WordPress Dashboard wird jeweils angezeigt ob Plugins kompatibel mit der derzeitigen WordPress-Version sind.
Ist dies nicht der Fall, sollte man auf diese Add-Ons wenn möglich verzichten.
3) Alles Up-To-Date halten
Plugins, Themes und auch die WordPress Versionen ändern sich von Zeit zu Zeit. Hier sollte man relativ zeitnah Updates durchführen.
Tipp: Bei Plugin Updates sind Backups eventuell nicht notwendig. Vor WP Versionsänderungen oder Theme-Upgrades sollte man jedoch ein Backup der kompletten Installation vornehmen.
Fazit
WordPress ist ein sehr spannendes Werkzeug, um Webseiten zu bauen und Inhalte zu pflegen.
Durch die weite Verbreitung ist es jedoch ein Ziel von Hackern weltweit. Wenn man die Tipps aus diesem Tutorial berücksichtigt, kann man sich vor den meisten Angriffen schützen oder zumindest das Risiko eines erfolgreichen Angriffs deutlich reduzieren.