(Durchschnitt: 5,00 von
5 –
1
Stimme(n)) - Fehler: Nicht angemeldet!
Loading...WordPress Hacker haben es auf die Sicherheitssysteme in dem beliebten CMS oder den zahlreichen Plugins abgesehen, um einen Server mit Viren zu infizieren: Wir zeigen hier, wie man mit einer Firewall und den richtigen Schutz-Einstellungen einen Großteil der Angreifer abblocken und sein WordPress schützen kann. Haben die Angreifer allerdings schon Zugang zu dem eigenen Server gehabt, hilft dieser Artikel bei der Suche nach heimlich installierten Viren wie dem Spam-Bot “Stealrat”, der im Hintergrund über den eigenen Server massenhaft Spam zu versenden versucht.
Nur ein regelmäßig gewartetes und aktuelles WordPress System ist einigermaßen sicher gegen Angreifer und WordPress Hacker. Aber nicht nur das WordPress System selber sollte stets auf die neueste Version aktualisiert werden, auch die verwendeten Plugins sollten regelmäßig überprüft werden. Das fällt dabei relativ leicht: WordPress zeigt im Admin-Bereich direkt an, wenn Plugins aktualisiert werden müssen, weil eine neue Version zur Verfügung steht:
Mit einem Klick auf “Plugins” wird dann angezeigt, welches WordPress Plugin erneuert werden muss – das Update geht dabei direkt aus WordPress heraus.
Aber auch bei WordPress selber warnt das System, wenn eine neue Version zur Verfügung steht. Diese lässt sich dann ebenfalls mit nur einem Klick installieren – das geht auch in den meisten Fällen gut. Kommt es trotzdem zu Problemen, kann man die aktuelle Version von Hand auf den Server laden und anschließend den WordPress Wartungsmodus manuell deaktivieren.
Bei neuen WordPress-Usern überprüft WordPress jetzt selbst, wie sicher das Passwort ist – ältere Passwörter bleiben aber unangetastet. Hier lohnt es sich, ein zu einfaches Passwort einmal zu aktualisieren: Sinnvoll ist eine Kombination aus Groß- und Klein-Buchstaben, Zahlen und Sonderzeichen wie “.” oder “,”. Wie man solche sicheren Passwörter findet und sie sich dann trotzdem noch merken kann, zeigen wir hier in unserem Passwort-Artikel.
Tipp: 2. Login mit .htaccess Schutz!
Eine weitere Hilfe ist es, einen zweiten Login vor den eigentlichen WordPress-Login zu setzen: Das macht es Angreifern deutlich schwerer, den WordPress-Zugriff per Brute-Force Methode zu knacken (und spart so auch ein bisschen Traffic und CPU-Last). Wie man einen einfachen, zweiten Passwortschutz per .htaccess einbaut, zeigen wir hier.
Ein aktuelles WordPress ist trotzdem noch nicht unbedingt sicher: Unsichere User-Passwörter öffnen WordPress Hackern schnell die Türen, um unerwünschte Dateien über den Media-Upload auf den Server zu laden. So finden sich schnell ausführbare PHP Dateien in dem WordPress-Upload Ordner: Angreifer können diese dann ausführen, eine Shell installieren und haben ab sofort recht großen Zugriff auf den Server. So lassen sich dann schnell – und von dem Webmaster unbemerkt – Viren oder Spam-Programme installieren, die den eigenen Server für verschiedene Sachen missbrauchen können.
Ein Schutz-Plugin für WordPress ist “Wordfence”: Selbst die kostenlose Version schützt mit einer integrierten Firewall vor unberechtigten Zugriffen, zu vielen falschen Login-Versuchen (durch das Erraten des Admin-Passworts) und verhindert mit einer Hatzen Regel, dass PHP Dateien in dem Uploads Ordner von WordPress ausgeführt werden dürfen.
Außerdem scannt es den Server und die WordPress-Installation nach bereits vorhandenen Sicherheitslücken und Viren – und Admins werden per Email benachrichtigt, wenn neue Versionen für WordPress oder die installierten Plugins zur Verfügung stehen. In der kostenlosen Version scannt Wordfence einmal pro Tag automatisch, man kann einen Scan aber jederzeit manuell von Hand anstoßen. Die Premium Version erlaubt es, die Uhrzeit des Scans selbst auch noch festzulegen.
Wordfence bietet nicht nur eine schützende Firewall rund um die WordPress-Installation, einige Einstellungen schützen den Server zusätzlich gegen unliebsame WordPress Hacker und versuchen, ein Maximum an Sicherheit aus dem eigenen System herauszuholen.
WordPress mit Firewall schützen
Wordfence erlaubt verschiedene Firewall Einstellungen für WordPress: So lassen sich User direkt blockieren, wenn sie zu viele Seiten in kurzer Zeit aufrufen wollen – oder 404-Fehler erzeugen, weil sie nicht vorhandene Seiten laden wollen.
Wichtig ist hier, dass man verifizierten Google Crawlern immer vollen Zugriff auf die Seite gibt – allen anderen Crawler kann man, wenn man möchte, den Zugriff beschränken. Der letzte Punkt “If 404’s for known vulnerable URL’s exceed” sollte auf eine möglichst geringe Anzahl eingestellt werden: Damit lassen sich IP Adressen direkt sperren, wenn sie versuchen, bestimmte angreifbare Dateien auf dem eigenen WordPress-Server zu laden. Das sind dann hauptsächlich ausführbare PHP Dateien, die ein Angreifer heimlich in den Uploads-Ordner laden konnte.
WordPress Login sichern
Mit ein paar simplen Einstellungen lässt sich der WordPress Login absichern: So lassen sich alle IP-Adressen, die Anmelde-Fehler erzeugen (zum Beispiel wegen falschem Passwort oder Nutzer-Name) für eine bestimmte Zeit blockieren. Sinnvoll ist es auch, Nutzer auszusperren, die einen falschen Nutzer-Namen eingegeben haben: Wenn ein WordPress Hacker anhand des angezeigten Author-Namens versucht, den Login-Namen zu erraten, wird er dann direkt blockiert.
Ganz unten in den Einstellungen versteckt sich abschließend noch zwei wichtige Optionen: Zum Einen das Blockieren von gesendeten POST-Daten ohne angegeben Referrer. POST Daten werden zum Beispiel beim Anmelden und auch beim Schreiben und Kommentieren versendet, nicht aber bei der Suche. Aktiviert man diese Schutzfunktion, sperrt man allerdings auch manchmal User aus, die ihren Browser umgestellt haben – diese können sich dann so ebenfalls nicht mehr anmelden oder Beiträge kommentieren. Neben sehr wenigen echten Usern schützt man sein WordPress so aber auch zusätzlich vor Kommentar-Spam und vor automatisieren Login-Angriffen.
Die zweite sehr wichtige Option “Disable Code Execution for Uploads directory” versteckt sich weit unten: Sie verhindert das Ausführen von PHP Dateien im WordPress Uploads-Ordner. Schafft ein Angreifer es trotz Firewall, ein gefährliches Skript über die Upload-Funktion in den WordPress-Ordner zu laden, kann er es wenigstens nicht starten und ausführen.
