Last Updated on 8 Jahren by TmoWizard
Ein wichtiges [UPDATE] wegen der DSGVO an entsprechender Stelle!
Liebe Leserinnen und Leser,
gestern habe ich ja über die „neue alte“ Lücke im WordPress-Plugin “Slider Revolution” berichtet. Heute nun möchte ich hier ein paar Tipps geben, wie man sein selbst gehostetes WordPress.org absichern kann! Dazu benötigen wir ebenfalls ein paar Plugins, aber auch ein bißchen „Handarbeit“ ist angesagt.
Das fast sichere WordPress-Blog
Eines vorne weg: Wie schon im gestrigen Artikel erwähnt gibt es keine absolute Sicherheit! Aber man kann dafür sorgen, daß das eigene Blog zumindest einiger Maßen geschützt ist. In einem Kommentar beim obigen Artikel habe ich das ja schon angeführt, diese Punkte arbeiten wir nun einmal ab. Los geht es bereits bei der Installation, denn schon hier kann man etwas für die Sicherheit tun!
Das Datenbank-Präfix „wp_“
Das geht ja mal gar nicht! Jede Installation von WordPress verwendet das Präfix „wp_“, daß wissen natürlich auch die Angreifer. Folglich ändern wir dieses gleich bei der Installation auf etwas völlig unsinniges ab, z. B. auf „Vx§u2_“! Wichtig ist hierbei nur der Unterstrich „_“, diesen scheint WordPress wohl zu benötigen. Die Länge ist aber egal, denn außer WordPress muß sich das Ding niemand merken.
Natürlich kann man das Präfix auch nachträglich ändern, allerdings macht das doch eine Menge Arbeit! Folglich suchen wir dafür eine einfachere Lösung, welche wir in dem Plugin Change DB Prefix finden. Dort gibt man einfach das neue Präfix ein und speichert die Änderung, den Rest übernimmt das Plugin für uns. Hernach kann man das Plugin wieder entfernen, wir benötigen es nicht mehr und es kann selbst ja auch eine Lücke haben!
Admin? Gibt’s doch gar nicht!
Ganz grobes Faul: Bei der Installation von WordPress wird immer ein Benutzer namens „admin“ angelegt, das fällt gleich mal aus wegen Bodennebel! Wir erstellen uns also über diesen original Administrator einen neuen Admin mit einem absolut unmöglichen Namen und einem entsprechend sinnfreien Paßwort, welcher sich ab jetzt um das System kümmern wird. Als dieser loggen wir uns dann ein und löschen den Alten, der hat für immer ausgedient!
Über ein weiteres Plugin könnte ich euch ja mal zeigen, wie viele Versuche es hier als der nicht vorhandene „admin“ gab. Dazu kommen wir aber später, denn auch das ist eine weitere Schutzmaßnahme. Über diesen neuen Administrator erstellen wir uns dann einen einfachen Benutzer, der auf dem Blog die Artikel schreiben darf und sich auch um die Kommentare kümmert. Mehr darf er nicht, für den Rest ist nun der neue Admin zuständig.
Die Katze ist nicht sicher!
Der nächste absolut wichtige Schritt ist natürlich, daß wir uns ein wirklich einmaliges Paßwort ausdenken. Der Name der Katze und ähnliches fällt hierbei aus, denn sowas steht in jedem Wörterbuch! 8 Zeichen sollte das Paßwort mindestens haben, aber mehr schaden natürlich auch nicht. Das Paßwort sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Wenn man viel in fremden Ländern ist, dann aber bitte kein ä, ü, ö oder ß, denn das gibt es dort nicht auf den Tastaturen!
Ein relativ sicheres Paßwort sieht beispielsweise so aus:
76Ubf%zTm4$wR
Ein Einbruch mit dem Wörterbuch geht hier klar schief, das Zeug ergibt einfach keinen Sinn! Einen Trick für solch ein Paßwort gibt es natürlich, der ist sogar wirklich einfach. Sucht euch irgend ein Sprichwort aus, z. B. „Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“. Nun habt ihr neun Wörter, von denen wir allerdings nur die Anfangsbuchstaben benötigen:
„FjkvTqdB“
Nun suchen wir uns noch ein paar Zahlen und Sonderzeichen, die wir in diesem Kauderwelsch wild verstreuen:
„93Fj%kv5Tq$d2B&“
Hier kann man als Zahlen auch gerne das eigene Geburtsdatum verwenden, aber dann am Besten rückwärts. Wie aus meinem Impressum ersichtlich wäre das in meinem Fall 17.11.1965 oder eben 56911171, ich wünsche jedem viel Spaß beim knacken:
„56Fj9k1vT11qd7B1“
Datei nicht gefunden: „wp-login.php“
Auch so ein Ding: Alle Installationen von WordPress haben die Datei „wp-login.php“. Einfacher kann man es einem Eindringling fast nicht machen, also lassen wir das Teil kurzerhand verschwinden! Hier hilft uns wieder ein Plugin, dieses nennt sich „Rename wp-login.php“. Damit benennen wir die Datei um, wofür wieder wieder einen völlig sinnfreien Namen wählen. Die Endung .php lassen wir ebenfalls weg, wir brauchen die nämlich nicht!
Diese umbenannte Seite speichern wir nun bei unseren Lesezeichen, denn merken kann sich sowas ja kein Mensch. Wenn wir uns nun also einloggen wollen, dann geht das nur noch über das Lesezeichen. Damit haben wir das Eindringen auf unser Blog schon sehr gut erschwert, denn natürlich suchen diese Leute nach genau dieser Datei! Das Plugin löschen wir dann auch wieder, es wird ebenfalls nicht mehr benötigt.
Limitierter Zugriff: Login-Versuche einschränken!
Leider hat WordPress einen gehörigen Fehler: Die Anzahl der Login-Versuche ist nicht eingeschränkt! Wirklich ideal für einen Brute-Force-Angriff, folglich müßen wir das ändern. Auch hier hilft uns ein Plugin, nämlich „Limit Login Attempts“. Hier allerdings wird es kritisch, denn das Plugin wurde zuletzt 2012 aktualisiert! Es scheint jedoch in Ordnung zu sein, derzeit gibt es jedenfalls keine bekannten Lücken und es funktioniert auch weiterhin.
Dieses Plugin läßt sich ziemlich individuell einstellen, darauf gehe ich jetzt nicht näher ein! Wichtig ist hier vor allem, daß wir die Login-Versuche auf ein vernünftiges Minimum reduzieren. Hier auf dem Castle ist es so, daß nur 2 Versuche erlaubt sind. Jeder weitere Versuch führt zu einer Sperrung der IP-Adresse für mehrere Stunden, ab dem vierten Versuch braucht man mit dieser IP die nächsten Jahre gar nicht mehr auf dem Castle erscheinen! Derzeitige Sperrungen: 163
Sicherheitsschlösser: „Unique Keys“ ändern!
Bei WordPress gibt es 8 sogenannte „Unique Keys“, welche für die Verschlüsselung wichtiger Informationen zuständig sind. Diese Schlüssel stehen in der Datei „wp-config.php“, wodurch sie folglich sehr leicht auffindbar sind. Wir müßen also dafür sorgen, daß diese öfter mal erneuert werden! Wieder hilft uns hier ein Plugin weiter, welches der Funktion entsprechend auf den Namen „Update Unique Keys“ hört.
Nach der Installation des Plugins klicken wir dort einfach auf den Button „Update“, schon haben wir neue Schlüssel! Leider gibt es hier nichts zum Einstellen, so daß man das selbst machen muß. Ich ändere diese Schlüssel einmal pro Woche, so daß die entsprechenden Daten ebenfalls immer neu verschlüsselt sind. Hier wäre es echt sehr praktisch, wenn man das automatisieren könnte!
[UPDATE:]
Red Alert: Den Viren an den Kragen!
Wie auch bei dem eigenen Rechner Zuhause sollte man sein Blog ebenfalls regelmäßig auf Schadsoftware überprüfen, wobei hier auf dem Castle zwei Möglichkeiten verwendet werden. Auch hierfür benötigen wir ein Plugin, nämlich „AntiVirus“. Dieses Plugin überprüft mit der entsprechenden Einstellung täglich das verwendete Theme, ob hier auch wirklich noch alles in Ordnung ist. Dazu kann auch auf die Malware-Erkennung von „Google Safe Browsing“ zurück gegriffen werden, was ich dringendst empfehle Aufgrund der DSGVO nicht mehr zu empfehlen ist!!
[/UPDATE]
Leider überprüft dieses Plugin jedoch nur das installierte Theme, alles andere wie z. B. Plugins usw. wird nicht beachtet! Hier ist also wieder „Handarbeit“ angesagt, die wir uns natürlich erleichtern können. Wir prüfen unser Blog einfach online, dafür verwenden wir den Dienst „VirusTotal“. Dort gibt man einfach die Adresse des Blogs ein und klickt auf den Button „Scannen“, je nach Anzahl der vorhandenen Dateien dauert das natürlich etwas. Ich führe diesen Scann wöchentlich aus, aber das muß jeder für sich selbst entscheiden.
Das A und O der Sicherheit: Aktualität!
Hiermit kommen wir nun zum letzten Punkt, der aber umso wichtiger ist! Wie jede Software hat auch WordPress Lücken, die immer wieder mal geschlossen werden. Gleiches gilt auch für die Plugins, denn diese sind ja auch nur Software! Wir müßen also immer darauf achten, daß unsere Installation auf dem aktuellen Stand ist.
Nur dadurch ist es unmöglich, daß bereits bekannte Lücken ausgenutzt werden. Wenn diese geschlossen sind, dann war es das auch schon. Das Schloß ist dicht, da hilft nur noch der richtige Schlüssel! Hier habe ich z. B. das Problem, daß das von mir verwendete Theme offensichtlich nicht mehr weiter entwickelt wird. Allerdings wurden darin bis heute keine Lücken gefunden, nur ein paar Änderungen muß ich demnächst wohl selbst daran vornehmen. Bei WordPress wurden einige Dinge geändert, die derzeit mit meinem Theme nicht mehr richtig funktionieren. :-O
Mein Fazit:
Mit ein paar einfachen Möglichkeiten habe ich euch hier erklärt, wie man sein Blog relativ sicher bekommt. Es gibt natürlich noch mehr Wege, aber dazu kann ich nichts sagen. Ich habe mich hier auf das beschränkt, was ich auch selbst auf meinem Castle anwende. Natürlich kann auch ich nicht garantieren, daß ein Blog durch diese Maßnahmen wirklich sicher ist. So etwas gibt es nicht, das muß euch allen klar sein!
Viele Grüße nun aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard
#WordPress: Ein paar Tipps zum „sicheren“ Blog! von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.
Hallöchen Michael,
„Rename wp-login.php“ kennen wohl nur wenige. Den Schutz mit der .htaccess mache ich nicht mehr, da es mal funktioniert hat und dann wieder nicht! Ich kam also sehr oft selbst nicht mehr rein, also hab ich das Ding wieder rückgängig gemacht.
Brauch ich aber auch gar nicht, denn damit soll ja der Zugriff auf wp-login.php geschützt werden und die gibt es in dem Sinn ja nicht mehr! ;-)
“All In One WP Security” funktioniert hier nicht vernünftig wegen Einschränkungen des Servers, wenn ich das noch richtig in Erinnerung habe!
Gänzlich kann man die Einbruchsversuche sowieso nicht verhindern, da sieht man ja immer wieder. Irgend einen Trick finden die „Hacker“ schon, das wird wohl so bleiben!
Viele Grüße nach Offenbach!
Mike, TmoWizard
Das mit rename wp-login.php hab ich auch noch nicht gewusst. Werde es auf jeden Fall gleich mal testen
Gruss
Tom
Grüße
Luk
Ich bin gerade etwas schockiert weil wohl jeder Punkt bei mir zutrifft – außer evtl das Passwort – das habe ich generiert.
Werde mich demnächst wohl mal an die Arbeit machen diese Liste abzuarbeiten.
Gruß
Rigo
LG Jannik