So schützt man seine WordPress-Seite wirklich vor Angreifern

Kein CMS wird häufiger verwendet, als WordPress. Das hat seine Gründe, macht es aber auch angreifbar.

WordPress ist mittlerweile das meistgenutzte Content Management System, was es allerdings auch für Hacker mit Abstand am interessantesten macht. Deshalb gibt es einige Maßnahmen, die man ergreifen sollte. Neulich hat mir zum Beispiel jemand vorgeschlagen den Login-Pfad einer WordPress-Seite zu verschleiern. Sprich, dass nicht jeder die die URL domain.de/wp-admin/ eintippt automatisch zur Loginoberfläche der Webseite gelangt.

Über den Sinn und Unsinn dieser Maßnahme wird schon seit langem gestritten. Es gibt Argumente dafür, es gibt Argumente dagegen. Man mag es ahnen, ich neige klar der Dagegen-Seite zu.

Warum?

Na ja, ich bin bequem, ich merke mir nicht gerne ein halbes Dutzend Login-URLs – aber immerhin würde ich es tun, andere würden sie vielleicht vergessen. Was vielleicht halb so schlimm ist, denn über die Suchfunktion einer WordPress-Installation ist die Seite auffindbar. Damit hätten wir schon mal zwei Schwächen. Eine dritte Schwäche bildet das Plugin, das in den meisten Fällen zur Verschleierung des Loginpfades eingesetzt wird. Wer wirklich auf Sicherheit setzt weiß, jedes Plugin muss upgedatet werden, jedes Plugin ist ein zusätzliches Einfallstor.

Ganz allgemein lässt sich festhalten, einen echten Hacker ringt diese Sicherheitsmaßnahme nicht mal mehr ein müdes Lächeln ab.

Wie wird meine WordPress-Seite wirklich sicher?

Das wichtigste zuerst, sowohl die WordPress-Seite, als auch die Plugins sollten immer auf den aktuellen Stand sein. Die Macher von WordPress sind bei Bugs recht schnell mit einem Fix. Bei den Plugins kann die Sache schon mal anders aussehen. Manchmal steckt selbst hinter beliebten Plugins nicht genügend Manpower für einen schnellen Fix. Manchmal schläft ein Plugin auch ein und wird nicht mehr weiterentwickelt, spätestens dann sollte man sich nach einer Alternative umsehen.

Und manchmal kommt man auch in Sachen Sicherheit um ein Plugin nicht herum. Ich empfehle zumindest ein Plugin um eine Brute-Force-Attacke abzuwehren. Dabei versucht ein Algorithmus sich immer und immer wieder mit Benutzername-Passwort-Kombinationen einzuloggen. Es gibt allerdings Plugins, die das Anmelden nach X fehlgeschlagenen Versuchen für einen gewissen Zeitraum blocken bzw. auch ein Captcha vorschalten. (Bei den meisten Plugins lässt sich die Zahl der fehlgeschlagenen Plugins auswählen, ehe die Sperre eintritt. Man sollte vielleicht nicht unbedingt eine 1 einsetzen.)

Hilfreich ist es auch die sogenannte XML-RPC-Datei zu blockieren. Dabei handelt es sich um eine PHP-Datei die hauptsächlich der Abwärtskompatibilität zu älteren WordPress-Versionen noch existiert, und deren Aufgabe heute von der Rest-API übernommen wird. Wer nicht mit Pingbacks arbeitet, kann sie getrost abschalten. Und sollte man auch, denn sie ist relativ leicht zum Einhacken ins Systems zu missbrauchen.

Man kann die XML-RPC einfach durch einen Eintrag in die .htaccess-Datei abstellen:

<files xmlrpc.php>
Order deny,allowdeny from all
</files>

Was sonst noch hilfreich ist?

Gesunder Menschenverstand. Zum Beispiel beim Erstellen der Benutzernamen, admin oder administrator sollte man tunlichst vermeiden, und auch beim Passwort ein wenig Anspruch haben. Wer als Admin eine Seite mit vielen Benutzern betreut, sollte sich zudem mit der Benutzerverwaltung vertraut machen. Von Abonnent bis Admin ist dort alles vertreten – und nicht jeder braucht wirklich Adminrechte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.