15 Jun 2016
Einsam im Louvre von Paris, Bild: microble.eu

Einsam im Louvre von Paris, Bild: microble.eu

Provokant, oder? Lass deinen WordPress Blog hacken! Meistens ist es aber so, dass die BloggerInnen gerade das herausfordern oder eigentlich darum betteln. Meistens geht es am Anfang (eigentlich die ganze Zeit) um das Layout, wie vernetze ich mich, welche Sozialen Netzwerke muss ich bedienen und so weiter und so fort. Aber die Optimierung in die Richtung Sicherheit bleibt da auf der Strecke.

Klar das können wir jetzt gleich ein Mal mit einem PlugIn erschlagen. WordFence ist schnell heruntergeladen, installiert und mit meinem Post WordFence optimal konfigurieren, für mehr Sicherheit mit WordPress auch schnell eingestellt. Aber das kann ja nicht der Weisheit letzter Schluss sein, gehen wir einen Schritt weiter

Deinen WordPress Blog hacken lassen…

… sollte eigentlich nicht passieren. Aber denk immer daran: 100% Sicherheit gibt es nicht! Aber du kannst einiges tun, damit dein System sicherer wird. Die meisten Angriffe kommen ja mal von Script-Kiddies und Bots, welche bekannte Schwachstellen ausnutzen.

Damit du wirklich einmal einen echten Hacker triffst, der vor seinem Computer sitzt und deine Seite gezielt übernehmen will, musst du sehr bekannt werden oder auch lange im Netz sein. Wenn dir das aber passiert, dann brauchst du Plan B (B wie Backup), dass du dann einfach einspielst. Denn das zu verhindern ist schwierig oder fast unmöglich. Denn wenn ein Profi das will, dann schafft er den Zugriff auch.

Mittagspause am Trocadéro in Paris, Bild: microble.eu

Mittagspause am Trocadéro in Paris, Bild: microble.eu

Plugins für mehr Sicherheit

Ich habe es ja oben schon genannt. Meine Wahl der Waffen ist einmal das Plugin WordFence um schon mal einiges abzufangen. Mehr brauche ich eigentlich nicht. Ach doch, das PlugIn BackWPUp ist zwar nicht eine Verbesserung deiner Sicherheit. Aber wenn irgendwer deinen WordPress Blog hacken konnte und das Kind im Brunnen gefallen ist, dann kannst du wenigsten die Daten wieder zurückspielen.

Es ist nicht das komfortabelste PlugIn, aber es macht was es soll. Es sichert mir die Datenbank und das Upload-Verzeichnis in meine DropBox. Ja die wp-config.php (mit den Zugangsdaten zur Datenbank und der restlichen Konfiguration) wird mit gesichert. Aber auch hier gilt: Aufpassen! Schau regelmäßig in die BackUp-Dateien rein, ob auch wirklich etwas gesichert wurde. Und behalte dir nicht nur ein einzelnes BackUp im Hintergrund. Du solltest mindestens vier Dateien aufheben. Aber auch nur wenn du wöchentlich sicherst. Wenn du auf eine tägliche Sicherung setzt. solltest du mindestens die Sicherungen der letzten 10 Tage und die der letzten vier Freitage aufbehalten.

Damit die Abfragen an den SQL-Server ein wenig abgesichert werden, verwende ich das PlugIn Block Bad Queries. Dies macht in der Regel einen guten Job und braucht nur installiert zu werden. Besonders diese Abfragen machen es leichter, um deinen WordPress Block hacken zu können

Herbstwind im Jardin du Luxembourg, Paris, Bild: microble.eu

Herbstwind im Jardin du Luxembourg, Paris, Bild: microble.eu

Mache deine Hausaufgaben für mehr Sicherheit

Ich ergänze eben die Sicherheits-PlugIns mit einigen manuellen Maßnahmen. Zuerst ändere ich den Administrator um es nicht so leicht zu machen. Damit ist er nicht mehr auf der ID 1 und auch nicht mit einem bekannten Login-Namen versehen ist. Dazu habe ich ein einfaches Tutorial geschrieben.

Die nächste Maßnahme ist ein sicheres Passwort. Am einfachsten lässt du dir ein komplexes Passwort von einem Generator erzeugen und verwendest dieses. Diese Maßnahme ist eigentlich die einfachste und hält dir sicher schon rund drei Viertel der Angreifer vom Leib. Denn oft werden sie nicht deinen WordPress Blog hacken, sondern einfach deine Unvorsichtigkeit bei den Passwörtern ausnützen.

Verstecke ein paar Daten

Ein weitere Maßnahme ist das Umbenennen des /wp-content/ Ordners. Das kann dir noch einen kleinen Kick an Sicherheit bringen. Aber wenn du mit Themes und/oder PlugIns arbeitest, welche nicht ganz sauber programmiert sind, kann es zu Problemen kommen. Und außerdem ist es nur etwas, gegen Script-Kiddies, welche du mit anderen Maßnahmen besser in die Schranken weißen kannst. Denn wenn du dir den Quellcode deines Blogs anzeigen lässt, findest du im head-Element einen Verweis auf die style.css und da steht halt dann der neue Content-Ordner wieder drin.

Etwas besser ist da, das verschieben der Konfigurationsdatei wp-config.php. Wenn dir dein Hoster erlaubt, auch außerhalb des html-Verzeichnis zu arbeiten, kannst du diese Datei eine Ebene höher stellen. WordPress kann damit sehr gut umgehen, aber du brauchst die Rechte um dies mit FTP erledigen zu können.

Wie schaut es mit FTP und der Bequemlichkeit aus?

WordPress erlaubt dir das automatische verwenden der FTP-Daten innerhalb des DashBoards. Du solltest das nicht erlauben, sobald du gefragt wirst. Und verwende auch nicht denselben Benutzernamen für den FTP-Zugriff und für das Dashboard. Und auch beide Konten sollten komplexe Passwörter benutzen. Je länger du deine Passwörter verwendest, desto unsicher werden sie. Du solltest immer wieder deine Passwörter ändern, sonst kann es sein, dass sie bald deinen WordPress Blog hacken.

Petrus vor dem Salzburger Dom, microble.eu

Petrus vor dem Salzburger Dom, microble.eu

Der wichtigste Ordner für den Zugriff auf deinen Blog ist /wp-admin/. Daher solltest du deinen Admin-Ordner mit einem Passwort sichern. Dazu ergänzt du die Datei .htaccess um folgende Zeilen.

Aber lege vorher die passende .htpasswd Datei an. Aus Gründen der Einfachheit kannst du sie auch im Hauptverzeichnis ablegen. In dieser Datei wird das Passwort verschlüsselt abgelegt. In der PAsswort-Datei steht dann in etwa so eine Zeile.

Du kannst dir das aber nicht mit Hand ausrechnen, denn das Passwort wird MD5-verschlüsselt und mit einem Doppelpunkt hinter dem Benutzer (hier SuperMario)  geschrieben. Darum gibt es hier einen praktischen Generator.

Und deine Datenbank ist nach Standard installiert?

Um das Präfix der Tabellennamen zu ändern wird es bei einem bestehenden Blog schwieriger. Aber wenn du neu beginnst, solltest du das übliche wp_ durch ein eigenes Kürzel ersetzen. Damit machst du es Hackern schwieriger, die Tabellennamen zu erraten.

Ein Kleinigkeit ist auch das Auflisten der Verzeichnisinhalte. Dies kannst du ganz einfach mit einer leeren index.php in den entsprechenden Verzeichnissen unterbinden. Lege einfach mit einem Texteditor eine Datei mit diesem Namen an, sie soll wirklich keinen Inhalt haben und übertrage sie mit FTP in den Ordner /wp-content/uploads/. Aber eigentlich sollte dein Hoster das Auflisten der Verzeichnisse generell verbieten.

Halte alles auf dem neuesten Stand oder sie werden deinen WordPress Blog hacken!

Und der letzte Tipp ist eigentlich der wichtigste: Mache regelmäßig alle Updates! Jedes PlugIn, jedes Theme und auch WordPress selbst müssen immer aktuell sein. Aber auch PlugIns und Themes welche du deaktiviert hast, müssen aktuell sein. Denn auch sie enthalten unter Umständen Sicherheitslücken. Wenn du dir deinen WordPress Blog hacken lassen willst, dann mach keine Updates. Denn in 60 – 75% der Fällen kommen die erfolgreichen Angriffe über veralteten Code und bekannte Sicherheitslücken.

Über Dateirechte spreche ich gar nicht, denn die sollten immer richtig eingestellt werden. Wie du das am besten machst hat Ernesto auf seinem Blog sehr gut beschrieben. Also lies dir bitte auch Dateirechte: Warum eigentlich? durch.

Und falls du die aktuellen Exploits (Sicherheitslücken) verfolgen willst, schaust du am besten in die Exploit Database.

Und Du?

Ich freue mich über jeden Kommentar. Schreib ruhig wenn Du eine Frage oder einen Tipp hast.

Tags: , , , , , , , ,
3 Kommentare
  1. Laura says:

    Lieber Clemens, danke für deinen ausführlichen Beitrag! Ich bin grad dabei, mir all deine tollen Tipps zu Herzen zu nehmen, kann jedoch das PlugIn BackWpUp nicht finden – was würdest du denn als Alternative empfinden?
    Alles Liebe
    Laura

Trackbacks & Pingbacks

  1. […] habe ja bereits einiges über Sicherheit mit WordPress geschrieben. Damit du deinen WordPress-Blog nicht hacken lasst, gibt es sogar einen eigenen Post. Aber auch das Verzeichnis /wp-content ist ebenfalls ein […]

Kommentarfunktion deaktiviert.

Blogheim.at Logo