Seit etwa zwei Wochen gibt es Angriffe auf Webseiten, die gezielt auf die Loginseite von WordPress abzielen. Verschiedene Webhoster und Nachrichtenmagazine berichteten schon darüber und gaben Tipps, wie man sein WordPress absichern kann. Der Höhepunkt der ermittelten Angriffe war vor knapp einer Woche, flaut jedoch nicht wirklich ab, sondern wird zwischenzeitlich zum großen Teil durch das Sperren von den auffälligen IP-Ranges bei den Anbietern vermindert.
Zur Absicherung des Logins sowie der WordPress-Installation habe ich mir auch ein paar Gedanken gemacht:
Welche Benutzernamen und Passwörter unsicher sind
Angeführt wird die Liste der Usernamen (ermittelt von sucuri), die für die automatisierten Loginversuche und den Einbruch in WordPress mit weitem Abstand anführen, vom ‘admin’. Danach folgen Namen wie administrator, test oder support; aber auch root oder abc werden als Benutzernamen oft verwendet.
Die Passwörter, die verwendet werden, sind wohl sehr typisch und betreffen nicht nur WordPress, sondern auch Passwörter von E-Mailkonten oder Facebook etc. Dazu gibt es ja immer wieder Umfragen und Statistiken. Angeführt wird die Liste somit natürlich von Passwörtern wie admin, 1234, passwort, 1234556, password, 1234abc usw.
WordPress Grundschutz
Nicht speziell auf die aktuellen Angriffe ausgelegt, nachfolgend eine Reihe an Empfehlungen von mir:
Updates, denn viele Sicherheitslücken werden nach dem Auftreten durch anschließende Updates behoben. Das gilt natürlich nicht nur für das System selbst, sondern auch für alle installierten Plugins. Selbst deaktivierte Plugins stellen eine Gefahr dar, also mistet regelmäßig aus und deinstalliert nicht mehr Benötigte. Wer sich nicht so oft in seinen Blog einloggt, kann sich ja die Erweiterung “WP Updates Notifier” installieren, die per E-Mail über eine neue Version informiert.
Benutzernamen ändern und in keinem Fall den Standard-Benutzernamen ‘admin’ verwenden. Ihr könnt jederzeit einen zusätzlichen Benutzer anlegen und diesem die Adminberechtigung geben. Anschließend den alten User entfernen.
Ein sicheres Passwort verwenden. Was nun als sicher angesehen werden kann, darüber gibt es verschiedene Meinungen. Eine Länge von 12 Zeichen inkl. Ziffern und Sonderzeichen kann durchaus sicher sein. Eines mit 20 Stellen und Sonderzeichen aber auch. Als Mindestempfehlung würde ich von 10 Zeichen (inklusive Sonderzeichen, Groß-und Kleinschreibung sowie Zahlen) ansehen. Das Passwort sollte aber nicht mehrfach bei unterschiedlichen Diensten verwendet werden. Bitte möglichste keine Kombinationen mit eurem Name, Firmennamen oder Wörtern aus Wörterbüchern.
Da man sich komplexe Passwörter eher schwer merken kann, ist ein Passwortsafe auf dem Rechner eine gute Idee 😉
Weitere Möglichkeiten und Ideen
- Den Aufruf des Login-Formulars mittels vorgeschaltetem .htaccess-Passwortschutz absichern.
- Den Aufruf des Login-Formulars nur über SSL erlauben.
- Sicherheit auf dem Server: Aktuelle Versionen der installierten Servermodule, von PHP und MySQL. Hier ist den meisten Fällen der Hoster gefragt, aber es hilft natürlich auch, die angebotenen Einstellungsoptionen regelmäßig zu prüfen. Immer mehr Webhoster bieten verschiedene PHP-Versionen zur Auswahl an, man muss aber z.B. aktiv die neueste Version einstellen.
- Wenn Ihr eure Webseiten pflegt, achtet bitte auch auf sichere Passwörter für die FTP-/SSH-Accounts.
- Dateiberechtigungen prüfen: 755 für Verzeichnisse und 655 für Dateien reicht aus. Auch das Upload-Verzeichnis für WordPress benötigt eigentlich kein 777.
- Sicherheit auf dem PC, Smartphone: Aktuelle Updates und aktiven Virenscanner.
- Regelmäßige Backups helfen bei der Bereinigung nach einem erfolgreichen Hackversuch und sichern zudem vor Datenverlust 🙂
Sicherheits-Plugins für WordPress:
Es existieren Plugins für WordPress, über die die Anzahl an Fehl-Loginversuchen beschränkt werden kann. Beispielsweise AskApache Password Protect oder Limit Login Attempts. Auch ein umfassenderes Tool, das u.a. einige der oben genannten Empfehlungen prüfen kann und anzeigt, ob diese bereits erfüllt werden, wäre noch Better WP Security.
Falls jemand Erfahrung mit einem dieser Plugins hat, freue ich mich über Kommentare. Da jedes Plugin ja auch Lücken haben kann und meistens nur Optionen komfortabler setzt als der manuelle Weg, ist ein solches in meinen Augen nicht zwingend erforderlich.
