GuntiaHoster – Blog

wordpress-logo-simplified-rgb.png

WordPress absichern – Meine Tipps

von

dietmar
in , ,

Seit etwa zwei Wochen gibt es Angriffe auf Webseiten, die gezielt auf die Loginseite von WordPress abzielen. Verschiedene Webhoster und Nachrichtenmagazine berichteten schon darüber und gaben Tipps, wie man sein WordPress absichern kann. Der Höhepunkt der ermittelten Angriffe war vor knapp einer Woche, flaut jedoch nicht wirklich ab, sondern wird zwischenzeitlich zum großen Teil durch das Sperren von den auffälligen IP-Ranges bei den Anbietern vermindert.

Zur Absicherung des Logins sowie der WordPress-Installation habe ich mir auch ein paar Gedanken gemacht:

Welche Benutzernamen und Passwörter unsicher sind

Angeführt wird die Liste der Usernamen (ermittelt von sucuri), die für die automatisierten Loginversuche und den Einbruch in WordPress mit weitem Abstand anführen, vom ‚admin‘. Danach folgen Namen wie administrator, test oder support; aber auch root oder abc werden als Benutzernamen oft verwendet.

Die Passwörter, die verwendet werden, sind wohl sehr typisch und betreffen nicht nur WordPress, sondern auch Passwörter von E-Mailkonten oder Facebook etc. Dazu gibt es ja immer wieder Umfragen und Statistiken. Angeführt wird die Liste somit natürlich von Passwörtern wie admin, 1234, passwort, 1234556, password, 1234abc usw.

WordPress Grundschutz

Nicht speziell auf die aktuellen Angriffe ausgelegt, nachfolgend eine Reihe an Empfehlungen von mir:

Updates, denn viele Sicherheitslücken werden nach dem Auftreten durch anschließende Updates behoben. Das gilt natürlich nicht nur für das System selbst, sondern auch für alle installierten Plugins. Selbst deaktivierte Plugins stellen eine Gefahr dar, also mistet regelmäßig aus und deinstalliert nicht mehr Benötigte. Wer sich nicht so oft in seinen Blog einloggt, kann sich ja die Erweiterung „WP Updates Notifier“ installieren, die per E-Mail über eine neue Version informiert.

Benutzernamen ändern und in keinem Fall den Standard-Benutzernamen ‚admin‘ verwenden. Ihr könnt jederzeit einen zusätzlichen Benutzer anlegen und diesem die Adminberechtigung geben. Anschließend den alten User entfernen.

Ein sicheres Passwort verwenden. Was nun als sicher angesehen werden kann, darüber gibt es verschiedene Meinungen. Eine Länge von 12 Zeichen inkl. Ziffern und Sonderzeichen kann durchaus sicher sein. Eines mit 20 Stellen und Sonderzeichen aber auch. Als Mindestempfehlung würde ich von 10 Zeichen (inklusive Sonderzeichen, Groß-und Kleinschreibung sowie Zahlen) ansehen. Das Passwort sollte aber nicht mehrfach bei unterschiedlichen Diensten verwendet werden. Bitte möglichste keine Kombinationen mit eurem Name, Firmennamen oder Wörtern aus Wörterbüchern.
Da man sich komplexe Passwörter eher schwer merken kann, ist ein Passwortsafe auf dem Rechner eine gute Idee 😉

Weitere Möglichkeiten und Ideen

  • Den Aufruf des Login-Formulars mittels vorgeschaltetem .htaccess-Passwortschutz absichern.
  • Den Aufruf des Login-Formulars nur über SSL erlauben.
  • Sicherheit auf dem Server: Aktuelle Versionen der installierten Servermodule, von PHP und MySQL. Hier ist den meisten Fällen der Hoster gefragt, aber es hilft natürlich auch, die angebotenen Einstellungsoptionen regelmäßig zu prüfen. Immer mehr Webhoster bieten verschiedene PHP-Versionen zur Auswahl an, man muss aber z.B. aktiv die neueste Version einstellen.
  • Wenn Ihr eure Webseiten pflegt, achtet bitte auch auf sichere Passwörter für die FTP-/SSH-Accounts.
  • Dateiberechtigungen prüfen: 755 für Verzeichnisse und 655 für Dateien reicht aus. Auch das Upload-Verzeichnis für WordPress benötigt eigentlich kein 777.
  • Sicherheit auf dem PC, Smartphone: Aktuelle Updates und aktiven Virenscanner.
  • Regelmäßige Backups helfen bei der Bereinigung nach einem erfolgreichen Hackversuch und sichern zudem vor Datenverlust 🙂

Sicherheits-Plugins für WordPress:

Es existieren Plugins für WordPress, über die die Anzahl an Fehl-Loginversuchen beschränkt werden kann. Beispielsweise AskApache Password Protect oder Limit Login Attempts. Auch ein umfassenderes Tool, das u.a. einige der oben genannten Empfehlungen prüfen kann und anzeigt, ob diese bereits erfüllt werden, wäre noch Better WP Security.

Falls jemand Erfahrung mit einem dieser Plugins hat, freue ich mich über Kommentare. Da jedes Plugin ja auch Lücken haben kann und meistens nur Optionen komfortabler setzt als der manuelle Weg, ist ein solches in meinen Augen nicht zwingend erforderlich.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz-Übersicht
GuntiaHoster - Blog

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie die Wiedererkennung von dir, wenn du auf unsere Website zurückkehrst. Cookies helfen unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Erforderliche Cookies

Unbedingt notwendige Cookies für wesentliche Funktionen zur Sicherstellung der Servicekontinuität und Standortsicherheit, sowie zur Speicherung deiner Auswahl für die Cookie-Einstellung.

Analyse-Cookies

Diese Website verwendet WordPress.com-Stats von Quantcast Inc., um Informationen wie die Anzahl der Besucher der Website und die beliebtesten Seiten zu sammeln.

Diesen Cookie aktiviert zu lassen, hilft uns dabei, unsere Produkte, Dienstleistungen und das Benutzererlebnis zu verbessern.

Zusätzliche Cookies

Diese Website verwendet die folgenden zusätzlichen Cookies:

- VG Wort (Session-Cookie)

Dieses Cookie hilft, die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen zu ermitteln und hilft, eine rechtmäßige Vergütung sicherzustellen.