30 Minuten zum sicheren WordPress Blog

WordPress ist nach wie vor, gerade bei Neulingen, das Mittel zur Wahl, um schnell eine ansehnliche Website zu erstellen.
Alles schön KlickiBunti, also ohne Fachkenntnisse 😉

Leider bleibt dabei #InfoSec fast immer auf der Strecke und die „Admins“ wundern sich über die neuen russischen Sprachpakete und zusätzliche AdminAccounts.

Das Absichern einer WordPress-Website ist keine Raketenwissenschaft, daher werde ich im folgende anschaulich erklären, wie ihr in 30 Minuten Angreifer den Spaß nehmt 😉

#1 Updates

Es vergeht kein Quartal in dem kein Update für WordPress veröffentlich wird. Neben Performance und Usability werden auch Sicherheitslücken gepatched. Versäumt man ein wichtiges Update, wie viele Admins im Februar 2017, hat man schnell ungebetene Gäste im Backend.

#2 Theme und PluginWahl (Updates)

Wenn möglich installiert Plugins und Themes nur direkt aus dem WP-Backend, aus den sogenannten Repository. Ähnlich wie im Google, Microsoft oder Apple Store werden diese oberflächlich geprüft. Sofern Ihr Software aus anderen Quellen installiert, besteht immer die Gefahr zusätzliche „Features“ zu installieren.
Achtet auch auf den Update Zyklus der gewünschten Theme oder Plugin. Wenn ein Plugin seit 3 Jahren keine Updates erhält, lasst lieber die Finger davon (siehe #1)

Hierfür zunächst ein Theme identifizieren, welches Euch gefällt und dieses auf auf WordPress suchen.

Anschließend die Details auf Download-Zahlen und Aktualität prüfen. Je mehr Nutzer ein Theme nutzen, desto wahrscheinlicher werden Sicherheitslücken detektiert, gemeldet und behoben.

Das gleiche sollte bei Plugins kontrolliert werden.

#3 Security Plugin

Es gibt zahlreiche Security-Plugins für WordPress. Ich habe mich für „iThemes Security“ entschieden. Alle Operationen, welches diese Plugins durchführt, könnte man auch händisch durchführen. Die Zielgruppe dieses Beitrags wird sich jedoch freuen, dass wir jetzt nicht via putty und vi loslegen 😉

Nach der Installation des Plugins werden bereits wichtige Sicherheitseinstellung per Default gesetzt. Hier bitte eine gültige E-Mail Adresse hinterlegen und den BruteForce-Schutz aktivieren, damit Ihr über mögliche Sicherheitsereignisse zeitnah informiert werdet.

Zusätzliche Einstellungen die bedenkenlos aktiviert werden können und die Security Eures Blogs erhöhen:

  1. 404-Erkennung
    Erschwert Angreifern das Nutzen von automatisierten Tools.
  2. Abwesenheitsmodus
    Wenn Ihr schlaft (und andere Staaten gerade anfangen), muss Euer Backend nicht erreichbar sein.
  3. Datei-Änderungserkennung!
    Sollte ein Angreifer doch eine Datei erfolgreich auf Eurer Seite verändern oder hinzufügen, erhaltet Ihr hiermit umgehend eine Info-Mail.
  4. Backend verstecken!
    Security-Tools scannen zunächst auf Default-Einstellungen und suchen z.B. nach „/wp-login.php“, um Euer Login zu finden. Mit dieser Einstellung wird es schwieriger Euren Login zu finden. Bevor Ihr diese Einstellungen aktivieren könnt, müsst Ihr in Euren WordPress-Einstellungen (rechts unter „Werkzeuge“) unter Permalinks z.B. Beitragsname auswählen. Anschließend kann diese Funktion in iThemes aktiviert werden.
  5. weitere OptimierungenSystem-Optimierung:
    1. Nicht-Englische Zeichen
    2. Lange URL-Zeichenfolgen
    3. Verdächtige Abfrage-Zeichenfolgen
    4. Verzeichnisse durchsuchen
    5. SystemdateienWordPress-Optimierung

    WordPress-Optimierung:

    1. Kommentar-Spam
    2. XML-RPC (gemäß Hinweis in der Regel deaktivieren)
    3. Anmeldefehlermeldungen
    4. Extra Benutzerarchive deaktivieren

#4 Backups

Nach Eurer ersten Einrichtung bzw nach größeren Änderungen Backups machen. Das Bedeutet WordPress UND Datenbank.
Dieses Backup kann uns in zwei Situation das Leben retten.

  1. Ein Update oder falsche Konfiguration arbeiten zerstören die Website.
  2. Ein Angreifer ist eingedrungen.

#5 Das Passwort

Das sicherste System hilft nicht, wenn die Zugangsdaten schlecht sind (admin:password01?). Entweder nutzt Ihr einen Passwortmanager (Beitrag folgt ) oder Ihr nutzt meine Passwort-Hilfe 😉

#6 https

Investiert die 20 Euro im Jahr für ein SSL/TLS-Zertifikat. Dies hat mehrere Vorteile

  1. Werden Eure Zugangsdaten nicht im Klartext über das Netzwerk versendet.
  2. Bewertet Google https Seiten besser
  3. Wirkt das bei Kunden professioneller

[…]
An dieser Stelle könnten beliebig viele weitere Maßnahmen und vor allem ServerSite-Security aufgeführt werden. Diese sollten aber Abhängig von einer Risikoanalyse gewählt werden. Mit den erläuterten Schritten könnt Ihr jedoch Euren Blog vor 90% der automatisierten Angriffen schützen bzw. Angreifern das Leben erschweren 😉 Sofern weiterer Schutzbedarf besteht, Ihr viele dynamische Inhalte oder ein anderes bzw. kein CMS nutzt, scheut Euch nicht Kontakt zu mir aufzunehmen!

Viel Spaß beim härten!