30 Minuten zum sicheren WordPress Blog

26. Juni 2017

WordPress ist nach wie vor, gerade bei Neulingen, das Mittel zur Wahl, um schnell eine ansehnliche Website zu erstellen.
Alles sch√∂n KlickiBunti, also ohne Fachkenntnisse ūüėČ

Leider bleibt dabei #InfoSec fast immer auf der Strecke und die „Admins“ wundern sich √ľber die neuen russischen Sprachpakete und zus√§tzliche AdminAccounts.

Das Absichern einer WordPress-Website ist keine Raketenwissenschaft, daher werde ich im folgende anschaulich erkl√§ren, wie ihr in 30 Minuten Angreifer den Spa√ü nehmt ūüėČ

#1 Updates

Es vergeht kein Quartal in dem kein Update f√ľr WordPress ver√∂ffentlich wird. Neben Performance und Usability werden auch Sicherheitsl√ľcken gepatched. Vers√§umt man ein wichtiges Update, wie viele Admins im Februar 2017, hat man schnell ungebetene G√§ste im Backend.

#2 Theme und PluginWahl (Updates)

Wenn m√∂glich installiert Plugins und Themes nur direkt aus dem WP-Backend, aus den sogenannten Repository. √Ąhnlich wie im Google, Microsoft oder Apple Store werden diese oberfl√§chlich gepr√ľft. Sofern Ihr Software aus anderen Quellen installiert, besteht immer die Gefahr zus√§tzliche „Features“ zu installieren.
Achtet auch auf den Update Zyklus der gew√ľnschten Theme oder Plugin. Wenn ein Plugin seit 3 Jahren keine Updates erh√§lt, lasst lieber die Finger davon (siehe #1)

Hierf√ľr zun√§chst ein Theme identifizieren, welches Euch gef√§llt und dieses auf auf WordPress suchen.

Anschlie√üend die Details auf Download-Zahlen und Aktualit√§t pr√ľfen. Je mehr Nutzer ein Theme nutzen, desto wahrscheinlicher werden Sicherheitsl√ľcken detektiert, gemeldet und behoben.

Das gleiche sollte bei Plugins kontrolliert werden.

#3 Security Plugin

Es gibt zahlreiche Security-Plugins f√ľr WordPress. Ich habe mich f√ľr „iThemes Security“ entschieden. Alle Operationen, welches diese Plugins durchf√ľhrt, k√∂nnte man auch h√§ndisch durchf√ľhren. Die Zielgruppe dieses Beitrags wird sich jedoch freuen, dass wir jetzt nicht via putty und vi loslegen ūüėČ

Nach der Installation des Plugins werden bereits wichtige Sicherheitseinstellung per Default gesetzt. Hier bitte eine g√ľltige E-Mail Adresse hinterlegen und den BruteForce-Schutz aktivieren, damit Ihr √ľber m√∂gliche Sicherheitsereignisse zeitnah informiert werdet.

Zusätzliche Einstellungen die bedenkenlos aktiviert werden können und die Security Eures Blogs erhöhen:

  1. 404-Erkennung
    Erschwert Angreifern das Nutzen von automatisierten Tools.
  2. Abwesenheitsmodus
    Wenn Ihr schlaft (und andere Staaten gerade anfangen), muss Euer Backend nicht erreichbar sein.
  3. Datei-√Ąnderungserkennung!
    Sollte ein Angreifer doch eine Datei erfolgreich auf Eurer Seite ver√§ndern oder hinzuf√ľgen, erhaltet Ihr hiermit umgehend eine Info-Mail.
  4. Backend verstecken!
    Security-Tools scannen zun√§chst auf Default-Einstellungen und suchen z.B. nach „/wp-login.php“, um Euer Login zu finden. Mit dieser Einstellung wird es schwieriger Euren Login zu finden. Bevor Ihr diese Einstellungen aktivieren k√∂nnt, m√ľsst Ihr in Euren WordPress-Einstellungen (rechts unter „Werkzeuge“) unter Permalinks z.B. Beitragsname ausw√§hlen. Anschlie√üend kann diese Funktion in iThemes aktiviert werden.
  5. weitere OptimierungenSystem-Optimierung:
    1. Nicht-Englische Zeichen
    2. Lange URL-Zeichenfolgen
    3. Verdächtige Abfrage-Zeichenfolgen
    4. Verzeichnisse durchsuchen
    5. SystemdateienWordPress-Optimierung

    WordPress-Optimierung:

    1. Kommentar-Spam
    2. XML-RPC (gemäß Hinweis in der Regel deaktivieren)
    3. Anmeldefehlermeldungen
    4. Extra Benutzerarchive deaktivieren

#4 Backups

Nach Eurer ersten Einrichtung bzw nach gr√∂√üeren √Ąnderungen Backups machen. Das Bedeutet WordPress UND Datenbank.
Dieses Backup kann uns in zwei Situation das Leben retten.

  1. Ein Update oder falsche Konfiguration arbeiten zerstören die Website.
  2. Ein Angreifer ist eingedrungen.

#5 Das Passwort

Das sicherste System hilft nicht, wenn die Zugangsdaten schlecht sind (admin:password01?). Entweder nutzt Ihr einen Passwortmanager (Beitrag folgt ) oder Ihr nutzt meine Passwort-Hilfe ūüėČ

#6 https

Investiert die 20 Euro im Jahr f√ľr ein SSL/TLS-Zertifikat. Dies hat mehrere Vorteile

  1. Werden Eure Zugangsdaten nicht im Klartext √ľber das Netzwerk versendet.
  2. Bewertet Google https Seiten besser
  3. Wirkt das bei Kunden professioneller

[…]
An dieser Stelle k√∂nnten beliebig viele weitere Ma√ünahmen und vor allem ServerSite-Security aufgef√ľhrt werden. Diese sollten aber Abh√§ngig von einer Risikoanalyse gew√§hlt werden. Mit den erl√§uterten Schritten k√∂nnt Ihr jedoch Euren Blog vor 90% der automatisierten Angriffen sch√ľtzen bzw. Angreifern das Leben erschweren ūüėČ Sofern weiterer Schutzbedarf besteht, Ihr viele dynamische Inhalte oder ein anderes bzw. kein CMS nutzt, scheut Euch nicht Kontakt zu mir aufzunehmen!

Viel Spaß beim härten!

 

 

√Ąhnliche Beitr√§ge

Die besten Sicherheitsmaßnahmen sind nutzlos, wenn schwache Zugangsdaten gewählt werden. Damit stellen sich zwei wesentliche Fragen, welche ich nachfolgend erläutern [...]

26. Juni 2017

Wir sind sicher, denn wir haben einen Virenscanner und eine Firewall! Diese Aussage fällt häufig als erstes und sollte daher [...]

11. Juli 2017

Fast täglich werden Nutzer zu Opfern sogenannter Phishing-Mails. Daher möchte ich in diesem kurzen Beitrag aufzeigen, auf welche Details geachtet [...]

14. Juli 2017

Jeden Tag werden Millionen von Menschen Opfer von Internetkriminalität. Diese werden in der Regel nicht von professionellen Hackern gezielt angegriffen, [...]

3. Oktober 2017