WordPress Sicherheit: Maßnahmen zum Schutz des Systems

Die Statistiken zeigen es deutlich: WordPress besetzt Platz 1 im Ranking der 10 meist verwendeten Content-Management-Systeme (CMS) weltweit nach Marktanteil (April 2017, Quelle: Statista). Solch ein verbreiteter Einsatz macht Sicherheitslücken umso mehr kritischer – und lukrativer für Hacker. Kein System kann zu 100% geschützt werden. Das sollte aber niemanden dazu veranlassen, keine Maßnahmen im Vorhinein zu treffen, um die eigene WordPress Sicherheit im System zu erhöhen.

Grundlegende Prinzipien: WordPress sichern durch Verhaltensregeln

Bevor man sich ausführlich über bekannte Angriffsmechanismen wie Cross-Site Scripting (XSS), Path Traversal, Brute-Force-Attacken o.ä. informiert, sollte man zunächst einige grundlegende Dinge bedenken:

WordPress Updates regelmäßig durchführen

Ein Check durch WPScan einer zufälligen WordPress-basierenden Website zeigt es auf: Die Verwendung von veralteten WordPress Plugin Versionen sowie eine alte WordPress Version per se macht die eigene Website zu einem leichteren Angriffsziel.

Das Programm zeigt die Vulnerability (Verletzlichkeit) der Software-Version auf und gibt die passende Update-Version zur Behebung des Problems an. Aktualisiert man seine Plugins regelmäßig, hat man diese Probleme nicht.

Wordpress Plugins updaten
Wordpress Version updatenDie WordPress Version sollte regelmäßig und zeitnahe aktualisiert werden.

Plugin-Bewusstsein: Plugins als Sicherheitsrisiko

Nicht hinter jedem Plugin steht ein Entwicklerteam, die regelmäßig die Integrität des Plugins gewährleisten wollen sowie frühzeitig Updates liefern, um Sicherheitslücken zu schließen. Bei der Wahl der eigenen Plugins sollte man daher stets die Update-Historie überprüfen und nur sichere Download-Quellen wie das offizielle WordPress Plugin Verzeichnis verwenden.

Passwortwahl: Bitte nicht 123456

Klicken Sie auf den unteren Button, um den Inhalt von giphy.com zu laden.

Inhalt laden

(via GIPHY) Man ist immer erschrocken, wie leichtfertig Personen ihre Passwörter wählen. Heutzutage sind Brute-Force-Attacken vom eigenen Computer realisierbar. Mit WPScan lässt sich eine Brute-Force-Attacke über drei Konsolenbefehle ausführen. Passende Passwort-Listen in zweistelliger MB-Größe gibt es z.B. bei Weakpass.

Angriffsflächen bei WordPress – Kommentare und Meta-Informationen

Für WordPress Versionen 4.2 und älter besteht die Gefahr des Cross-Site-Scripting im Kommentar-Bereich. Das ist aber nur eine von vielen Sicherheitslücken, die in zeitnahen Abständen durch Updates korrigiert werden.  Vor zwei Jahren hat WordPress dringend ein Update seinen Nutzern empfohlen (auf Version 4.2.1). Generell ist der Kommentar-Bereich ein gern gesehenes Werkzeug, um schadhafte Links hinter Nutzernamen zu legen. Auf Unterseiten bspw. lohnt es sich, die Funktion einfach zu deaktivieren.

Weiterhin: Das Offenlegen von Meta-Informationen, genauer: der Benutzernamen des Autors. Mit dem Benutzername kann der Angreifer nun Passwörter durchtesten. Eine Alternative (fiktiv, Spitzname, ein Alias) kann eingestellt werden. admin und Abwandlungen sind nicht empfehlenswert. In der unteren Abbildung hat man eine WordPress-Installation durchgeführt, die der Nutzer durch Navigation nicht erreichen kann, aber durch eine site:Abfrage gefunden werden kann. Der Blog wurde nicht gepflegt, das Post Beispiel wurde nicht entfernt und in der Meta findet man den Benutzername des Autors, den man nun für Login Attacken verwenden kann.

Sicherheitsmaßnahmen für WordPress – Plugins, Serverkonfiguration, …

Sortiert nach dem geschätzten technischem Aufwand sind hier erste Sicherheitsmaßnahmen für euch aufgelistet.

 

    • Whitepaper von Kaspersky lesen

 

Das Whitepaper von Kaspersky zum Thema WordPress Sicherheit sollte zum Einstieg für jeden interessant sein.

 

Zunächst einmal gibt es eine Reihe an WordPress Sicherheitsplugins oder umfassendere Plugins mit zusätzlichen Sicherheitsfunktionen. Zur oberen Kategorie gehören z.B. Wordfence Security, iThemes Security und All In One WP Security, die ihre User bei der Absicherung ihres Systems unterstützen. All in One und Wordfence glänzen vor allem durch ihre stetige Aktualisierung.
Zur zweiten Kategorie lässt sich beispielsweise Jetpack zählen. Jetpack bietet eine große Palette an Werkzeugen an, um die Funktionalität und Nutzbarkeit der Seite zu erhöhen (Infinite Scroll, Statistiken, Mobile Theme). In der kostenlosen Version gibt es eine Brute Force Attack Protektion, Down- und Uptime Monitoring sowie einen gesicherten Login und Zwei-Faktor-Authentifizierung. Die bezahlte Version bietet zusätzlich das Scannen von Malware und Code, Threat Resolution, Website Backups, Wiederherstellung und Migrationen.

Sehr zu empfehlen: Limit Login Attempts. Sichert die Seite einfach vor Brute Force Attacken.

Viele setzen bei der Bekämpfung von Spam auf die Antispam Bee, falls ihr Probleme beim Managen von Kommentaren habt.

 

    • HTTPS statt HTTP einrichten

 

Die Umstellung erfolgt an sich sehr unkompliziert. Mit Let’s Encrypt kommt man schnell an ein zeitlich begrenzt nutzbares Zertifikat, das zur Umstellung auf HTTPs verwendet werden kann. Auch hier gibt es individuell für jeden Hosting-Anbieter eine Anleitung.

 

    • .htaccess konfigurieren

 

Es gibt die Möglichkeit, seine Login-Seite durch die Konfiguration der .htaccess durch ein zusätzliche Eingabemaske zu schützen. HostEurope hat den Verzeichnisschutz bereits für alle Kunden, die sich für das WordPress Hosting entschieden haben, fest integriert. Dort muss bei der Startkonfiguration ein Nutzername und ein entsprechendes Passwort gesetzt werden. Ansonsten tummeln sich dutzende Anleitungen im Internet rum, wie man den Verzeichnisschutz bei seinem Hosting-Anbieter aktivieren kann.

WordPress Sicherheit auf den Zahl fühlen mit WPSCan

Mit WPScan kann man sich nützliche Sicherheitshinweise durch eine entsprechende Site Analyse anzeigen lassen. Die entsprechenden Anleitungen kann man sich hier bei GitHub ansehen. Nach Start der Analyse über ruby wpscan.rb –url www.example.com gibt es auf der Konsole einen Überblick über die Sicherheitsprobleme der Seite. Interessant dabei: WPScan empfiehlt das Löschen der ReadMe-Datei (je nach Sprachversion liesmich.html oder readme.html), die Aufschluss über die WordPress Version gibt. Löschen!

Marvin Jörs

Marvin Jörs ist Gründer und geschäftsführender Gesellschafter der Skyscraper Marketing UG. Bereits mit 14 Jahren absolvierte Jörs sein erstes Schulpraktikum bei der Deutschen Telekom mit Aspekten aus der Suchmaschinenoptimierung. Seitdem erfolgten mehrere berufliche Stationen sowie Aktivitäten als freiberuflicher Webdesigner. Er hat an der Technischen Universität in Darmstadt einen B.Sc. in Wirtschaftsinformatik abgeschlossen.