- von Mario am Donnerstag, 20. November 2008
Mach’ dein Blog zur Festung! - 8 Sicherheitstipps
Keine Internetseite ist absolut sicher, kein Blog vor Angriffen gefeit. Speziell so große und populäre Systeme wie Wordpress sind immer wieder mal Ziel von Hackerattacken. Wurden erst mal Dateien manipuliert, muss oft das ganze Projekt nach Schwachstellen durchsucht werden. Um gleich im Vorhinein mögliche Angriffsflächen zu beseitigen gibt es viele Möglichkeiten, die besten 8 davon werden hier vorgestellt.
1. Passwort verbessern
Bei der Installation von Wordpress bekommt man standardmäßig ein Passwort. Es ist 12 Zeichen lang und besteht aus Klein- und Großbuchstaben sowie Sonderzeichen. Zwar ist die Chance ziemlich geringt, dass diese Kombination geknackt wird, wer jedoch gerne ein längeres oder selbsterstelltes Passwort hätte, kann dies ganz einfach erstellen.
Zuerst hier das Passwort eingeben und dann auf den Button klicken. Die md5-Prüfsumme in die Zwischenablage kopieren und dann ab in die MySQL Datenbank von Wordpress. In der Tabelle wp_user (so heißt die standardmäßig) wird jetzt beim entsprechenden User (in der Regel admin) auf ändern geklickt und bei user_pass die md5-Prüfsumme vom Passwort eingegeben. Speichern und fertig!
Bild: flickr, CarbonNYC
In diesem Zuge kann es auch sinnvoll sein, den Standarduser admin umzubenennen!
2. Admin-Bereich schützen
Das Problem besteht grundsätzlich darin, dass jeder Wordpress User weiß, dass man sich unter beispieldomain.de/wp-admin einloggen kann. Hier kann jeder ohne Einschränkungen hin und nach Lust und Laune Kombinationen ausprobieren oder den Besitzer ärgern, indem ständig neue Passwörter angefordert werden. Dieses Problem kann ganz einfach so behoben werden, indem einfach allen IP-Adressen außer der eigenen natürlich, der Zugriff verweigert wird. Dazu einfach die Datei “.htacces” mit folgendem Inhalt im Ordner wp-admin ablegen:
order deny,allow
deny from all
allow from 11.111.111.11
Anstelle der markierten Zahlen muss die eigene IP-Adresse eingegeben werden, diese kann man hier herausfinden. Bei dynamischen IP’s sollte man oben nur die ersten beiden Zahlenkombinationen angeben. (Also im Format xx.xxx)
Durch diese Vorgehensweise erübrigt es sich, die Benutzerregistrierung zu deaktivieren.
3. Kümmere dich um deine Plugins
Plugins bieten Schwachstellen im System, deshalb gilt: So wenig Plugins wie möglich verwenden, deaktivierte sofort löschen!
Die Plugins, die in Verwendung sind, immer am aktuellsten Stand halten. Wordpress zeigt Updates sogar automatisch an, also was will man mehr…
4. Wordpress aktuell halten
Ich denke, das ist klar. Es werden nicht zum Spaß neue WP-Versionen entwickelt, sonder deshalb weil Schwachstellen ausgemerzt und Verbesserungen integriert werden möchten. Welche die aktuellste Version ist, kann man im Dashboard-Footer oder auf der offiziellen deutschen Seite von Wordpress nachlesen.
Mit Verwendung der aktuellsten Version wurden bereits einige Sicherheitstipps (die ich hier garnichts erst erwähne) sinnlos, da einige Sicherheitslücken behoben wurden!
5. Blogssystem unkenntlich machen
Nichts ist gefährlicher, als wenn dein Gegner alles über dich weiß. Je mehr Informationen Hackern gegeben werden, desto einfacher wird die Sache. Deshalb ist es sinnvoll Codezeilen aus dem Theme zu entfernen, die anzeigen um welche WP-Version es sich handelt. Vorallem bei älteren Themes ist dieser Code noch zu finden:
<meta name=”generator”
content=”WordPress <?php bloginfo(’version’); ?>” />
Obigen Code aus der header.php deines Themes entfernen!
Tabellenpräfix “wp_” sollte gleich anfangs bei der Installation des Blogs geändert werden, denn hier lässt sich auch erkennen, dass es sich um Wordpress handelt. Hat man diese beiden Dinge angewandt und zusätzlich wie oben beschrieben noch den Login gesperrt, so ist nicht mehr eindeutig erkennbar, dass es sich um Wordpress handelt.
6. Zugriff auf .php Dateien blockieren
Durch Hinzufügen von einigen Codezeilen in die .htaccess kann ein weiteres Sicherheitsrisiko minimiert werden:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} !error
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /(wp-includes|wp-content)/(.+)\.php\ HTTP/RewriteRule .* - [F]
</IfModule>
7. Sicherer Upload
Gewusst, dass auch beim Hochladen von Dateien auf den Server ein Sicherheitsrisiko vorhanden ist? Ja, die Daten werden nämlich beim FTP nicht verschlüsselt, deshalb sollte FTP über SSL (genannt SFTP, also “Safe FTP”) verwendet werden. Nicht jeder Hoster bietet diese Option an, dennoch lohnt es sich nachzufragen.
8. Das sei noch gesagt…
Da 100%ige Sicherheit nie gegeben ist, sollten laufend Sicherungen gemacht werden, für den Fall der Fälle! Diese Tipps wurden in Annahme der Verwendung von Wordpress 2.6.3 gemacht, bei älteren Versionen können eventuell noch weitere Sicherheitsmängel vorhanden sein - deshalb gleich updaten!
Super Tipps, noch nirgends so eine gute Zusammenfassung gefunden! Übrigens die neue Seite ist genial geworden.
Schönes WE
Thomas
Das mit dem Passwort war für mich sehr hilfreich, da ich lokal gearbeitet und das Passwort vergessen habe. Zusenden ging nicht, da lokal - so habe ich es einfach in der DB geändert.
Hm, würde das sichere FTP gerne mal ausprobieren. Leider unterstützt das mein Hoster nicht. Habe einige Tipps davon gleich angewandt, wie zb. wp-admin via htaccess gesperrt, ist ja irgendwie dumm, wenn jeder dazu kommt…
Ciao
Mike
Oje, da muss ich schnell was machen. Hab grad gesehen, dass ich noch mit einer 2.5er Version arbeite…
Nr. 1 ist eigentlich nicht notwendig, da das normale PW eh schon sicher ist. Ich denke die größe Gefahr geht nach wie vor von den Plugins aus, die einfach nicht so gut getestet werden und immer wieder Lücken haben.
Maxan’s neuester Blog-Eintrag: PKV wechseln MIT Altersrückstellung
Also bei Tipp 2 kann ich nur den Kopf schüttel angesichts Zwangstrennung und dynamicher IP’s. Wer den befolgt sperrt sich unter umständen selber aus
Natürlich kann man das am nächsten Tag ändern, aber das ist dann doch zu unpraktisch.
Robert Curth’s neuester Blog-Eintrag: Der erste Web 2.0 fähige Hase der Welt
Ich kann deine Zweifel nicht verstehen. Selbst ein Matt Cutts wendet diesen Trick an. Bei dynamischen IP’s ändert sich immer nur die letzten beiden Kombinationen, aber nicht der erste Strang.
@Mario Bei dynamischen IP’s ändert sich immer nur die letzten beiden Kombinationen.
Ok von mir aus
Dann ist aber dein Beispielcode trotzdem falsch. Matts Cutts wendet diesen Trick wohl an, weil das dynamische IP-Problem ein typisch deutsches ist. Die restlichen Tricks sind auch sehr hilfreich. Ich empfehle im übrigen die Wordpress-API im Zweifel immer zu schließen. Entweder geht das neuerdings im Backend, ansonsten tut es auch der PHP-Befehl:
die();
Robert Curth’s neuester Blog-Eintrag: Der erste Web 2.0 fähige Hase der Welt
@Robert: Danke für den Hinweis! Habe es entsprechend umgebessert.
Jetzt aber ernstaft:
Schön und gut, die ganzen Tipps, aber wer (außer mir) benötigt von den anderen WerbeBloggern diese Tipps? Oder zerhacken sich die WerbeBlogger jetzt schon gegenseitig? Bei mir finden regelmäßig Übergriffe statt, je nachdem, was für Artikel ich schreibe. Die letzten kamen von Nazi-Dumpfbacken, als ich über Dr. Jörg Haider ablästerte.
In Sachen .htaccess würde ich eher empfehlen, die auf 644 zu setzen und gut ist., außer jemand bekommt die FTP-Zugangsdaten raus. Es ist nicht nötig, dass von Wordpress aus die .htaccess geändert werden kann, sollte besser manuell vorgenommen werden und schon ist ein ganz großes Stück Sicherheit geschaffen.
Und außerdem: Die beste Sicherheit ist ein 2 x tägliches Backup, wenn sich die Inhalte entsprechend häufig ändern.
Die Idee mit dem IP-geschützten Admin-Bereich, ist nicht schlecht, aber ich schreibe oftmals von unterwegs. Tja, dann komme ich nicht in meinen Admin-Bereich…
Alles hat so seine Haken und Ösen - bei den meisten, denke ich, wird nicht die Sicherheitsfrage entstehen, weil einfach kein Interesse da ist, den Blog zu hacken… Also, keine Paranoia!!
Dr. Satori wünscht ein schönes Weekend!!
Dr. Satori’s neuester Blog-Eintrag: Dr. Satori und seine Lieblingsfeinde: “Die Internet Dumpfbacken”
@Dr. Satori: Naja, ob man Ziel einer Attacke ist, weiß man leider erst immer im Nachhinein. Sicherungen sind wichtig, keine Frage, aber hier geht es um präventive Maßnahmen.
Gruß
Mario
Tipp 2 setze ich noch gar nicht ein. danke für den Tipp. Werde ich gleich mal nach holen.
Heiko’s neuester Blog-Eintrag: Individueller Adventskalender
Ja, Tipp 2 ist ein Muss. Auf einem populären Blog kann das sonst schnell ins Auge gehen oder zumindest nervig sein.
Also bei Punkt 5 fehlt noch etwas, denn durch das bloße entfernen aus der header.php bringt die entsprechende Zeile noch nicht aus dem Quelltext! Dazu muss noch die Datei general-template.php angepasst werden, denn erst dann ist diese Zeile komplett raus.
Außerdem bringt das entfernen der Zeile noch einen weiteren Vorteil, siehe hier:
http://www.konzept-welt.de/promotion-news/119-seo-test-metatag-generator/
gruss