In meinem Vortrag beim WordPress Beginner Meetup Berlin vom 23.01.2019 ging es um das Thema WordPress-Sicherheit. Ich habe dabei verschiedene Maßnahmen aufgezeigt, wie Du WordPress effektiv absicherst.
2019 l l lWordPress – Sicherheit lWordPress – Sicherheit l l l l l l l l l l l l l • • • • Versand von Spam E-Mails Platzierung von Schadsoftware Zu Spam-Seiten weiterleiten Kryptowährung generieren Zu welchem Zweck wird WordPress gehackt?
l l l l l l l l l l l l l l Veraltete Regel Laut einer Empfehlung aus dem Jahr 2003 von Bill Burr, Beamter der US-Behörde NIST (National Institute of Standards and Technology) soll ein sicheres Passwort aus 6 bis 8 Zeichen, kleine und große Buchstaben, Zahlen und Sonderzeichen be- stehen und alle 90 Tage geändert werden. Im August 2017 äußerte der inzwischen pensionierte Bill Burr sein wortwörtli- ches „Bereuen“ gegenüber dem Wall Street Journal. WordPress – Sicherheit Sicheres Passwort verwenden
l l l l l l l l l l l l l l Neue Richtlinien der NIST Nach jetziger Ansicht des NIST sind sichere Passwörter eher lang (mind. 12 Zeichen) und weniger komplex. Also die Anzahl der Zeichen ist wichtiger als die Komplexität. Quelle: Wikipedia WordPress – Sicherheit Sicheres Passwort verwenden
l l l l l l l l l l l l l l Auf keinen Fall sollte der Benutzername „admin“ sein. Da dies sehr lange der Standard-Benutzername für WordPress war, ist dieser Benutzername besonders unsicher. WordPress – Sicherheit WordPress Benutzer
l l l l l l l l l l l l l l Mit Hilfe eines Plugins ändern: WP Prefi x Changer • https://wordpress.org/plugins/wp-prefi x-changer/ WordPress – Sicherheit Nachträglich das Datenbank Präfi x ändern
l l l l l l l l l l l l l l Bei einer sogenannten „Brute Force Attacke“ testet ein Bot abertausende Kombinationen aus Benutzernamen und Passwörtern auf der WordPress Login-Seite. Standardmäßig ist die Anzahl der Login-Versuche bei WordPress uneingeschränkt. Aber mit folgenden Plugin lässt sich die Anzahl der Versuche limitieren: Limit Login Attempts Reloaded * https://de.wordpress.org/plugins/limit-login-attempts-reloaded/ * Limit Login Attempts hat ein Verfallsdatum. Mit der neuen Generation von IP-Adressen (den IPv6-Adressen) kann zudem ein einzelner Angreifer seine IP-Adresse in Bruchteilen von Sekunden wechseln. WordPress – Sicherheit Die Anzahl der Login-Versuche einschränken
l l l l l l l l l l l l l l Die zweifache Authentifi zierung, die zum Beispiel von Internetbanking oder Facebook bekannt ist, steht auch WordPress zur Verfügung. Diese lässt sich mit folgendem Plugin realisieren: Plus der gleichnamigen App für das Smartphone aus dem App-Shop Google Play (für Android) oder App Store (für iOS) WordPress – Sicherheit 2-Faktor-Authentifi zierung für WordPress
l l l l l l l l l l l l l l Mit folgenden Plugin lassen sich neue Themes auf Viren testen und anschließend auch regelmäßig auf Infektionen im laufenden Betrieb prüfen AntiVirus https://de.wordpress.org/plugins/antivirus/ WordPress – Sicherheit WordPress Theme auf Viren & Malware überprüfen
l l l l l l l l l l l l l l Sobald auf der WordPress Webseite die Kommentarfunktion aktiviert und den Lesern somit die Möglichkeit gegeben wurde, Kommentare zu den Beiträgen und Seiten zu hinterlassen, stürzen sich auch Spam-Bots auf die Seite. Deren Ziel es ist, Links auf dubiose Webangebote oder gar für die Webseite schadhaften Code zu platzieren. Dagegen hilft folgendes Plugin: Antispam Bee https://de-ch.wordpress.org/plugins/antispam-bee/ WordPress – Sicherheit Spam Kommentare im WordPress-Blog eliminieren WordPress bringt von Hause aus zwei Plugins mit: Hello Dolly und Akismet. Akismet machen dasselbe wie Anti- spam Bee und ist sehr beliebt, aber leider nicht DSGVO-konform und deshalb nicht für den europäischen Raum zu empfehlen
2019 l l lWordPress – Sicherheit lWordPress – Sicherheit l l l l l l l l l l l l l Editor im Dashboard deaktivieren Folgende Zeile am Ende der Datei wp-confi g.php einfügen:
l l l l l l l l l l l l l l Htaccess steht kurz für Hypertext Access. Es ist eine Textdatei, mit der die Konfi guration des Apache Webservers beeinfl ussen werden kann. Die Konfi gurationen in der .htaccess-Datei, beziehen sich dabei immer auf den gesamten Inhalt des aktuellen Verzeichnisses. Sprich alle Dateien und Unterordner die sich darin befi nden. WordPress – Sicherheit Was ist eine .htaccess-Datei
2019 l l lWordPress – Sicherheit lWordPress – Sicherheit l l l l l l l l l l l l l • • • • • • Zugriff e auf .htaccess verhindern wp-confi g.php sperren Auslesen von Nutzernamen verhindern PHP – Fehlermeldungen unterdrücken Die XML-RPC Schnittstelle abschalten (wenn nicht genutzt) PHP im Upload-Ordner untersagen Schutzeinstellungen in der .htaccess
2019 l l lWordPress – Sicherheit lWordPress – Sicherheit l l l l l l l l l l l l l Die WordPress-Version verstecken Füge einfach den folgenden Code-Snippet in die functions.php Deines Themes ein:
2019 l l lWordPress – Sicherheit lWordPress – Sicherheit l l l l l l l l l l l l l Die Dateiberechtigung sollten auf 644 oder 640 gesetzt werden. Ausnahme: Die Datei wp-confi g.php sollte auf 440 oder 400 gesetzt werden, sodass andere Benutzer die Datei nicht lesen dürfen. Die Verzeichnisberechtigung sollten auf 755 oder 750 gesetzt werden. Kein Verzeichnis sollte eine 777 Berechtigung haben, nicht einmal das Upload-Verzeichnisse. Zugriff sberechtigungen auf dem Server • • •
owly
hugaomarques
takuro_nakajima
signer
asial_corp
akiraasano
karlov
nonxxxizm
aleyda
lynnandtonic
cherdarchuk
jonrohan
smashingmag
zakiwarfel
holman
keathley
soudai
moore
3n
robhawkes
