WordPress verstecken und absichern

WordPress Quellcode verstecken

WordPress Sicherheit verbessern und überwachen

Eine WordPress Installation ist aufgrund ihrer Popularität ständigen Angriffen ausgesetzt und es besteht die Gefahr, dass mangels Sicherheitseinstellungen oder dem gänzlichen Fehlen eines WordPress Security Plugin, Hacker oder Bots die WordPress Instanz kompromittieren. In diesem Fall werden im Anschluss Spam-Emails verschickt, Webspace wird für fremde Zwecke genutzt (Diebstahl von Ressourcen), oder es werden Daten geklaut wie z.B. Kundendaten oder digitale Produkte. Im schlimmsten Fall richten die Einbrecher Datenschäden an, verschlüsseln oder löschen Daten auf dem Server. Gerne bedient man sich auch dem Traffic-Klau, indem einfach alle Besucher auf eine andere Webseite weitergeleitet werden.

 

Es gibt keine 1-Klick-Lösung für WordPress Sicherheit!

Um eine selbst gehostete WordPress Installation ausreichend vor Angriffen und Spam-Kommentaren zu schützen, hat sich eine Kombination aus drei WordPress Schutzmaßnahmen bewährt. Die meisten Blogger und WP-Nutzer möchten vielleicht glauben, es genüge ein WordPress Security Plugin zu installieren, aber auch diese WP Plugins sind von der Stange und der Quellcode ist für jeden einsehbar – auch für Hacker bzw. Webseiten-Angreifer.

 

Erste Maßname: WordPress Firewall & WordPress AntiVirus-Plugin

Was die meisten flüchtig von ihren heimischen PCs und Router-Konfigurationen kennen, funktioniert bei WordPress ähnlich. Besucher mit bestimmten Verhaltensweisen, IP-Adressen und anderen web-spezifischen Attributen kann der Zugang zur Webseite verweigert werden. Zudem können Regeln definiert werden, die für den Besucher bei bestimmten Verhaltensweisen die Bandbreite und somit die Ladezeiten der WordPress-Seite drosseln. So ist es möglich für Besucher bei kurz hintereinander folgenden Kommentar-Posts einen verlangsamten Seitenaufbau zu veranlassen, oder die Kommentar-Funktion auf Zeit komplett zu sperren.

In den meisten Fällen kommen die WordPress Firewall Plugins inklusive AntiVirus-Funktion. Hier verhält es sich schon ganz anders als bei den PC/Win- und MacOS-Programmen. AntiVirus-Software für WordPress vergleicht in erster Linie die Dateien der WordPress-Installation mit den originalen WP-Dateien der entsprechenden Version und Sprache. Der Virus-Scan an sich ist sehr textbasiert. WordPress AntiViren-Scanner suchen nach bestimmten PHP-Funktionen die auffällig oft bei Backdoor-Scripts zum Einsatz kommen und weisen darauf hin wenn versucht wird PHP-Code zu verschleiern.

Aber nicht nur Textdateien und Quellcode überprüfen die AntiVirus-Plugins, sondern auch Grafiken werden auf ihre Integrität geprüft und einer Datenvalidierung unterzogen. Häufig wird per <img> Tag nicht typischerweise eine Image-Datei eingebunden, sondern eine Datei mit schädlichem Quellcode. Dieser wird ausgeführt, wenn die betroffene Webseite im Browser aufgerufen wird.

 

 

Zweite Maßnahme: WordPress Login Angriffe abwehren

In der Regel bieten die meisten WordPress Firewalls eine Funktion an, mit welcher man den WordPress Login absichern kann. Mit einer gesunden Kenntnis über deren Funktionsweise lassen sich aber auch diese Hürden ohne große Probleme überwinden. Zusätzlichen Schutz bietet hier eine serverseitige Schutzmaßnahme die alt aber bewährt ist, nämlich der .htaccess Passwortschutz bzw. Verzeichnis- und Dateischutz. Bevor überhaupt PHP-Script oder WordPress-Funktionen ausgeführt werden, die einen Angriff auf den WP-Login erlauben, erscheint eine Passwort-Abfrage.

Schritt-für-Schritt-Anleitung:

  1. anlegen einer leeren Textdatei mit einem Texteditor
  2. erstellen von Username und Passwort: htpasswd-Generator
  3. kopieren und einfügen des generierten Codes aus Schritt 2 in den Texteditor
  4. speichern der Textdatei unter dem Name .htpasswd
  5. hochladen der .htpasswd-Datei auf den Webspace in ein beliebiges Verzeichnis (per FTP/SFTP)
  6. öffnen der .htaccess Datei (per FTP/SFTP) in dem Installationsverzeichnis von WordPress (falls vorhanden, sonst neu anlegen)
  7. einfügen und speichern der folgenden Code-Zeilen in die .htaccess-Datei
<Files wp-login.php>
 AuthName "Login"
 AuthType Basic
 AuthUserFile http://www.domainname.de/verzeichnis/unterverzeichnis/.htpasswd  
 require valid-user
</Files>

<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
 order deny,allow
 deny from all
</FilesMatch>

Anschließend ist das WordPress Dashbord per htaccess geschützt. Wer sich stets im gleichen IP-Adressbereich bewegt oder gar die selbe IP-Adresse im Internet verwendet, kann WordPress zusätzlich mit einer IP-Abfrage schützen. In dem Fall wird ausschließlich Zugang zu dem Adminbereich gewährt, wenn die IP-Adresse stimmt.

Folgender Code muss in der .htaccess-Datei ergänzt werden um den IP-Schutz für WordPress zu aktivieren:

.
.
.
order deny,allow
deny from all
allow from 10.1.73.
allow from 192.168.100.
allow from 192.168.1.15

satisfy any

</FilesMatch>

Die obige Konfiguration erlaubt alle Besucher mit den IP-Adressen aus den Bereichen 10.1.73.*, 192.168.100.* und explizit die IP-Adresse 192.168.1.15. Die Zeile satisfy any bewirkt das nur eine der Regeln greifen muss.

 

Dritte Maßnahme: WordPress verstecken

Wie schon zu Beginn erwähnt ist WordPress eine weit verbreitete Software und bietet aufgrund seiner offenen Standards eine breite Angriffsfläche für Angreifer. Selbst Amateuren ist es ein Leichtes über den Quellcode im Browser festzustellen ob es sich um eine Webseite handelt, die über WordPress verwaltet wird. Seit Jahren existiert bereits WordPress-Spionage-Software die ausgiebig Aufschluss darüber gibt, welche Plugins und Themes eine WP-Installation verwendet. Mitunter werden von manchen Webseiten sogar Sicherheitslücken und Anleitungen für Webseiten-Einbrüche gleich mitgeliefert.

Damit es den Besuchern und Bots also gar nicht erst möglich ist eine WP-Webseite als eine solche zu identifizieren, werden alle erkennungsdienlichen Merkmale verschleiert und versteckt. Dazu gehört das Verstecken bzw. Umbenennen der WordPress-Standardverzeichnisse wie z.B. wp-admin, wp-content und wp-includes, aber auch das Ändern von Template- und Plugin-Namen sowie das Verschleiern von WordPress-Dateinamen.

Großer Pluspunkt: Das Verstecken und Verschleiern von WordPress kann ohne Einschränkungen für Updates und Usability geschehen. So wird gewährleistet das das WordPress-System trotz aller Abschottung nach Außen immer auf dem neusten Stand bleibt, was ein zusätzlicher Schutz vor Sicherheitsrisiken ist.

 

 

Downloads

  • Für die 1. Maßnahme gibt es mehrere Plugins die in Frage kommen. Einen umfassenden WP Security Check bietet das Sicherheits-Plugin Wordfence von Feedjit Inc..
  • Die 2. Sicherheitsmaßnahme bedarf keiner weiteren Downloads. Allerdings ist es notwendig das per FTP/SFTP auf den Webspace zugegriffen werden kann und das vom Webserver htaccess/htpasswd unterstützt wird.
  • Im 3. Schritt wird die Verwendung von WordPress verschlüsselt. Das Security-Plugin Hide my WP bietet umfangreiche Funktionen um die WordPress-Installation komplett zu verstecken. Zudem werden weitere Sicherheitseinstellungen für die Abriegelung des WP-Login bereit gestellt.

WordPress absichern leicht gemacht: Wir helfen bei der Umsetzung! Einfach hier auf der Seite einen Kommentar hinerlassen.

 

 

About Steven Rohner

Software Engineer & Marketing Architect

One thought on “WordPress verstecken und absichern

  1. karynstacy
    30. September 2016 at 19:25

    Ich hatte keine Ahnung dass ich meine WordPress Website absichern muss! Ich werde sofort etwas dagegen machen. Danke für die hilfreiche Information und die detaillierte Schritt-für-Schritt Anleitung!

Kommentar verfassen