WordPress sicherer machen
WordPress erfreut sich immer größerer Beliebtheit, wie in der T3N angegeben, hat Matt Mullenweg auf einem Event in San Francisco geäußert, das 18,9 Prozent aller Websites mit WordPress laufen. Je mehr dieses System im Einsatz ist, umso mehr gerät es auch ins Visier von Hackern.
Wordpress an sich ist ein relativ sicheres System, gefundene Lücken werden relativ schnell durch Updates geschlossen. Hier steht schon die wichtigste Information, man sollte das System immer auf den aktuellen Stand halten und es regelmäßig updaten.
Nachdem es dieses Jahr eine massive Botnet Angriffwelle auf WordPress Installationen gab, wurde es Zeit das auch die letzten User sich mit Thema Sicherheit beschäftigen.
Mit einigen einfachen Mitteln kann man schon viel erreichen.
1. Weg vom Admin User – Dieser User ist eine Standart-User, welcher früher automatisch angelegt wurde. Viele Bots versuchen diesen als User zu nutzen. Einfach einen neuen User mit Administratorrechten anlegen und den alten löschen und alles auf den neuen übertragen.
2. Login Zugriffe limitieren – Bots versuchen verschiedene Passwörter zum login, hier greift ein WordPress Pluginn namens Limit Login Attempt. Dieses Pluginn sperrt den User nach IP, wenn er mehrmals falsch Benutzername und Passwort eingegeben hat. Hat man dieses so laufen sieht man in der Sperrliste schon, wie oft beim eigenen Blog was passiert.
3. WordPress zeigt im Quellcode standardmäßig, das es WordPress ist und meist auch um welche Version es sich handelt. Dies macht es den potenziellen Angreifer, gerade bei veralteten Versionen leichter. Durch das hinzufügen folgender Zeile in die functions.php des Themes, verschwindet dieser Hinweis
remove_action('wp_head', 'wp_generator');
4. Adminbereich schützen mit htacess
Die Maßnahmen 1 und 2 schützen ja schon den Adminbereich. Hier regelt WordPress den Schutz. Bei massiven Versuchen kann es durchaus schon zur enormen Belastungen des Blogs kommen, daher sollte man auch ein 2. Tor ein bauen, in diesem Fall einen Zugriffsschutz auf Serverebene. Wie man dies genau macht, kann man hier nachlesen.
Fazit: 100 % sicher gibt es nicht, aber mit ein paar einzelnen Mittel kann man es automatisierten Bots schon schwer machen.