Wordpress-Blogs vor fremden Zugriffen schützen

15. April 2013, 12:08
11 Postings

Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden

Gegen eine DDoS-Attacke ist man meist völlig machtlos. Die Wahrscheinlichkeit, eine Brute-Force-Attacke zu verhindern, steigt aber mit einfachen Sicherheitsvorkehrungen. Bei dieser Art des Angriffs, wie sie im Moment gegen den Blog-Anbieter Wordpress passiert, können schon kleine Maßnahmen eine Kontrollübernahme verhindern. Bei den Angriffen werden verschiedene Passwortkombinationen mit dem standardmäßig eingestellten Benutzer "admin" durchprobiert. Da sehr viele Rechner gleichzeitig operieren, sind die Angriffe zu einem Teil erfolgreich.

Backend-Maske verstecken

Eine erste und erhebliche Hürde lässt sich ganz einfach dadurch gestalten, den vorgegebenen Benutzernamen „admin" in einen eigens gewählten umzuwandeln. Bevor man diesen Schritt geht, sollte man aber die unter "blogname.at/wp-admin" verborgene Einstiegsmaske versuchen zu schützen. Sergej Müller von "Playground.de" hat dies schon in aller Ausführlichkeit beschrieben: In der .htaccess-Datei, die im Wordpress-Folder am Server liegt, werden dazu zwei Code-Blöcke hinzugefügt. Zuvor legt man eine leere .htpasswd-Datei an, in die man das Ergebnis des Htpasswd Generators einträgt. Der Code, der dann in .htaccess hinzugefügt wird, garantiert, dass es vor der Einstiegsmaske zu einer Passwortabfrage kommt – doppelter Schutz, auch wenn die Eingabe zweier Passwörter mühsam erscheint.

"Admin"-Account eliminieren

Im Wordpress-Dashboard angekommen, legt man einen neuen User mit Admin-Rechten an. Die E-Mail-Adresse, die man für den "admin"-Account verwendet, darf hier nicht erneut eingegeben werden. Ist man mit dem neu angelegten User eingeloggt, löscht man ganz einfach den Admin-Account. Wichtig ist, dass der neue User auch wirklich Admin-Rechte besitzt. Beim Löschen fragt Wordpress ab, was mit den Beiträgen, die unter "admin" gepostet wurden, passieren soll. Hier sollte man sicherstellen, dass sie dem neuen User übertragen werden. Eine englische Schritt-für-Schritt-Anleitung mit Bildern bietet hier "digitalkonline".

Passwort

Wie auch bei allen anderen Diensten im Internet sollte man ein angemessen starkes Passwort verwenden. Dazu gehören entweder mit einem Passwort-Generator generierte Zahlen- und Buchstabenkombinationen oder gleich ganze Passphrasen. Ein weiterer Schritt ist laut "t3n" die Verwendung des Plugins "Limit Login Attempts". Damit lässt sich die Anzahl von Login-Versuchen begrenzen. Allerdings beschränkt sich das Plugin auf eine IP-Adresse, sodass die Wahrscheinlichkeit erfolgreicher Versuche, in das Dashboard zu kommen, mit der Anzahl der verwendeten IP-Adressen steigt - wie in der groß angelegten aktuellen Brute-Force-Attacke.

Fehlermeldungen ausschalten

Zusätzlich kann man mit einer Zeile Code ausschalten, dass Wordpress angibt, welcher Fehler beim Login begangen wurde. Im Normalfall äußert sich Wordpress zu einem falschen Usernamen oder falschem Passwort. Dies kann verhindert werden, indem in der functions.php-Datei diese Zeile eingegeben wird: add_filter ('login_errors', create_function('$a', "return null;"));
Nicht versierte Wordpress-User oder PHP-Neulinge sollten auf die korrekten Zeichen achten. Das Fehlen eines Semikolons macht den gesamten Befehl unbrauchbar.

Backups, Backups, Backups

Anzuraten ist Wordpress-Usern auch, regelmäßig Backups der Datenbank zu speichern. Mit dem Plugin "Wordpress Database Backup" lassen sich Backups on demand erstellen. Es gibt auch die Möglichkeit, automatisiert in bestimmten Intervallen Sicherungen per E-Mail an die eigene Mailadresse schicken zu lassen. Sollte ein Angriff nämlich nicht mehr verhindert werden können, sind so zumindest sämtliche Inhalte gesichert. (iw, derStandard.at, 15.4.2013)

  • Wordpress-User sollten den User "admin" möglichst vermeiden
    screenshot: derstandard.at/wisniewska

    Wordpress-User sollten den User "admin" möglichst vermeiden

  • Die Fehlermeldungen bei fehlgeschlagenen Login-Versuchen können ausgeblendet werden
    screenshot: derstandard.at/wisniewska

    Die Fehlermeldungen bei fehlgeschlagenen Login-Versuchen können ausgeblendet werden

  • Backups in regelmäßigen Abständen sichern zumindest Inhalte
    screenshot: derstandard.at/wisniewska

    Backups in regelmäßigen Abständen sichern zumindest Inhalte

Share if you care.