WordPress Security-Tipps
WordPress ist eine auf der ganzen Welt weitverbreitete Blogging-Software, die mit einigen Modifikationen als vollwertiges CMS verwendet werden kann. Und wovon Bill Gates sicherlich ein Liedchen singen kann, ist dass viel verwendete Software leider immer auch in den Fokus der Hacker gerät. Man kann viele dieser Angriffe mit ein paar leichten Maßnahmen abwehren.
Natürlich schließt das Team von WordPress mit jeder Version Sicherheitslücken und passt sich den Gefahren des Internets an. Es gibt jedoch Dinge, die man noch verbessern kann oder auch Gefahren, auf die der WordPress-Andwender reagieren muss / sollte.
Kürzlich habe ich einen interessanten Bericht von Wordprezzie gefunden. Dort werden Tipps gegeben, die ein WordPress-User mit relativ wenig Aufwand umsetzen kann, die jedoch für die Sicherheit einer WordPress-Installation erheblich wichtig sind.
Ich habe diese Tipps einmal zusammengefasst und übersetzt.
Dateiauflistung in Verzeichnissen
Viele Hacker verwenden den Browser, um sich Dateien auf einem bestimmten Server anzusehen. Das ist an sich relativ gefahrlos. Und viele Provider unterdrücken dieses Auflisten eines Verzeichnisses auch nicht.
Nun kann es jedoch vorkommen, dass ein Plugin-Autor eine Sicherheitslücke in seinem Plugin übersehen hat. Der Hacker kann nun genau sehen, ob dieses Plugin installiert ist und kann diese Lücke ausnutzen.
Es kann aber auch sein, dass Ihr neben der WordPress-Installation noch Dateien auf dem Server liegen habt, die nicht für die ‘Öffentlichkeit’ bestimmt sind. Auch diese Dateien kann man mit dieser Methode ganz einfach einsehen.
Wie kann ich das überprüfen?
Um zu sehen, ob ein Directory-Listing bei Dir möglich ist, gib einfach Deine WordPress-URL gefolgt von ‘/wp-content/plugins/’ an (z. B. http://webdemar.com/wp-content/plugins).
Wenn Du jetzt eine Liste der Dateien und Order in diesem Verzeichnis siehst, ist das Directory-Listing bei Deinem Provider erlaubt und Du solltest etwas unternehmen.
Was kann ich dagegen tun?
Für die von Euch, die noch nicht soviel mit Programmierung zu tun hatten, ist die wahrscheinlich einfachste Lösung, eine leere ‘index.html’ in die Verzeichnisse zu legen, bei denen der Zugriff verwehrt werden soll.
Die bessere Lösung ist jedoch, einen Befehl in die .htaccess zu schreiben, der das Auflisten von solchen Indizes verhindert.
# Prevents directory listing
Options -Indexes
SFTP statt FTP
FTP ist heutzutage relativ unsicher geworden. Wenn Du mit FTP auf Deinen Webserver zugreifst, wird Dein Passwort jedesmal in Klartext gesendet, so dass es für Hacker relativ leicht abzufangen ist. Mit diesem haben sie dann vollen Zugriff auf Deinen Webspace.
Bei vielen Providern ist SFTP bereits Standard. Wenn Du Dir nicht sicher bist, frag nach.
WordPress-Updates
Um mit Deiner WordPress-Installation auf der sicheren Seite zu stehen, solltest Du natürlich die Updates mitmachen.
Die richtigen Rechte für Dateien
Generell sollten alle Ordner in Deiner Installation auf die CHMOD-Rechte 755 und alle Dateien auf 644 gesetzt werden. Dateien, die Du mit den WordPress-Editoren (Themes, Plugins) bearbeiten möchtest, solltest Du 666 zuweisen.
Die Rechte auf 777 zu setzen, birgt das Problem, dass alle User auf dem Server Zugriff auf diese Dateien haben. Bei schlecht konfigurierten Servern kann das zu Problemen führen. Also sicher ist sicher.
User-Registrierung ausschalten
Um ein weiteres Risiko zu umgehen, kann man die Registrierung für Benutzer ausschalten. Das wurde in der Vergangenheit von Hackern durch bestimmte Programme (Exploits) ausgenutzt. In der letzten WordPress-Version ist dieses jedoch behoben.
Admin-Zugang auf bestimmte IP beschränken
Die Login-Page einer WordPress-Installation zu finden, ist ziemlich einfach. Wenn jetzt jemand Glück hat und Dein Passwort errät, ist er schon drin und kann großen Schaden anrichten.
Das kann man verhindern, indem man dem Ordner /wp-admin/ sagt, dass er nur Zugriffe einer bestimmten IP zulassen soll. Dafür legt man eine .htaccess in diesem Ordner an und macht folgende Anweisung (die Xe mit Deiner IP ersetzen):
order deny,allow
deny from all
# allow my home IP address
allow from XX.XX.XXX.XXX
# allow my work IP address
allow from XX.XX.XXX.XXX
Deine IP kannst Du bei Diensten wie www.wieistmeineip.de abfragen.
Versteht sich von selbst
Keine einfach zu erratenden Passwörter zu benutzen, sollte ein Punkt sein, über den man nicht sprechen muss. Dennoch gibt es Leute, die der Einfachheit halber sehr logische Passwörter verwenden. Mein Passwort ist z. B. nicht ‘webdemar’!
Wenn man in einem Internet-Café bloggt, was ja auf Reisen durchaus öfter vorkommen kann, solltet Ihr Euch immer auch am Ende ausloggen.
Ein wichtiger Punkt zum Schluss sind die Backups. Wer regelmäßig Backups macht und weiß, diese auch zu nutzen, ist sowieso auf der sicheren Seite.
Credits to Wordprezzie
Thanks to Wordprezzie for this awesome article about WordPress security. You helped me to improve my blog’s security. You pointed out some very important problems of many WordPress installations.
Simon [webdemar]
Moin, ich bin Simon und betreibe webdemar.com als meine ernstgemeinte Spielwiese für WordPress, Webdesign und so.
3 Kommentare
1 Trackback
- Security Tipps für Wordpress | Pixelalm – Webdesign in München - [...] Mehr dazu unter http://webdemar.com/wordpress/wordpress-security-tipps/ [...]
Kommentar schreiben
14. August 2008
oh ,thank u for your theme “deLight”!
But i don’t know what you said . r u a russian?
I’ve already add link to your site .
14. August 2008
@Yanxc
I’m happy that you like the theme! I’m not Russian… I’m a 100% German square head
25. September 2008
Hallo,
vielen Dank für die guten Tipps, die leider für mich zu spät kommen: http://tinyurl.com/3mrcop
Aber ich werde sie auf meinem Blog, mit dem ich mittlerweile zu einem neuen Provider umgezogen bin, befolgen.