Umso populärer eine Software wird, desto mehr Angriffe muss diese aushalten. Besonders die beliebten Open-Source Anwendungen sind stark gefährdet und werden Stunde um Stunde schweren Angriffen ausgesetzt. Was man tun kann, wenn man bereits angegriffen wurde, ist von Software zu Software unterschiedlich. In diesem Artikel sind ein paar Informationen darüber, wie jeder Blogger bereits im Vorfeld WordPress-Angriffe vermeiden kann. Es sind die ganz allgemeinen Basics, die heute jeder Blogger umsetzen sollte, der es bislang noch immer nicht getan hat. Um die Folgen eines Angriffs auszubügeln, bedarf es oft mehr Kenntnissen als die Angriffe vorher zu vermeiden. Daher behandeln wir hier auch nicht die Säuberung als erstes, sondern die Schutzmaßnahmen.
Schutz ab der Installation Schritt 1
WordPress wird auf den Server hochgeladen. Im nächsten Schritt führt man die Konfiguration durch die „wp-config-PHP-Datei“ durch. Standardmäßig trägt diese vorher den „sample“-Tag im Namen, der später entfernt wird. Standard sind aber auch die meisten Angaben in dieser Konfigurationsdatei und da liegt der Hund begraben, den wir jetzt ausgraben müssen. Die berühmte Installation von WordPress soll nur wenige (5?) Minuten dauern. Sogar für Einsteiger, aber das ist eine sehr große Lüge, wenn man keine lückenhafte Installation möchte, sondern Sicherheit vorzieht.
Die Konfigurationsdatei
An den Werten zum Datenbankpasswort usw. kann man nicht rütteln, aber bereits das Präfix der WordPress-Installation ist ein sehr kritischer Standard! Ursprünglich lautet dies „wp_“ und ist dafür gedacht, mehrere Installationen von WordPress innerhalb von einer Datenbank zu ermöglichen. Da dieses Präfix auch für die Tabellennamen in der Datenbank genutzt werden, ist es den Angreifern ein leichtes Spiel, hier eigene Werte in der Datenbank zu hinterlassen. Bei der Installation kann und muss man das Präfix unbedingt umbenennen. Da reicht ein „cg3d_“ oder ähnliches aus. Unbedingt Buchstaben und Zahlen verwenden. Angreifer können nun den Datenbankpräfix nicht mehr leicht erraten. Datei speichern, Domain aufrufen. Dies sind die nächsten Schritte bei der Installation von WordPress.
WordPress Installation Schritt 2
Die WordPress-Installation geht mit dem Festlegen von Blogname und E-Mailadresse weiter. Im Anschluss gibt WordPress den Benutzernamen „admin“ und ein zufällig generiertes Passwort aus. Ab WordPress 3.0 kann man zum Glück bei der Installation einen eigenen Benutzernamen festlegen und auf den Standard „admin“ verzichten. Außerdem darf der Nutzer direkt sein eigenes Passwort auswählen. Mehr dazu gibt es bei Perun.net im Artikel „WP 3.0 – Angaben zur Installation erweitert“ den ich Euch dringend empfehle und von wo ich auch das nachfolgende Bild geklaut habe.
Zwar trägt es zur Sicherheit von WordPress 3.0 bei, aber nur bedingt. Die ID vom Administrator bleibt weiterhin die 1 und dies gilt zu vermeiden. Installationen haben erfahrungsgemäß immer bei den Benutzern die meisten Rechte, wo die IDs am kleinsten sind. Liegt daran, dass diese Benutzer oft gleich am Anfang angelegt werden.
Admin sofort wechseln und löschen
Nach dem ersten Login erfolgt der Schritt zu den Benutzern. Hier legt man sich mindestens mal 20 neue Benutzer an, verteilt stets die geringsten Rechte. Der Admin bleibt bislang unberührt. Irgendwann legt man sich einen neuen, eigenen Benutzer an und gibt diesem die Rechte vom Administrator. Das ist der Account, den man ab jetzt selbst nutzt. Der alte Administrator wird entfernt und die vorher angelegten Benutzer ebenfalls. Die eigentlich wieder freien IDs vergibt WordPress nicht neu. Verbraucht ist verbraucht. Man ist jetzt von der ID 1 weg und kann etwas ruhiger schlafen. Den neuen Benutzernamen sollte man möglichst niemanden öffentlich zeigen. Man kann in WordPress in den Benutzerprofilen auch einen Spitznamen festlegen und dann wählen, welcher im Weblog angezeigt werden soll. Noch besser ist es aber, wenn man den Nutzernamen bei Beiträgen etc. direkt aus dem Template löscht und am Ende vom Artikel immer „gez.: Username“ oder ähnliches schreibt. Problematik: Weiß man den registrierten Namen, fehlt nur noch das Passwort.
Upload-Verzeichniss
Weiter geht es beim Verzeichnis für Uploads. Bilder etc. werden in WordPress in den Ordner „uploads“ gepackt der sich im Verzeichnis „/wp-content“ befindet und dort als weiterer Standard einen sehr bescheidenen Platz eingenommen hat. Unter „Einstellungen -> Verschiedenes“ kann jeder den Pfad vom Uploads-Ordner ändern. Am besten legt man ihn aber nicht noch eine Ebene tiefer, sondern raus aus dem /wp-content/, aber auf keinen Fall ins Root-Verzeichnis. Erstellt Euch eine neue Struktur wie „/my-content/files/uploads/“ oder ähnliches.
Verzeichnis-Schutz (.htaccess) anlegen
Verpasst Euren WordPress-Installationen unbedingt einen Verzeichnis-Schutz. Zwei Passwörter halten nicht nur doppelt so gut wie ein Passwort, sondern einfach „sau gut“ und das müsst ihr in der heutigen Zeit einfach verinnerlichen. Eure Provider bieten wahrscheinlich im Backend eine Option die „Sicherheit“ oder „Verzeichnisschutz“ lautet. Dort könnt ihr Pfade zu Server-Verzeichnissen eintragen und Passwörter festsetzen. Das Verzeichnis „/wp-admin/“ solltet ihr unbedingt durch ein Passwort schützen, da dies der Weg zum Dashboard von WordPress ist. Findet Ihr keine Funktion beim Provider, dann kontaktiert den Provider direkt und sprecht ihn darauf an. Alternativ könnt ihr im Netz nach Tools suchen, wie ihr die .htaccess Datei selbst richtig beschreibt. Auf dem Server habt ihr ja eine, wenn ihr Permalinks benutzt.
Datei-Rechte (chmod) richtig setzen
Die Installation von WordPress vergibt auch gleichzeitig die passenden Rechte an die Dateien. Leider verändern wir aber im Laufe der Zeit auch mal solche Dateirechte und schnell steht mal eine Datei nicht mehr auf 755 sondern 777 und ist damit offen für so ziemlich jede Zuwendung. Dateiattribute, CHMOD-Rechte oder einfach nur Dateirechte, die Bezeichnungen unterscheiden sich in den einzelnen FTP-Clients oft. Mit Rechtsklick auf eine Datei findet ihr aber sicher die richtige Funktion. WordPress braucht nur bestimmte Rechte bei den Dateien um einen reibungslosen Betrieb zu gewährleisten. Mit dem WordPress Security Plugin „WP Security Scan“ habt ihr ein Werkzeug in der Schublade, dass in Zukunft bei jeder Installation als Standard im Plugin-Verzeichnis dabei sein muss. Bitte, tut Euch diesen Gefallen selbst. Das Plugin zeigt genau an, welche Dateien mit welchen Rechten versehen sind. Dabei zeigt es aber auch die notwendigen Rechte an und somit erkennt ihr auf einen Blick, wo falsche Rechte sind. Ihr solltet diese sofort ändern.
Link: WP Security Scan
Veränderungen an Dateien erkennen
Hat man einen Angreifer erst in die Installation gelassen, muss man dies schnell erkennen. Ein wichtiges Plugin ist dabei WP AntiVirus von Sergej Müller. Das Plugin darf gern ebenfalls als Standard in Eure Ordner auf den Festplatten, denn ihr solltet es überall dabei haben. Es zeigt Euch sofort an, wenn Dateien verändert wurden und zeigt dabei auch die jeweilige Stelle an.
Link: WP AntiVirus
Updates, Updates, Updates + Backups
Genervt sein dürft Ihr jederzeit von den ständigen Updates bei WordPress. Allerdings sind die Updates notwendig und ihr solltet jedes Update von WordPress mitmachen, sobald es eine stabile Version gibt. Beta-Updates sind natürlich für die Katz. Ich selbst bin auch nicht begeistert von ständigen Updates, aber es muss sein. Weiter besteht die absolute Pflicht, WordPress-Installationen ständig zu sichern. 24 Stunden-Backups müssen nicht sein, können sogar schädlich sein. Am besten sind 48 Stunden oder wenn 24 Stunden, dann noch ein weiteres getrenntes Backup alle 48 Stunden. Die Backups alle 48 Stunden sind häufiger nach einem Angriff noch sauber, als die 24-Stunden-Backups. Extremst paranoid sein ist also nicht immer hilfreich.
Codierte Footer / Dateien
Gefahren warten auch bei codierten Dateien auf Euch. Besonders häufig erkennt man codierte Dateien beim Footer, denn hier schützen Designer angeblich nur ihre Backlinks die als Copyright gelten. Der ahnungslose Nutzer glaubt diese oft plausible Lüge, denn er ahnt nicht, wie leicht sich Angreifer dank codierten Dateien den Zugriff auf die Installation verschaffen. Footer sind nicht die einzigen Dateien, denn diese Datei codieren eigentlich nur die Dümmsten der aller Dümmsten. Schlaue Deppen gehen andere Wege. Andreas hat über codierte Footer im Artikel „Gefahren beim codierten Footer“ geschrieben.
Plugins
In den Kommentaren wurde es jetzt mehrfach erwähnt. Daher hier das Update im Artikel. Wenn ihr Plugins in Euren WordPress-Installationen verwendet, dann nur die wirklich notwendigen Plugins. Außerdem solltet ihr immer Updates von den Plugins installieren, weil auch diese Sicherheitslücken aufweisen. Viele Plugins bzw. Autoren der Plugins haben sich bereits einen Namen in der Szene gemacht. Sicher fühlt man sich beispielsweise bei den Plugins von Sergej Müller, der Plugins generell nur nach sehr intensiven und langen Tests veröffentlicht. Weiter sind die Plugins von Lester Chan sehr gut und können – wenn man aktuelle Versionen nutzt – ohne Bedenken verwendet werden. Aber wie gesagt, die besten Plugins bringen niemanden etwas, wenn man seine WordPress-Installation nicht auch schützt.
Fazit – WordPress Sicherheit
Ich bin kein Experte im Bereich Sicherheit im Web. Programmieren kann ich gar nicht, alles was ich so weiß über Sicherheit von WordPress und anderen Systemen, erfahre ich von vielen Bekannten. Die hier genannten Punkte sind einfache, auch für Einsteiger zu bewältigende Schritte die man durchführen muss. Es werden damit logische Installationsschritte verändert, die dazu führen, Angreifern keine Standards mehr als Angriffsfläche zu liefern.
Vermeidet in den Kommentaren bitte Sprüche wie „Guck mal, der Depp macht das und das…“ und spart Euch außerdem die direkten Links. Sowas bringt bei solchen Themen nämlich niemanden weiter. Kümmert Euch lieber direkt mal um Eure Installationen, denn die Angriffe auf WordPress werden nicht weniger, sondern nehmen immer weiter zu.
ca. 1.470 Wörter, Danke fürs Lesen.
Netter Beitrag, und vor allem auch mit Sinn gespickt. Die Newbies unter den Bloggern können von solchen Infos nur profitieren.
Gerade in codierten Theme-Scripts steckt das Detail, wenn man nicht weiss, wie man diese entfernt bzw editiert.
je weniger Plugins man einsetzt, desto weniger Lücken kann es geben. Meistens sinds ja die Plugins die Probleme machen.
Ja, oft sind es Plugins die Probleme machen. Es nützen Dir aber die besten und sichersten Plugins nichts, wenn Du WordPress selbst nicht sicher laufen hast.
Danke für die Tipps, einige habe ich noch nicht umgesetzt, werde ich wohl nachholen. Kann man denn den Präfix der Datenbank noch nachträglich ändern?
Danke für den interessanten Beitrag. Ich habe mir bisher gar nicht so viele Gedanken zu dem Thema gemacht und einfach munter meine Artikel eingestellt, werde die Ratschläge aber auf jeden Fall beherzigen und der Reihe nach abarbeiten, um die wichtigsten Sicherheitslücken zu schließen. Schließlich kann man sich nicht einfach darauf verlassen, dass der eigene Blog schon nicht angegriffen werden wird.
Nachdem ich WordPress Security Scan instaliiert habe, konnte ich meine Frage selber beantworten, damit fuktioniert es wunderbar.
Wer seinen Präfix ändern möchten kann es damit tun…
Absolut wichtiger Artikel in Zeiten von Craphats und anderen unangenehmen Zeitgenossen. Der Hinweis (wie schon im Kommentar weiter oben): Möglichst wenig Plugins benutzen und auch diese regelmäßig updaten, wär ebenfalls angebracht. Mit all dem hier genannten ist WP dann schon relativ sicher.
Die Plugin-Updates habe ich jetzt mit einem weiteren Absatz in den Artikel eingefügt.
Hallo und danke für die interessanten Artikel. Ich bin noch ein Newbie was Blogs anbelangt und erst seit gestern dabei alles zum Laufen zu bringen.
Was ich anfangs nicht verstand war die Sache mit dem Präfix aber das geht wie ich gelesen und gesehen habe nach der Installation von WordPress Security Scan. Theoretisch. Bei geht es es leider nicht, stattdessen bekomme ich immer eine Fehlermeldung. Die Dokumentation auf englisch habe ich mir schon angeschaut. Nun ist mein Englisch nicht so gut und mit Datenbanken kenn ich mich nicht wirklich aus, so das ich hier auf der Stelle trete.
Gibt es irgendwo eine deutsche Anleitung für das händische Ändern des Präfix?
Mit der Dateirechten ist so eine Sache, die mit Serverkonfiguration zusammenhängt. Wenn die Dateien per WordPress hochgeladen werden, ist der Benutzer diese Dateien Webserver. Wen man etwas später Per FTP ändern möchte greift man aber mit anderem Benutzer und je nach der Servereistellungen mit anderer Benutzergruppe. Und kann dadurch nichts machen. Einerseits steht die Sicherheit, anderseits stehen auch einige unangenehme Folgen, wie z.B. fehlende Möglichkeit die Daten per FTP zu bearbeiten oder zu löschen.
Und mir hat das WP Security Scan Plugin beim umstellen der DB das System so umgestellt das ich mich nicht mehr anmelden kann. Bzw. anmelden aber nicht mehr ins Backend komme.
Klasse…
nach einem Angriff auf meinen Blog, muss ich mich jetzt leider ebenfalls damit beschäftigen meine Seite sicherer zu machen
. Kennt jemand noch ein paar zusätzliche Links für WordPress?
Hallo,
ich bin zufällig auf deinen Artikel gestoßen und habe ihn mit großem Interesse gelesen. Allerdings muss ich sagen, dass die wichtigste Aussage im letzten Absatz zu finden ist: “Ich bin kein Experte im Bereich Sicherheit im Web. Programmieren kann ich gar nicht, alles was ich so weiß über Sicherheit von WordPress und anderen Systemen, erfahre ich von vielen Bekannten.” Die meisten Punkte hier halte ich für ziemlichen Unfug.
1. Die Konfigurationsdatei: Das Datenbankpräfix ändern macht keinen Sinn, denn wenn der Angreifer an dem Punkt angelangt ist, dass er diese Information gebrauchen könnte, kann er sich auch eine Liste der Tabellen ausgeben lassen.
2. WordPress Installation Schritt 2: Die Sicherheit eines Accounts sollte nicht von der Geheimhaltung des Benutzernamens kommen. Wähle ein sicheres Passwort, das reicht aus.
3. Admin sofort wechseln und löschen: Gleiches wie bei Erstens. Wenn der Angreifer an dem Punkt angelangt ist, das wissen um die ID ausnutzen zu können, dann hält ihn das auch nicht mehr auf.
4. Upload-Verzeichniss: Gegen welche Art von Angriff soll das bitte schützen? Außerdem gibt man den Pfad beim einbinden der Dateien in den Blog ohnehin preis.
5. Verzeichnis-Schutz (.htaccess) anlegen: Wenn man ein gutes Passwort wählt und geheim hält und nicht für alle möglichen Accounts verwendet, dann sollte eins ausreichen. Mehrere Passwörter führen eher dazu, dass man doppelte oder zu einfache Passwörter wählt.
Das gehört alles in die Kategorie Security through obscurity ( http://bit.ly/l9OEMh
).
Definitiv richtig ist die Wichtigkeit von Updates und Vorsicht beim PlugIn oder Template installieren.
Freundliche Grüße.