In letzte Zeit häufen sich die Berichte darüber das verschiedene Blogs von Spammer oder Hackern heimgesucht worden sind. Das liegt zum einen an der steigenden Popularität von Wordpress. Hacker haben erkannt das auch Blogs wertvolle Ziele seien können um an Daten von Usern oder um sie als Backlinks Schleuder zu benutzen. Dabei haben die meisten Hacker es noch nicht einmal Schwer in die Blogs einzudringen. Das liegt zum einen an der Unwissenheit des Bloggers, den nicht jeder kann ein IT-Profi sein zu anderen liegt es an den Lücken von Wordpress.
Nehmen wir einfach mal ein Beispiel:
Herr Klaus will ein Plug-In auf seinen Blog installieren er lädt das Plug-In herunter und installiert es. Als er es aktivieren will wird er darauf hingewiesen, das dem Plug-In verschieden Rechte fehlen. Herr Klaus hatte sowas schon öfter und weiß, wenn er dem Ordner alle Rechte gibt funktioniert es immer!
Und genau da liegt der Fehler eines Unwissenden Bloggers. Er weiß nämlich nicht, das wenn er dieser Datei so viele Rechte gibt das sie viel einfach von Außen zu manipulieren ist.
Natürlich gibt es noch einen weitreichende Liste von Angriffs Möglichkeiten, ich werde mich aber in dieser Anleitung wie Ihr euren Blog sicherer machen könnt auf die Häufigsten Fehler und Angriffe Beschränken.
Kapitel Verzeichnis:
- Dateirechte und Passwort Sicherheit
- Login Verbesseren/Brute Force Attacken vorbeugen
- Spam Registrierungen verhindern
- Spammer von Anfang an ausspeeren
- Fort-Knox um das Login errichten
- Grundlegende Sicherheitstipps
- Backup von Wordpress und Datenbank mit einem Klick
1. Dateirechte und Passwort Sicherheit
Viele Blogger machen den Fehler falsche Dateirechte zu vergeben und machen die Dateien damit leicht angreifbar. Abhilfe Schafft das Tool WP Security Scan diese Scannt euren Blog durch und checkt:
- Dateirechte
- Datenbank Sicherheit
- Admin Password Sicherheit
Wie Ihr Plugins installiert entnehmt Ihr hier.
Scannen
Als ich mit dem Plugin scannte, war bei mir alles im grünen Bereich. So sollte es im Idealfall aussehen.
Es kann aber auch der schlechte Fall eintreten und es sieht so aus
Dann müsst Ihr natürlich nachbessern indem Ihr den vorgeschlagenen Wert übernehmt (Link unter Needed)
Passwort prüfen
Mithilfe des Passwort Tools könnt Ihr euer Passwort auf die Knack Sicherheit prüfen. Bei mir bestand Nachbesserung bedarf, am besten Ihr wählt eine Kombination aus Zahlen und Buchstaben mit Sonderzeichen.
Das Tool unterscheidet zwischen:
- weakest = sehr Schwach
- weak = schwach
- improving = mittel
- strong = gut ( Hier solltest Ihr mindestens liegen!)
- strongest = sehr gut
2. Login Verbessern/BruteForce Attacken vorbeugen
Standardmäßig wir wissen lässt Wordpress unbegrenzte Login Versuche zu, so kann sich ein Hacker so lange austoben bis es geklappt hat. Protokolliert wird diese Vorgehen leider nicht. Abhilfe schafft hier Limit Login dieses Plugin blockiert Benutzer für 20 Minuten, nachdem er das Passwort 4x mal falsch eingeben hat (Dies Werte können verändert werden). Das macht es Hacker schwierig sogar unmöglich mit BruteForce Attacken euer Passwort zu knacken.
Benutzer hat noch 2 Versuche zum einloggen
Benutzer ist für 20 Minuten gesperrt
Einstellungsmenü
3. Spam Registrierung verhindern/blockieren
Wenn Ihr eine Blog habt wo Nutzer sich frei registrieren können, kann es passieren das Ihr eine Menge von falsch/Spam Registrierungen habt. Klar wer hat nun bock drauf alle diese zu löschen das kostet Zeit, tut man es nicht vermüllt der Blog. Abhilfe schafft das Plugin Saber es seht für Simple Anti Bot Registrierung Engine. Und genau so einfach wie genial ist die Funktion von Saber. Es mach es den Bots schwer sich zu Registrieren indem es Captcha wie bei Rapid Share und Mathe Aufgaben(Wahlweise) einfügt.
Das ganze Sieht das so aus:
Quelle: essentialblog.cn
Ihr könnt Saber komplette anpassen und so die Sicherheitsstufe eures Blogs definieren.
Features sind:
- Aufnahme eines Captcha in das Anmeldeformular
- Die Auswahl der Captcha die Komplexität
- Die Auswahl der Hintergrundfarbe für das Captcha-Bild
- Aufnahme eines Mathematik-Test in das Anmeldeformular
- Auswahl der Mathematik-Test der Komplexität
- Zufalls-oder feste Wahl der Prüfung, um
- Unauffällig Tests zu ermitteln, ob Anmeldung erfolgt durch den Menschen oder nicht
- Registrierung gesperrt, wenn Javascript ist nicht durch den Browser
- Registrierung gesperrt, wenn der Besucher die IP-Adresse findet sich auf Verbot Listen
4. Spammer von Anfang an ausspeeren
Wie der Titel schon sagt geht es darum bekannt Spammer von Anfang an vom Blog auszusperren. Das Plugin Bad Behavior überprüft dazu die Datenbank des Projektes Honey Pot. Honey Pot ist eine Datenbank wo viele Spammer mit IP-Adresse gelistet sind. Wenn nun ein Spammer mit diese besagten IP-Adresse auf Ihren Blog will wird er automatisch geblockt und kann somit keinen Schaden mehr anrichten.
Dadurch das diese Datenbank täglich erweitert wird ein guter und zukunftssicherer Spam Schutz.
5. Fort-Knox um das Login errichten
Wer es kann sicher mag, denn kann ich Semisecure Login Reinmagined diese Plugin erhört die Sicherheit des Login Prozesses indem der Login mit einem RSA-Public Key verschlüsselt wird auf Client Seite und wenn der Benutzer sich anmeldet vom Server entschlüsselt wird.
Achtung: Das ist eher für Profis und nur ein Zusatz für echte Freaks 
6. Grundlegende Sicherheitstipps
- Passwörter gut und sicher auswählen (Buchstaben,Zahlen Sonderzeichen)
- Wordpress immer Aktuelle halten
- Passwörter Regelmäßig ändern
- Plugin auf aktuellen Standhalten
- Nicht zu viele Plugin installieren (Regel je mehr Plugins desto größer das einfall Risiko und desto langsamer der Blog)
- Theme Anzahl gering halten (Gleiche Regel wie bei den Plugins)
7. One Klick Backup von Datenbank und Wordpress Files
Hannes hat mich darauf aufmerksam gemacht, das in meinem Artikel nicht erwähnt wird wie bzw. das man Backups machen soll. Natürlich sollte man Backups am besten in Abständen von 4 Tage machen, wenn euer Webhoster das nicht automatisch anbietet. Mein Webhoster macht täglich Backups von meinem Webspace, aber nicht von meiner Datenbank deswegen ist es wichtig beides zu sichern. Das Plugin One Click Backup erstellt auf Knopfdruck Backup von der Datenbank und von euren Wordpress Files. Aber nicht nur sichern geht mit dem Plugin auch das Zurückspielen auf Knopfdruck! Dabei solltet Ihr die Sicherungen nicht nur auf eurem Webspace speichern sondern auch auf Lokale/Externe Datenträger um auf der sichern Seite zu sein.
Ein gut bebildertes Tutorial habe ich hier gefunden:
http://catsutorials.catsudon.org/?p=13
Ich hoffe ich konnte euch mit dem Artikel aufklären und belehren.
Weitere Links zum Thema Sicherheit:
- Maximum Security (Ein Pack mit vielen Schutz Tools) – Regierung Notwendig
- Sicherheit ohne Plugins (Nur mit Datenbank und Datei Methoden)
- http://codex.wordpress.org/Hardening_WordPress
- http://codex.wordpress.org/htaccess_for_subdirectories
- http://codex.wordpress.org/Changing_File_Permissions
- http://wordpress-buch.bueltge.de/wordpress-sicherer-machen/30/
- http://wordpress-buch.bueltge.de/wordpress-templates-sicherer-machen/31/
- http://www.linickx.com/archives/342/trouble-shooting-the-wordpress-security-white-paper#comment-9366
- Effektive Sicherheit in WordPress – wp-magazin.ch
- http://www.epiblogger.net/5-wordpress-security-essentials/
- http://www.texto.de/texto/9-quick-tipps-zur-sicherheit-oder-hilfe-mein-blog-wurde-gehackt/
- http://www.askapache.com/wordpress/htaccess-password-protect.html
- http://www.reubenyau.com/protecting-the-wordpress-wp-admin-folder/
- http://www.smallbiztrends.com/2008/02/how-to-protect-your-wordpress-site.html/
- http://www.stopbadware.org
- http://lorelle.wordpress.com/2007/09/10/protecting-your-wordpress-blog/
- http://blogsecurity.net/wordpress/blogwatch/blogwatch/
Weiterführende Artikel:
{ 4 trackbacks }
{ 5 comments… read them below or add one }
Ich empfehle Sicherheitsplugins, die nicht oft Verwendung finden (Backup PlugIn nur 1 Mal die Woche, Security Scanner PlugIn vielleicht 1 Mal im Monat) nur zu aktivieren, wenn man sie braucht und danach wieder zu deaktivieren. Jedes PlugIn erhöht die Komplexität des Blogs, die Sicherheitslücken, die Ladezeit, den Rechenaufwand, den Traffic, einfach alles. Wenn man sie nur kurz aktiviert, verwendet (Backup macht, scannt) und dann wieder deaktiviert, umgeht man diese Problemchen.
Soweit, geiler Artikel, tschö
Hannes
http://www.hannes-schurig.de
http://www.informationen-mal-anders.de
Na das ist doch noch eine nette Ergänzung.
Unter Punkt
6.Grundlegende Sicherheitstipps hatte ich das mit der Ladezeit des Blog schon erwähnt. Werder deine Sachen aber noch ergänzen bei Gelegenheit.
Ich denke auch das man nicht alles aktivieren sollte, deine Regel ist denke ich ganz gut.
Wenn der “uploads” folder oder “cache” folder (1: wordpress standard, 2: via wp-cache oder wp-super-cache) chmod 777 haben dann “juckt” leider der ganze liebevoll-beschriebene sicherheitsteil nicht ganz so viel, da die guten damen oder herren (aus asien oder alt UDSSR) nicht interesse an wordpress haben um da rumzufummeln sondern mehr eigentlich daten in diese “offenen” ordner abzulegen um damit z.b. einen fake httpd als perl script laufen zu lassen, 10 millionen mails rauszusenden oder aber einfach nur andere seiten tot zu pingen oder zu spammen.
all das obige ist leider schon mehrfach von meiner seite aus passiert, kompetente VPS anbieter hin oder her, leider gibts dafuer keinen heiligen gral, was ich nun versuchen werde ist die cache und upload ordner auf einen (sehr) restriktiven host (subdomain einer anderen seite) zu legen, eine .htaccess mit deny all außer jpg, gif und co anzulegen und permanent ein auge auf die ordner haben…
root of all evil: chmod 777.
gibt es dafuer noch weitere tipps?
(nicht chmod 777 fuer cache/upload zu verwenden ist keine loesung, leider) … den ordner als “nobody” zu chownen auch nicht.
fuer dialog gerne offen!
hi, thanks,The article was very well written, very helpful to me
Das Plugin One Click Backup ist allerdings für WordPress Version 1.5 und aus dem Jahr 2005. Habe zumindest im Repository keine neuere Version gefunden. Den Einsatz würde ich also nicht empfehlen.
Sonst ein klasse Beitrag, vielen Dank!