WordPress ist das Content-Management System, das am meisten für Blogs verwendet wird und ist daher auch ein beliebtes Ziel für Angriffe. Selbst eine aktuelle WordPress-Version bietet bei einer Standard-Installation nicht immer genügend Sicherheitsmechanismen um gut gegen Angriffe geschützt zu sein.
Durch die Installation einiger weiterer Plugins lässt sich die Sicherheit einer WordPress-Installation zusätzlich verbessern. Eine kleine Auswahl sicherheitsrelevanter WordPress-Plugins habe ich hier zusammengefasst.
Login LockDown
Einstellungen von Login LockDown
In den Administrations-Bereich einer WordPress-Installation kann man sich üblicherweise unter http://domain.de/wp-login.php anmelden. Dort befindet sich das Login-Formular, das bei allen Installationen einer WordPress-Version normalerweise einheitlich ist. Dies ermöglicht es potentiellen Angreifern auf einen Blog per Skript verschiedene Benutzernamen und Passwörter durch zu probieren und so Zugriff auf den Blog zu erlangen.
Das WordPress-Plugin Login Lockdown überwacht dieses Login-Formular, ob von einem bestimmten Computer viele Login-Versuche verzeichnet werden und sperrt dessen IP für eine bestimmte Zeit, wenn Benutzername und Passwort nicht zusammen passen bzw. der Benutzer nicht existiert. Damit werden Brute-Force Attacken auf den Blog erschwert, was zusätzliche Sicherheit bietet.
Sollte man sich selbst bei einem Login ein mal vertippen, führt dies nicht sofort zu einer Blockierung der IP-Adresse. Die geschieht erst nach mehrmaliger falscher Eingabe.
WP Security Scan
Nicht nur das Login-Formular erfordert eine Sicherheitsüberprüfung, sondern auch einige andere Bereiche einer WordPress-Installation. Z.B. wird bei jedem Blog automatisch ein Benutzer “Admin” angelegt, für den man dann versuchen könnte das Passwort zu erraten. Oder wenn ein Angreifer auf irgend einem Weg Zugriff auf die Datenbank der WordPress-Installation erhalten hat, kann er per Skript auf die Tabellen zugreifen, wenn diese standardmäßig benannt sind. Sollte die Version von WordPress doch ein mal nicht die aktuellste sein und für die installierte Version eine Sicherheitslücke bekannt sein, verrät WordPress standardmäßig die WordPress-Version und Angreifer wissen sofort welche Sicherheitslücken auf diesem Blog existieren.
Hierfür eignet sich das Plugin WP Security Scan hervorragend. Es überprüft eben solche Schwachstellen und empfiehlt dem Webseiten-Betreiber z.B. den Admin-Benutzer zu löschen oder ein anderes Prefix für die Datenbank-Tabellen zu wählen. Dies sind nur einige der Schwachstellen, die WP Security Scan überprüft.
Fazit
Wer seine WordPress-Installation immer auf dem aktuellen Stand hält, sichert seinen Blog zwar relativ gut ab, einige zusätzliche Plugins erhöhen jedoch die Sicherheit noch ein mal deutlich.
