Schon bald, nachdem eure WordPress-Website online gegangen ist und ihre URL über Suchmaschinen bekannt geworden ist, werdet ihr Hacker-Zugriffe in euren Server-Zugriffslogs feststellen. Häufig wird in Brute-Force-Attacken mehrfach hintereinander von einer IP auf die wp-login.php zugegriffen um euer Passwort zu erraten oder es werden durch gezielte Zugriffe mit passenden Parametern auf einzelne als Schwachstellen bekannte Dateien spezifische Lücken in eurer Installation gesucht. Viele der angreifenden IPs zeigen nach Chna, in die Ukraine oder Russland, aber auch aus Eurpoa und den USA kommen Angreifer. Oft sind diese IPs in automatisierten Bot–Netzwerken miteinander organisiert und arbeiten per steuerndem Programm zusammen. Diese Angriffe lassen sich kaum vermeiden und eine gehackte WordPress-Installation ist eine kleine Katastrophe. Wie kann man sich also gegen die Angriffe schützen?
Zunächst einige Verhaltensregeln im Umgang mit eurem WordPress:
1. Back It Up, Baby
Zunächst ist wie bei jedem System eine regelmäßige Sicherung eurer Daten wichtig, auch aus zahlreichen anderen Gründen, etwa bei einem fehlgeschlagenen Update. Im Falle eines gehackten und kompromittierten Systems könnt ihr mit einem Backup zumindest auf einen früheren sauberen Stand zurückspulen. Ein Backup könnt ihr entweder manuell erstellen, indem ihr sowohl den WordPress-Ordner als auch die Datenbank-Tabellen sichert, oder ihr überlasst diese Arbeit einem dazu geeigneten Plugin wie beispielsweise BackWPUp, welches idealerweise regelmäßig automatisiert ein Backup eurer Website sichert.
2. Entferne den admin-User
Die meisten Brute-Force-Attacken laufen auf das Erraten eures Passworts des Benutzers “admin”. Denn dieser Benutzername war in früheren WP-Installationen standardmäßig als Administrator vorhanden. In einem aktuellen System hat dieser Benutzername daher nichts zu suchen. Legt euch einen Administrator-Zugang mit irgendeinem abweichendem Benutzernamen an, welcher auch immer, und entfernt im gleichen Zuge den “admin” aus eurem System, falls noch vorhanden. Denn es ist ungleich aufwändiger, bei einer Attacke zunächst den Benutzernamen eures Administrators zu erraten, als nur das Passwort des feststehenden “admin”-Benutzers.
3. Poste nicht unter dem Administrator
Aus dem gleichen Grund wie im vorigen Punkt bereits angedeutet sollte der Benutzername eures Administrator-Kontos nicht öffentlich bekannt gegeben werden. Veröffentliche daher keine Blogeinträge aus einem Administrator-Konto. Denn der Name des Autors wird ja unter jedem Eintrag angezeigt und kann somit leicht von jedem Angreifer gefunden werden. Leg daher in WordPress neben dem Administrator (mindestens) einen zweiten Benutzer an, welcher die Rolle eines Redakteurs oder Mitarbeiters erhält und unter dem die Einträge veröffentlicht werden.
4. Passwort, Passwort, Passwort
Euer Passwort ist im Zweifelsfall die letzte und einzige Hürde, die zwischen euch und dem Zugriff auf euren Account durch die ganze Welt steht. Die Sicherheit eures Systems steht und fällt daher ganz entscheidend mit der Komplexität eures Passworts. Ein Passwort aus 5-6 Kleinbuchstaben und einer Zahl ist in wenigen tausend Brute-Force-Versuchen, innerhalb einer Nacht, erraten und euer System damit verloren. Also ja, auch wenn es nervig und schwierig zu merken ist: Tut euch selbst den Gefallen und gönnt euren WordPress-Benutzern Passwörter, die aus mindestens 10-12 Zeichen bestehen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und keine Wortfragmente, die man im Duden finden würde. Gar keine Idee für ein Passwort? Bewährt haben sich beispielsweise Merksätze, “Mein WordPress ist sicher denn ich befolge diese 4 Regeln” ergäbe schon mal das Fragment “MWPisdibd4R…”, “JFK was born in 1917” ergäbe “JFKwbi1917…”, oder wie wäre es mit der Postleitzahl eurer ersten Wohnadresse, dem Geburtstag eurer Eltern, der Name eures Kuscheltiers usw…?
5. Plugins und htaccess
Im zweiten Teil wird es um weitere technische Hilfsmittel zur Sicherung eurer Installation gehen, etwa weitere hilfreiche Plugins und die Zugriffssicherung eurer Dateien per htaccess-Regeln. Zunächst will ich aber noch ein Beitragsbild heraussuchen, ich denke da auf jeden Fall an einen Hacker mit Skimaske vor seinem Computer sitzend.