CMS - Workbench | DE


Templating and Coding for CMS (WordPress, Bludit, Automad, Typesetter, GetSimple, Pico and more)


WordPress sicher machen

Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Admins.

Die Sicherheit von WordPress ist ein Dauerbrenner im Internet! Machen Sie WordPress sicher, denn dieses CMS hat einen sehr hohen Angriffsvektor - gerade wegen seiner Beliebtheit und starken Verbreitung.

WordPress ist extrem beliebt, denn mit dem CMS kann man alles erdenkliche machen. Manchmal hat man den EIndruck es sei die Antwort auf alle Fragen. Doch die hohe Popularität hat ihren Preis, denn auch bei Hackern und Störenfrieden besitzt WordPress einen populären Angriffsvektor. In diesem Beitrag zeige ich einige Beispiele, wie Sie das Risiko etwas reduzieren können (100%ige Sicherheit gibt es nicht).

xmlrpc.php

Die Datei xmlrpc.php (Extensible Markup Language Remote Procedure Call) ist ein äußerst beliebtes Angriffsziel bei WordPress und eine sehr bekannte Schwachstelle. Diese Datei ermöglicht den externen Zugriff auf den Content ohne dabei das Dashboard zu nutzen. Hacker können diese Datei verdeckt aufrufen und innerhalb von wenigen Millisekunden tausende von Anmelde-Kennungen durchprobieren, bis sie die gewünschte Kombination gefunden haben (Brute Force Angriff = systematisches Durchtesten von Kennwörtern). Solch ein Angriff kann sogar stattfinden während Sie selbst am Dashboard Ihrer Webseite angemeldet sind.

Erdacht wurde dieses Script vom Entwicklerteam, um zum Beispiel mit Smartphone-APPs via Remote Bilder hochladen zu können oder mobil zu Bloggen (ohne das eigene Dashboard nutzen zu müssen).

Die xmlrpc hat aber noch einen anderen Job, sie informiert Ihren oder andere angeschlossene Blogsysteme über Verlinkungen oder Verweise untereinander. Die Information darüber welcher Blog Ihren Beitrag teilt ist sicherlich ganz hilfreich aber für die Funktionsweise des Blog nicht zwingend nötig. Aber auch das kann zum Problem werden, denn Angreifer können über solche extremen Verlinkungen den Blog verlangsamen und Ihren Blog damit lahmlegen (DDoS Angriff = einen Dienst mit Anfragen überlasten). Der Dienst wird mit so genannten Pings und Pingbacks überflutet und gibt in Folge dessen den Geist auf.

Die Lösung: Wenn Sie auf Remote-Apps einiger Dritthersteller verzichten können und die Blogfunktionen des Pings-Pingbacks nicht benötigen, dann löschen Sie diese Datei am besten aus dem Rootverzeichnis Ihrer Domain. Es gibt WordPress-Plugins die diese Funktion im Backend abschalten, Sie können auch den Zugriff mit Hilfe der Datei .htaccess steuern, jedoch ist spezielles Admin-Wissen gefragt. Die Löschung der Datei ist immer noch die sicherste Lösung.

wp-login.php

Der klassische Login ist ebenfalls ein lohnenswertes Ziel für Hacker. Zwar ist der externe Aufruf durch Angreifer etwas kostenintensiver, da er deutlich langsamer verläuft als über die oben beschriebene xmlrpc, dennoch ist er möglich und wird als Angriffziel genutzt.

Die Lösung: Bauen Sie in die wp-login einen einfachen sleep(30) ein, damit dauert der Login immer 30 Sekunden länger, da das Script pausiert. Das Hacking Ihrer Webseite für Angreifer wird extrem teuer, da sie beim Durchtesten von Kennwortlisten kaum noch vorwärtz kommen. Der Angriff lohnt sich nicht mehr, Sie selbst können aber durchaus mit einer kleinen Wartezeit von 30 (oder eine beliebiger anderer Wert) Sekunden gut leben.

Das könnte Sie interessieren

https://raidboxes.de "WordPress xmlrpc Einfallstor"

22.11.2020 • WordPress • Sicherheit


Oliver Lohse - Ich bin diplomierter Wirtschafts-Informatiker und Organisations-Programmierer in verschiedenen Sprachen bzw. Markup-Dialekten, z.B.: Java, JEE, COBOL, PHP, Python, MySQL, HTML, CSS, ANSI C, Lisp, Rexx, JavaScript, Scheme, ActionScript 2.0, Maschinensprache, Assembler und JCL. Seit mehr als 22 Jahren arbeite ich in einem grossen Softwareunternehmen in Niedersachsen. Sie sehen auf dieser Seite mein eigens für Bludit CMS entwickeltes Theme "Reaktor-Block IV".

Kontakt: Κontakt@Οliver-⌊ohse.de (bitte abtippen)


Empfehlungen:



Angriffswelle auf WordPress

Groß angelegter Angriff gegen 1,3 Mio WordPress-Installationen auf Schwachstellen in Plugins und Themes.

mehr...

Bludit Admin URL verbergen

Aus Sicherheitsgründen, sollten Sie die Standard Admin-URL unkenntlich machen oder verstecken.

mehr...

PHPUnit Sicherheitslücke

PHPUnit ist ein kleines Entwicklertool das sich evtl. fälschlicher Weise in Ihren Code eingeschlichen hat, jedoch von Außen ein Risiko darstellt.

mehr...



CMS Workbench

Hilfreiche Tipps, Tricks, Codings und Codeschnipsel, die im Rahmen der Entwicklung, Weiterentwicklung und Templatings zum Thema CMS immer wieder benötigt werden - aus verschiedenen Sprachdialekten wie Java, JavaScript, PHP, Python und anderen.