Logo

So machen Sie WordPress wirklich gegen Angreifer sicher


Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Administratoren aber Sie sollten ihn als Betreiber auch kennen.

Anker Power Expander

Anker Power Expander - DAS ANKER PLUS Schließe dich den über 50 Millionen glücklichen Kunden an. DUALE LEISTUNG Jeweils ein SD und ein microSD Speicherkartensteckplatz machen die Datenübertragung und -verwaltung zum Kinderspiel. BLITZSCHNELLER DATENTRANSFER Genieße dank dem hochmodernen UHS-II Speicherkartensteckplatz eine Datenübertragung mit einer Geschwindigkeit von bis zu 312 MBps. Hinweis

kaufen...
Automad Bludit Coast GetSimple GRAV Handlebars Java PHP Pico Smarty Templating Typemill WonderCMS WordPress yamlCMS

Die Sicherheit von WordPress ist ein Dauerbrenner im Internet! Machen Sie WordPress sicher, denn dieses CMS hat einen sehr hohen Angriffsvektor - gerade wegen seiner Beliebtheit und starken Verbreitung.

WordPress ist extrem beliebt, denn mit dem CMS kann man alles erdenkliche machen. Manchmal hat man den EIndruck es sei die Antwort auf alle Fragen. Doch die hohe Popularität hat ihren Preis, denn auch bei Hackern und Störenfrieden besitzt WordPress einen populären Angriffsvektor. In diesem Beitrag zeige ich einige Beispiele, wie Sie das Risiko etwas reduzieren können (100%ige Sicherheit gibt es nicht).

xmlrpc.php

Die Datei xmlrpc.php (Extensible Markup Language Remote Procedure Call) ist ein äußerst beliebtes Angriffsziel bei WordPress und eine sehr bekannte Schwachstelle. Diese Datei ermöglicht den externen Zugriff auf den Content ohne dabei das Dashboard zu nutzen. Hacker können diese Datei verdeckt aufrufen und innerhalb von wenigen Millisekunden tausende von Anmelde-Kennungen durchprobieren, bis sie die gewünschte Kombination gefunden haben (Brute Force Angriff = systematisches Durchtesten von Kennwörtern). Solch ein Angriff kann sogar stattfinden während Sie selbst am Dashboard Ihrer Webseite angemeldet sind.

Erdacht wurde dieses Script vom Entwicklerteam, um zum Beispiel mit Smartphone-APPs via Remote Bilder hochladen zu können oder mobil zu Bloggen (ohne das eigene Dashboard nutzen zu müssen).

Die xmlrpc hat aber noch einen anderen Job, sie informiert Ihren oder andere angeschlossene Blogsysteme über Verlinkungen oder Verweise untereinander. Die Information darüber welcher Blog Ihren Beitrag teilt ist sicherlich ganz hilfreich aber für die Funktionsweise des Blog nicht zwingend nötig. Aber auch das kann zum Problem werden, denn Angreifer können über solche extremen Verlinkungen den Blog verlangsamen und Ihren Blog damit lahmlegen (DDoS Angriff = einen Dienst mit Anfragen überlasten). Der Dienst wird mit so genannten Pings und Pingbacks überflutet und gibt in Folge dessen den Geist auf.

Die Lösung: Wenn Sie auf Remote-Apps einiger Dritthersteller verzichten können und die Blogfunktionen des Pings-Pingbacks nicht benötigen, dann löschen Sie diese Datei am besten aus dem Rootverzeichnis Ihrer Domain. Es gibt WordPress-Plugins die diese Funktion im Backend abschalten, Sie können auch den Zugriff mit Hilfe der Datei .htaccess steuern, jedoch ist spezielles Admin-Wissen gefragt. Die Löschung der Datei ist immer noch die sicherste Lösung.

wp-login.php

Der klassische Login ist ebenfalls ein lohnenswertes Ziel für Hacker. Zwar ist der externe Aufruf durch Angreifer etwas kostenintensiver, da er deutlich langsamer verläuft als über die oben beschriebene xmlrpc, dennoch ist er möglich und wird als Angriffziel genutzt.

Die Lösung: Bauen Sie in die wp-login einen einfachen sleep(30) ein, damit dauert der Login immer 30 Sekunden länger, da das Script pausiert. Das Hacking Ihrer Webseite für Angreifer wird extrem teuer, da sie beim Durchtesten von Kennwortlisten kaum noch vorwärtz kommen. Der Angriff lohnt sich nicht mehr, Sie selbst können aber durchaus mit einer kleinen Wartezeit von 30 (oder eine beliebiger anderer Wert) Sekunden gut leben. Das könnte Sie interessieren

https://raidboxes.de "WordPress xmlrpc Einfallstor"

Passend:


Admin-URL in WordPress CMS ausspionieren so einfach

Die Admin-URL ist die sensieble Stelle einer Webseite, dies ist der Eingang. Finden sie das CMS heraus indem Sie die Standard-URL des Admin-Backend abfragen.

Ist das CMS WordPress jetzt wirklich am Ende wie behauptet?

Nach jedem großen Release Update brodelt die Gerüchteküche um das beliebte CMS WordPress der Welt und prophezeiht dessen Ende, doch tot gesagte leben länger

Die index of Suche und Dateizugriff im CMS WordPress

Mit diesem Suchpattern können Sie bei Google ganz Zugriff auf das Directory einer fremden WordPress-Installation erlangen, sofern dieser schwach gesichert ist

Directory climbing und Dateizugriff in WordPress CMS

Das CMS WordPress nutzt die so genannte XMLRPC, um verlinkte Blogs und Beiträge untereinander zu informieren - der Sinn des Weblog - dies ist Problematisch.

Groß angelegte Angriffswelle auf das CMS WordPress

Ein groß angelegter Angriff gegen 1,3 Mio WordPress-Installationen wurde auf Schwachstellen in Plugins und Themes durchgeführt - laut Angaben der ZDNET.de.

LICENSE Datei im CMS WordPress simpel ausspionieren

Den meisten kostenlosen CMS liegt eine LICENSE bei, in der die Nutzungsbedingungen beschrieben werden. Darin ist der Name des CMS öffentlich erwähnt.

th3_alpha.php im WordPress CMS Log und die Beudeutung

Das WordPress Plugin steht im Verdacht Malware zu enthalten. In unterschiedlichen Foren im Netzt sind dazu widersprüchliche Infos zu finden - es ist abzuwarten

Die WordPress Seite Ihres CMS ist nicht erreichbar?

Ist Ihre WordPress Webseite nach dem letzten Update nicht mehr erreichbar, dann könnte Ihnen dieser Beitrag schnell helfen um das Problem schnell zu beheben

Die Datei XMLRPC.php des WordPress CMS einfach ausspähen

Das CMS WordPress nutzt die XMLRPC, um verlinkte Blogs untereinander zu informieren (der Sinn des Blog). Diese Schnittstelle ist öffentlich frei erreichbar

Den Autorname im CMS WordPress einfach herausfinden

In WordPress können Sie alle registrierten Autoren öffentlich abfragen, dazu ist nur eine Zeile in der Browser URL nötig. Prüfen Sie daher Ihre Sicherheit.


Meta: Instagram CMSWorkbench.de GIMP-Handbuch.de Kontakt Impressum Datenschutz