So machen Sie WordPress sicher

Machen Sie WordPress mit wenigen Handgriffen sicher(er) - diesen Trick kennen die wenigsten Administratoren aber Sie sollten ihn als Betreiber auch kennen.

Die Sicherheit von WordPress ist ein Dauerbrenner im Internet! Machen Sie WordPress sicher, denn dieses CMS hat einen sehr hohen Angriffsvektor - gerade wegen seiner Beliebtheit und starken Verbreitung.

WordPress ist extrem beliebt, denn mit dem CMS kann man alles erdenkliche machen. Manchmal hat man den EIndruck es sei die Antwort auf alle Fragen. Doch die hohe Popularität hat ihren Preis, denn auch bei Hackern und Störenfrieden besitzt WordPress einen populären Angriffsvektor. In diesem Beitrag zeige ich einige Beispiele, wie Sie das Risiko etwas reduzieren können (100%ige Sicherheit gibt es nicht).

xmlrpc.php

Die Datei xmlrpc.php (Extensible Markup Language Remote Procedure Call) ist ein äußerst beliebtes Angriffsziel bei WordPress und eine sehr bekannte Schwachstelle. Diese Datei ermöglicht den externen Zugriff auf den Content ohne dabei das Dashboard zu nutzen. Hacker können diese Datei verdeckt aufrufen und innerhalb von wenigen Millisekunden tausende von Anmelde-Kennungen durchprobieren, bis sie die gewünschte Kombination gefunden haben (Brute Force Angriff = systematisches Durchtesten von Kennwörtern). Solch ein Angriff kann sogar stattfinden während Sie selbst am Dashboard Ihrer Webseite angemeldet sind.

Erdacht wurde dieses Script vom Entwicklerteam, um zum Beispiel mit Smartphone-APPs via Remote Bilder hochladen zu können oder mobil zu Bloggen (ohne das eigene Dashboard nutzen zu müssen).

Die xmlrpc hat aber noch einen anderen Job, sie informiert Ihren oder andere angeschlossene Blogsysteme über Verlinkungen oder Verweise untereinander. Die Information darüber welcher Blog Ihren Beitrag teilt ist sicherlich ganz hilfreich aber für die Funktionsweise des Blog nicht zwingend nötig. Aber auch das kann zum Problem werden, denn Angreifer können über solche extremen Verlinkungen den Blog verlangsamen und Ihren Blog damit lahmlegen (DDoS Angriff = einen Dienst mit Anfragen überlasten). Der Dienst wird mit so genannten Pings und Pingbacks überflutet und gibt in Folge dessen den Geist auf.

Die Lösung: Wenn Sie auf Remote-Apps einiger Dritthersteller verzichten können und die Blogfunktionen des Pings-Pingbacks nicht benötigen, dann löschen Sie diese Datei am besten aus dem Rootverzeichnis Ihrer Domain. Es gibt WordPress-Plugins die diese Funktion im Backend abschalten, Sie können auch den Zugriff mit Hilfe der Datei .htaccess steuern, jedoch ist spezielles Admin-Wissen gefragt. Die Löschung der Datei ist immer noch die sicherste Lösung.

wp-login.php

Der klassische Login ist ebenfalls ein lohnenswertes Ziel für Hacker. Zwar ist der externe Aufruf durch Angreifer etwas kostenintensiver, da er deutlich langsamer verläuft als über die oben beschriebene xmlrpc, dennoch ist er möglich und wird als Angriffziel genutzt.

Die Lösung: Bauen Sie in die wp-login einen einfachen sleep(30) ein, damit dauert der Login immer 30 Sekunden länger, da das Script pausiert. Das Hacking Ihrer Webseite für Angreifer wird extrem teuer, da sie beim Durchtesten von Kennwortlisten kaum noch vorwärtz kommen. Der Angriff lohnt sich nicht mehr, Sie selbst können aber durchaus mit einer kleinen Wartezeit von 30 (oder eine beliebiger anderer Wert) Sekunden gut leben. Das könnte Sie interessieren

https://raidboxes.de "WordPress xmlrpc Einfallstor"

Joomla Templates - Joomla hat sich als professionelles Content-Management-System etabliert. Die Präsentation der Inhalte übernehmen Templates. Zwar gibt es zahlreiche kostenlose und kommerzielle Templates, wer aber ein individuelles Design umsetzen will, kommt um die Entwicklung eigener Templates nicht herum. Genau an diesem Punkt setzt dieses Buch an. Es wird all das gezeigt, was für die Erstellung von Joomla-Templates benötigt wird. Erstellen Sie die Verzeichnis- und Dateistruktur, legen Sie das Grundlayout fest und verbinden Sie Ihr Layout mit Joomla. Danach werden die ersten im Inhalte ausgegeben. Weiter geht es mit der Definition von Parametern, die für Flexibilität der Templates sorgen. Fortgeschrittene Themen wie Mehrsprachigkeit und personalisierte Fehlerseiten runden das Buch ab.

Über Amazon unterstützen

lesen...

© CMSWorkbench.de

php sicherheit secure schutz

about me

About me

Mein Name ist Oliver Lohse. Ich bin diplomierter Wirtschafts-Informatiker und Organisations-Programmierer in verschiedenen Programmier-Sprachen und Markup-Dialekten, z.B. Java, JEE, COBOL, PHP, Python, MySQL, HTML, CSS, ANSI C, Lisp, Rexx, JavaScript, Scheme, ActionScript 2.0, Maschinensprache, Assembler und JCL. Seit mehr als 24 Jahren arbeite ich als Entwickler in einem großen Softwareunternehmen für Versicherungen in Hannover Niedersachsen und seit etwa 37 Jahren im EDV-Sektor mit wechselnden Aufgaben.