Es war wieder an der Zeit die Seite einem Rundum Sicherheitscheck zu unterziehen.
Anlass war eine Mail mit dem Titel “Zuviele ungültige Anmeldeversuche”. Der Inhalt: 16 ungültige Anmeldeversuche (4 Sperrung(en)) von IP: xx.xxx.xxx.xx. Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: admin. IP wurde gesperrt für 24 Stunden.
Diese Mail wird von dem Plugin Limit Login Attempts generiert und mir automatisch zugesendet. Dieses Plugin zeichnet fehlerhafte Loginversuche auf und bei einer bestimmten Anzahl, die man selbst einstellen kann, wird man per Mail benachrichtigt. Das war der Auftakt mir meine Installation näher anzusehen.
Obwohl ich schon eine Menge getan habe, so übersieht man möglicherweise doch einiges. Schließlich wächst man mit den Aufgaben. Also ran ans Werk.
Von Joomla und WordPress
Zeitgleich hat es eine Joomlainstallation von mir, die Spatzenhilfe, erwischt. Die Seite wurde vom Provider vom Netz genommen. In dem Fall war ich selbst schuld, ich verwendete eine alte Version von Joomla. Zugleich wurden vom Provider Mails an alle Kunden verschickt die Installationen auf neuesten Stand zu halten. Zur Zeit sind deutlich mehr Versuche zu verzeichnen um Schwachstellen einer Seite auszunutzen.
Wer WordPress verwendet, hatte was Sicherheit und Wartung betrifft, immer deutlich einfacher als mit Joomla. Das hat sich mit der Version J2.5 geändert.
WordPress besticht schon lange durch die Klick – Aktualisierung. Einfacher geht es nicht seine Installation, Templates und Erweiterungen aktuell zu halten. Vorausgesetzt die Entwickler der Themes und Erweiterungen kümmern sich auch darum.
Deshalb wird ab und an ein Blick in die Plugins nicht erspart bleiben. Man sollte diese Plugins zum Beispiel im offiziellen Pluginverzeichnis von WordPress suchen und nachsehen ob das Plugin überhaupt noch gepflegt wird.
WordPress sicherer machen
Die Überprüfung der Plugins und der Themes kann man auch wiederum von Plugins erledigen lassen, zumindest zum Teil. Generell sollte man aber sowenig Plugins wie möglich installiert haben.
Das eine Plugin lautet Theme Check, das andere Plugin Check. Beide sind von einem Programmierer. Plugin Check läuft nicht immer, das Theme Check läuft sehr gut und zeigt Codefehler und Schwachstellen an.
Neben den Themes und den Erweiterungen gibt es noch andere wichtige Maßnahmen die man nicht übersehen sollte. Dazu gehört die Datenbank, Passwörter und Benutzername.
Datenbank sicherer machen
Installiert man WordPress so wird neben Ordnern und Daten auch eine Datenbank installiert. Eine Datenbank besteht aus Tabellen mit Inhalten. Der Tabellenname besteht aus einem Präfix und einem Namen. In WordPress ist dieses zum Beispiel wp_name.
Der Präfix wp_ verrät potentiellen Angreifern dass es sich um eine WordPressinstallation handelt. Damit hat ein Angreifer schon mal einen Ansatzpunkt und muß nur noch die Schwachstellen kennen. Das ist dann zwar immer noch nicht einfach, aber es erspart dem Angreifer schon mal viel Arbeit und er weiß wie er zum Beispiel die Adminoberfläche aufrufen kann.
Um diesen Präfix zu ändern ist es am einfachsten dieses gleich bei der Installation zu berücksichtigen. Dort wird man gefragt was für einen Präfix man möchte. Hat man dieses versäumt kann man entweder mit Handarbeit oder durch das Plugin Change DB Prefix nachhelfen. Ein Präfix Changer, zuzüglich vieler weiterer hilfreicher Tools, ist zum Beispiel in WP Security Scan enthalten.
Passwörter
Eine weitere Sicherheitslücke die relativ leicht geschlossen werden kann ist ein sicheres Passwort. Damit meine ich nicht nur das Passwort an sich, sondern auch einen sicheren Benutzernamen.
Derjenige der einen Angriff durchführen will bekommt früher oder später heraus um was für eine Installation es sich handelt, egal ob man den Datenbankpräfix ändert oder nicht. Das kann ein Link, ein Plugin oder Template sein das einen Link hinterlässt oder im Seitenquelltext befinden sich verdächtige Spuren. Also kann einer der Wege eines Hackers sein, dass er versucht über das Administrator Anmeldeformular in die Installation einzudringen. Dabei spielt das Passwort eine zentrale Rolle.
Im Internet sind viele Passwortgeneratoren zu finden, doch eigentlich will man sich das Passwort merken.
Für ein leicht zu merkendes Passwort das kaum zu knacken ist, gibt es einfache Tricks.
Nehmen wir an das Passwort soll den Dackel Waldemar beinhalten. Waldemar kam 1996 auf die Welt.
So lautet das Ausgangspasswort Waldemar1996. Das ist zu einfach.
Also ersetzen wir zum Beispiel jedes a durch ein @. W@ldem@r1996 – schon besser.
Geht noch besser, wir bauen einen Zahlendreher ein, statt 1996 nehmen 9619 und statt nur Zahlen drücken wir bei Zahl 1 und 3 die Shifttaste. Heraus kommt “)6!9”.
Wenn wir das zusammen setzen haben wir das Passwort W@ldem@r)6!9.
Wer will kann nun noch Waldemar mit einem Slashzeichen trennen. “W@lde/m@r)6!9 – wunderbar, wir haben ein tolles Passwort das man sich merken kann und das so schnell nicht zu knacken ist.
Für dieses Passwort benötigt ein Rechner mit 2 Milliarden Tests per Sekunde mehr als 365 Millionen Jahre, zumindest nach Angaben des Schweizer Datenschutzes.
Benutzername Admin – wie wird man ihn los?
Bei der Installation wird der Admin automatisch vorgeschlagen und häufig übernommen. Nehmen wir an der Admin ist angelegt und hat bereits einige Artikel geschrieben. Dieser Admin soll gelöscht werden, denn einfach abändern geht in WordPress nicht. Die bange Frage ob die Artikel dann weg sind die vom Admin bisher geschrieben wurden kann ich mit Nein beantworten. Die Artikel bleiben erhalten und können einem anderen Nutzer zugewiesen werden. Diesen Hinweis und viele andere nützliche Tipps habe ich von smart-ins-netz. Eine Seite mit vielen praktischen Tipps und Tricks.
Um den Admin loszuwerden loggt man sich im Backend ein und legt unter Benutzer einen weiteren Administrator mit allen Rechten an. Am besten gleich noch einen Autor anlegen, denn der Administrator sollte keine Artikel verfassen. Das wäre unter Umständen wieder ein Hinweis für einen Hacker.
Nachdem der neue Administrator und ein Autor angelegt sind, loggt man sich aus und meldet sich mit dem neuen Administrator an. Danach löscht an den alten Admin. Bevor er gelöscht wird, fragt WordPress wem die Artikel zugeschrieben werden sollen. Einfach den neuen Autor anklicken und schon sind die Artikel umgeschrieben. Jetzt nur noch den Admin löschen und eines der häufigsten Schwachstellen ist beseitigt.
Deshalb muß man sich jetzt aber nicht doppelt einloggen um einen Artikel zu schreiben.
Einfach wie gewohnt als Administrator anmelden, Artikel schreiben und dann unterhalb vom Artikelfeld den Autor auswählen. Dann wird der Artikel dem Autor zugewiesen.
vielen Dank für den Tipp zur Sicherheit, habe mir da bisher auch nicht viele Gedanken gemacht und gleich mal das plugin installiert.
lg
Susi
Um Sicherheit habe ich mich schon immer gekümmert, aber es ist ein laufender Prozess den man gerne mal aus den Augen verliert. Wenn da einfache Vorsorgemaßnahmen und Plugins einem die Arbeit erleichtern kommt mir das sehr entgegen.