Personen welche Ihre Website oder Ihren Blog mit WordPress betreiben, sind natürlich auch vielen Gefahren ausgesetzt.
Gerade bei einem CMS wie WordPress, welches natürlich so weltbekannt ist, sind die Admin-Panels natürlich ein beliebtes Angriffsziel.
Angriffsziele bei WordPress
Ein beliebtes Ziel ist natürlich das Anmeldefenster zum Admin-Panel im WordPress, also der Zugang mit domain.ch/wp-admin.
Klappt ein erfolgreiches Login, steht dem Angreifer natürlich die Tür komplett offen.
Ein weiteres Ziel ist natürlich die Datei xmlrpc.php, welche vor allem für Pingbacks zuständig ist.
Das bedeutet, bei neuen Beiträgen von Ihnen wird automatisch ein Ping (ein Signal) an andere Blogs und Bots versendet, um die Infos zu senden, dass es neue Beiträge gibt.
Das genau diese Datei ein Ziel ist, erstaunt nicht, denn damit wird versucht neue Möglichkeiten zu finden, um weitere Rechner (IP-Adressen) als neuen Bot zu missbrauchen.
Zeitgleich besteht das Problem, dass mit unzähligen Zugriffen in kürzester Zeit natürlich der Server massiv an seine Grenzen kommen kann, womit ein Ausfall der Dienste nicht auszuschliessen ist.
WordPress Sicherheitslücken schliessen
Ganz so einfach ist es leider nicht, Sicherheitslücken dauerhaft zu schliessen, den alles was im Internet erreichbar ist, kann theoretisch auch angegriffen werden.
Dennoch kann und sollte man sich beim Loginfenster (wp-admin) unbedingt absichern!
Dazu gibt es 3 relativ einfache Schritte zur Absicherung:
1.) Wählen Sie ein kompliziertes Passwort mit 8-12 Zeichen, grosse und kleine Buchstaben, Zahlen und Sonderzeichen.
Benennen Sie den Benutzernamen um, er sollte keinesfalls nur admin sein.
2.) Schützen Sie das Zugriffsfenster (wp-admin) mit einem zusätzlichen Passwortschutz.
Ob das mittels htaccess oder einen weiteren Skript mit Login-Funktion abgesichert wird, liegt ganz bei Ihnen.
Damit ist es aber unmöglich, ohne erfolgreiches Login überhaupt auf die Loginmaske von WordPress zu kommen.
3.) Das File xmlrpc.php kann mittels htaccess geschützt werden.
Tragen Sie im htaccess (über FTP) folgenden Code hinzu:
<Files xmlrpc.php>
Deny from all
</Files>
Haben Sie keine Kenntnisse, dann lassen Sie diese Schritte am besten von einem erfahrenen Webentwickler ausführen.
Diese Arbeiten benötigen insgesamt ca. 20 Minuten, was zur Sicherheit sicherlich empfehlenswert ist.
Sinn und Zweck der Angriffe
Was die Angriffe genau für einen Sinn ergeben sollten, ist nicht immer ganz klar.
Eine Möglichkeit ist, dass man einen zusätzlichen Rechner (IP-Adresse) als weiteren Bot dazu gewinnen möchte.
Andernfalls gibt es auch die Option, dass ein direkter Angriff dahinter steckt, um eine Website offline zu bringen oder Daten zu entwenden.
Die Logfiles des Servers können unter Umständen weitere Informationen dazu ermöglichen, sind aber leider in vielen Fällen ebenfalls nicht sehr genau, da eine IP-Adresse verschleiert werden kann.
Jeder Angriff muss somit einzeln betrachtet und ausgewertet werden, sofern es Sinn macht, je nach Angriff.
Wir wünschen Ihnen für einen erfolgreichen Internetauftritt mit WordPress viel Erfolg!
Mit diesen zwei Moglichkeiten kannst du die Ordner deiner WordPress-Installation vor fremden Zugriffen schutzen.