Wie mache ich meinen WordPress Blog sicher(er) gegen Angreifer

Von Grundlagen13 Kommentare

Wie sichere ich meinen Blog vor schädlichen Angriffen?

Dies ist ein Gastartikel von Timo Fach, in-security.net.

Am Freitag hat Randy hier in einem Kommentar gefragt, wie man seinen Blog vor Hackerangriffen schützen kann. In diesem Gastbeitrag möchte ich in Grundzügen auf verschiedene Angriffsmöglichkeiten auf einen WordPress-Blog hinweisen und verschiedene Gegenmassnahmen vorstellen.

Das Open Source Problem

WordPress ist ein Open Source Projekt. Auf der einen Seite bringt dies viele Vorteile, da sich viele Entwickler an der Entwicklung beteiligen können und das Blog CMS natürlich kostenlos ist. Bei WordPress kann diese Weiterentwicklung in Form von Themes oder Plugins geschehen, das bedeutet beliebige Entwickler können ihre eigenen Themes oder Plugins erstellen und allen WordPress Benutzern auf der Welt zur Verfügung stellen.

Und genau an diesem Punkt liegt das Problem. Denn jeder, der mal ein Programmiertutorial überflogen oder durch ein Programmierbuch geblättert hat, kann mit seinem Halbwissen seine Plugins oder Templates der Community zur Verfügung stellen, welche dann (ungewollt) Programmierfehler und Sicherheitslücken enthalten können. Bei der Masse an Erweiterungen bei WordPress gibt es auch keine Instanz, die alle Sachen überprüfen kann und somit einen gewissen (Sicherheits-)Standard sicherstellt.

Alleine in diesem Jahr wurden in WordPress Plugins bereits 21 Sicherheitslücken festgestellt, und es lässt sich nur schwer schätzen, wieviele weitere noch im Dunkeln schlummern. Abhilfe gibt es bei dem Open Source Problem leider nur bedingt. Zum einen könnte man auf alle Erweiterungen verzichten, was aber nicht im Sinne des Erfinders ist. Meine Empfehlung ist, möglichst nur Plugins von bekannten Entwicklern zu benutzen und alle Plugins immer aktuell zu halten. Jedes Update könnte kritische Sicherheitslücken beheben!

Ich weiß dein Passwort

Bei dem Thema Passwortschutz kann WordPress leider nicht wirklich mithalten. In der Datenbank werden die Passwörter zwar verschlüsselt gespeichert und bei der Installation automatisch generiert, aber es gibt auch eine Menge Probleme:

Zum einen wird nach der Installation eine Mail an die angegebene Adresse geschickt, in der das generierte Passwort im Klartext steht. Wenn ein Dritter jetzt ungewollt Zugriff auf diese Mailadresse hat oder bekommt, kann er sich in das Adminpanel von WP einloggen. Selbst wenn das Passwort im Nachhinein geändert wurde, verrät diese Email, das auf dem Blog ein Benutzeraccount auf diese Mailadresse läuft. Also kann ein neues Passwort angefordert werden und der Zugriff auf das Adminpanel ist auch vorhanden.

Dies bedeutet, das sowohl das Passwort für den Zugang zu dem Adminpanel des Blogs als auch zu der eigenen Emailadresse geschützt werden muss. Zu dem Thema Passwortsicherheit gibt es schon gute Tippseiten, das wichtigste ist: Bei der Emailadresse und dem Blog zwei verschiedene Passwörter benutzen, diese sollten länger als 8 Zeichen sein und Klein-, Großbuchstaben, Ziffern und möglichst auch Sonderzeichen enthalten. Desweiteren ist es wichtig, das die Passwörter nicht ein zweites Mal verwendet werden. Wird zum Beispiel ein Passwort für eine Emailadresse und ein Forum verwendet, dann erhöht das Forum, wenn es gehackt wird, das Risiko, dass das Passwort bekannt wird.

Ein anderes Problem sind sogenannte Bruteforce-Attacken. Hierbei werden nacheinander verschiedene Passwörter durchprobiert, bis eins passt. Leider ist WordPress bei solchen Attacken sehr hilfreich und kommunikativ. Optimalerweise sollte bei einem fehlgeschlagenen Login nur stehen “Der Login ist fehlgeschlagen!” oder ähnliches. WordPress bietet aber noch genauere Fehlermeldungen und teilt einem potentiellen Angreifer “Fehler: Falscher Benutzername” oder wenn der Benutzername richtig ist, “Fehler: Falsches Passwort.” , mit. Dieses Problem ist als Information leakage bekannt und unterstützt mit den präzisen Fehlermeldungen einen potentiellen Angriff, indem die Anzahl möglicher User-Passwort Kombinationen bei einer Bruteforce-Attacke geschickt minimiert werden kann.

Abhilfe schafft hier das Plugin Secure WordPress, indem es diese Fehlermeldungen abschaltet.

Sicherheitsplugin für WordPress

Das Secure WordPress Plugin

Rechteerweiterung durch den Theme Editor oder die Plugin Installation

Ist erst einmal der Zugriff auf das Admin Panel von WordPress vorhanden, dann hat ein Angreifer leichtes Spiel. Über den Theme Editor oder die Plugin Installation kann eine sogenannte Php Shell hochgeladen werden, die den Zugriff auf an den Blog angeschlossene Webseiten (vielleicht ein Shop mit einem Blog oder ein Forum mit einem Blog …) möglich macht.

Die Benutzung des Theme Editors über das Adminpanel kann man ausschalten, indem man den Ordern und Dateien in /wp-content/themes/ die Rechte (Chmod) 644 gibt. Ob sich auch die Plugin-Installation ausstellen lässt, ist mir leider nicht bekannt.

Ich hoffe das verschiedene Themen im Bezug auf die Sicherheit eines WordPress-Systems deutlicher geworden sind. Falls du noch Rückfragen, weiterführende Fragen oder Anregungen hast, schreib einfach einen Kommentar :)

Titelfoto: Nick Benjaminsz

Dieser Beitrag war hilfreich? Weitersagen: