LOADING

Sicherheit bei WordPress

 

WordPress ist eine beliebte CMS Software und lässt sich sowohl als Firmen-Webseite, Blog oder für einen Online-Shop verwenden. Aus diesem Grund ist WordPress aber auch für Angreifer interessant, die in der Regel versuchen, sich über den Admin-Bereich Zugang zum System zu verschaffen. In der Standardkonfiguration bietet WordPress dafür leider einige Angriffspunkte, die für automatisierte Bots leicht zu knacken sind.

Bekannte Sicherheitslücken bei WPWordpress sicherer machen

  • Eine Lücke erlaubt beispielsweise das Einschleusen von Schadcodes über die Kommentarfunktion. Will der Administrator der Seite diesen Kommentar freischalten, aktiviert sich der Code und kann beispielsweise das Passwort des Administrators ändern. Erfreulicherweise wurde diese Lücke ab WP Version 4.0 geschlossen, Nutzer älterer Versionen sind je doch nach wie vor durch diese Sicherheitslücke gefährdet.
  • Doch nicht nur WordPress selbst, sondern auch die Plug-ins können Lücken für Angreifer enthalten: Eine davon steckt in WP-Statistics. Hier können Angreifer ebenfalls einen neuen Administrator-Account anlegen und somit Unfug treiben. Vorsicht ist also an mehrere Stellen geboten.
     

Wie lassen sich WP-Seiten am besten schützen?

Dass der Name "admin" geändert und ein sicheres Passwort vergeben werden sollte, ist zwar allen bekannt, trotzdem ist hier eine der größten Schwachstellen. Wer auf den Admin-Bereich Zugriff hat, kann im Prinzip mit der Webseite machen, was er möchte. Deswegen sollte dieser Bereich wirklich gesichert sein, am besten noch weit über den Benutzernamen und das Passwort hinaus.

Gegen Brute-Force-Attacken kann man sich zum Beispiel schützen, wenn man die Zahl der Log-in-Versuche auf ein Minimum begrenzt. Das kann das Plug-in "Limit Login Attemps" übernehmen, welches den Seitenbetreiber via E-Mail über die ungültigen Einwahlversuche informiert. Weiterhin lässt sich der sensible Admin-Bereich via htaccess-Datei doppelt schützen. Weitere Plug-ins und Scanner können den Schutz noch weiter verbessern. So scannt der Timthumb Vulnerability Scanner das System auf das Skript timthumb.php prüft, das eine der größten Sicherheitslücken von WordPress darstellt. Das Plugin WSD Security zeigt an, wo kritische Stellen vorhanden sind. Mit dessen Hilfe lässt sich auch die Tabellenpräfix der WP-Datenbank ändern, so dass diese sicherer sind.

WordPress hat die Sicherheitslücken-Datenbank "WPScan" aufgebaut. Wie funktioniert diese Datenbank? Kann WPScan WP-Seiten sicherer machen?

Mit WPScan lässt sich die eigene Installation der WordPress-Seiten auf die bereits bekannten Sicherheitslücken überprüfen und soll neben den Lücken in den WordPress-Codes auch die Lücken in den Plug-ins finden. Das Ganze ist eine Datenbank, in der die Informationen über die einzelnen Sicherheitslücken gesammelt werden, und zwar je nach Code, Plug-ins und Themes. Zu Beginn wurde alles manuell eingegeben, inzwischen funktioniert das über ein Interface, nachdem die Mitwirkenden am Projekt, Sicherheitsexperten oder Mailinglisten von neuen Lücken Kenntnis erhielten. Dank dieser Datenbank sind alle Informationen über die Sicherheitslücken von WordPress an einem Ort versammelt. Diese lassen sich so gezielt nutzen, damit die Lücken geschlossen werden können. Für den Administrator kann WPScan zu einem Nachschlagewerk werden, mit dem er die Sicherheit seiner Internetpräsenzen überprüfen kann, die auf WordPress basieren. Da hier neben dem eigentlichen Code auch die Themes und Plugins überprüft werden können, bietet diese Sammlung eine gute Basis, mit der sich die eigene Seite sicher gestalten lassen kann.