Veröffentlicht am 02. Juni 2022 -
Schätzungsweise 40% aller Internetseiten weltweit nutzen das Content-Management-System WordPress. Die permanente Weiterentwicklung, die Quelloffenheit und die schier endlose Anzahl an Themes und Plugins machen WordPress damit zum beliebtesten CMS. Doch diese Beliebtheit hat nicht nur Vorteile: Auch bei Angreifern ist das System sehr beliebt. Feste Namen für Administrationsbereich und oftmals verwaiste Schnittstellen laden zu Brute Force Attacken ein, bei denen die Angriffe darauf abzielen den Benutzernamen und das Passwort zu entschlüsseln. Auch wenn die Kombination aus beidem ausreichend sicher gewählt ist, führen solche massenhaften Angriffe nicht selten zu einer schlechten Performance der Webseite oder gar zur Nichterreichbarkeit des Servers. Dabei gibt es recht einfache Mittel, die eigene Webseite gegen solche Angriffe zu schützen. Schlecht abgesicherte WordPress-Installationen gibt es im World Wide Web zuhauf - und wie bei einem realen Einbruch haben es auch die Bots und Skripte gerne einfach und lassen sich in der Regel schon durch einfache Methoden von ihrem Einbruchsversuch abbringen. Wie das auch ohne große Programmierkenntnisse und ohne Eingriff in die .htaccess geht erfahren Sie in unserem kleinen Tutorial...
Die richtige Wahl der Waffen: Das passende Plugin...
Sicherheits-Plugins für WordPress gibt es wie Sand am Meer. Hierunter sind mächtige Tools wie Sucuri oder Wordfence, aber auch echte Leichtgewichte wie WPS Hide Login. Irgendwo in der Mitte siedelt sich das Plugin an, welches wir zur Absicherung unserer WordPress-Installation verwenden wollen: WP Hide & Security Enhancer.
Die Installation...
...sollte für alle, die schon einmal mit WordPress gearbeitet haben, keine große Schwierigkeit darstellen. Im Backend wird als Administrator unter Plugins ➔ Installieren das o.g. Plugin gesucht und mittels Jetzt installieren ➔ Aktivieren der Installation hinzugefügt.
Die Einrichtung...
...ist ebenfalls schnell erledigt. Im Backend ist ein neuer Eintrag WP Hide hinzugekommen. Ein Klick darauf offenbart, dass (sofern noch nicht geschehen) zunächst Permalinks gesetzt werden müssen.
Diese Permalink-Struktur kann über Einstellungen ➔ Permalinks gesetzt werden. Ob Tag und Name, Monat und Name, Numerisch, Beitragsname oder eine individuelle Struktur gewählt werden ist dabei unerheblich nur Einfach darf es nicht sein.
Ein erneuter Aufruf von WP Hide sollte nun ergeben, dass es keine weiteren Probleme gibt und die Einrichtung beginnen kann. Für eine einfache Absicherung der WordPress-Installation sollte es genügen, die Datei wp-login.php und den Ordner wp-admin umzubenennen und zu blockieren und die ohnehin nicht mehr genutzte XML-RPC Schnittstelle zu deaktivieren.
Die Datei wp-login.php umbenennen und blockieren
Im nächsten Schritt rufen wir unter WP Hide den Menüpunkt Hide ➔ Admin auf. Hier muss zunächst ein neuer Dateiname für die wp-login.php gesetzt werden (1). Der Fantasie sind hierbei keine Grenzen gesetzt, es sollte nur nicht zu einfach zu erraten sein (bspw. NICHT der Domainname o.ä.). Bitte achten Sie darauf, dass Sie an Ihren Dateinamen auch die Endung .php hängen. Wem die Fantasie fehlt, der kann aber auch einfach eine Zeichenfolge generieren lassen (2). Zu guter Letzt müssen wir unter Block default wp-login.php noch auf Show klicken (3)....
...und hier die Option Yes auswählen. Ein anschließender Klick auf Save sorgt dafür, dass die wp-login.php verschwunden ist und ein Bot es nun schon schwerer hat, die Login-Seite von WordPress überhaupt zu finden.
Den Ordner wp-admin umbenennen und blockieren
Allerdings bietet WordPress noch einen anderen Weg auf die Anmeldeseite zu gelangen, nämlich durch Aufruf des Ordners wp-admin. Auch diesen müssen wir in der Folge - und im Grunde analog zur wp-login.php umbenennen und blockieren. Dazu klicken wir im gleichen Menüpunkt zunächst oben auf den Reiter Admin URL. Hier muss wieder ein Fantasiename vergeben (1) oder generiert (2) werden und nach einem Klick auf Show (3) der Button Yes ausgewählt werden.
Nach einem Klick auf Save werden wir aufgrund des geänderten Links vom Backend abgemeldet. Ein erneutes Anmelden zeigt, dass in der Adresszeile unseres Browsers nun ein anderer Admin-Ordner angezeigt wird.
Achtung: Um sich nicht aus der eigenen WordPress-Installation auszusperren, empfiehlt es sich spätestens hier ein Lesezeichen das Backends zu setzen. Das Plugin versendet aber auch eine Email an den Administrator, in welcher die neuen Login-URLs hinterlegt sind.
XML-RPC Schnittstelle deaktivieren
Früher wurde die XML-RPC Schnittstelle bspw. zur Kommunikation von WordPress mit der WordPress-App oder anderen Blogsystemen eingesetzt. Inzwischen ist die Schnittstelle von der wesentlich flexibleren und auch sichereren REST API abgelöst worden. Aus Gründen der Abwärtskompatibilität ist die XML-RPC Schnittstelle bisher allerdings nicht deaktiviert worden - obwohl sie vermutlich nur noch im Promille-Bereich der WordPress-Installationen überhaupt Verwendung findet. In der Regel können wir die Schnittstelle also guten Gewissens deaktivieren. Dieses erreichen wir über den Menüpunkt Hide ➔ Rewrite / URLs. Hier muss zunächst der Reiter XML-RPC ausgewählt werden.
Auch hier wählen wir nach einem Klick auf Show den Button Yes aus und sichern die Einstellungen mittels Save.
Fertig...
Ihre WordPress-Installation ist nun schon ein gutes Stück sicherer als zuvor und Skripte und Bots können Ihre Login-Seite nun nicht mehr ohne weiteres aufrufen und attackieren. Übrigens: Das A und O bei der Sicherheit Ihrer WordPress-Installation ist natürlich ein aktuelles und sicheres Hosting-Paket sowie regelmäßige Updates Ihres WordPress-Cores, des Themes und der Plugins. Sprechen Sie uns gerne an!
Hosting-Kunde mit WordPress-Website bei STEIGERDICH.DE?
...dann haben wir die obigen Schritte bereits für Sie erledigt und Ihre Webseite ist sicher!
Kein Kunde? Sie wollen eine neue, sichere Webseite? Dann freuen wir uns darauf Sie kennenzulernen!
