WordPress Sicherheit – Ich bin schockiert

WordPress Sicherheit – Ich bin schockiert


Heute schreibe ich ein paar Zeilen über ein Thema, das nicht direkt etwas mit Fotografie zu tun hat, aber für viele Fotografen sicher interessant ist, weil sie entweder ihren Blog oder ihre Website mit WordPress betreiben.

An viele Stellen im Internet kann man lesen, wie man eine WordPress-Site installiert und wie man für die Sicherheit sorgen soll. Oft (aber nicht immer) wird dazu geraten, den voreingestellten admin-User sofort zu löschen und durch einen anderen Usernamen zu ersetzen. Der Grund ist, dass Hacker ansonsten, wenn sie schon einmal den Usernamen kennen, durch automatisiertes Ausprobieren möglicher Passwörter versuchen können, die Site zu hacken. Die WordPress-Installation selber verhindert das nicht! Es ist ohne Problem möglich, tausende Anmeldeversuche automatisiert abzusetzen!

Durch einen Artikel von perun animiert habe ich jetzt das WordPress-Plugin “Limit Login Attempts” installiert. Dieses Plugin begrenzt die Anzahl der möglichen Anmeldeversuche und verhindert dadurch automatisiertes Ausprobieren des Passworts. Das Plugin registriert außerdem alle Hacking-Versuche, listet sie in einer Tabelle auf und versendet, wenn gewünscht, eine eMail.

Nachdem ich das Plugin nun einen Tag im Einsatz habe muss ich sagen: Ich bin schockiert.

Bereits innerhalb der ersten 24 Stunden sind 81 Passwort-Attacken erfolgt! Und obwohl ich wie empfohlen den admin-User schon vor langer Zeit gelöscht habe, ist es wahrscheinlich reine Glückssache, dass meine Website noch nicht gehackt wurde.

Daher meine dringenden Tipps an alle WordPress-Benutzer:

  1. Verwendet keinesfalls “admin” als Usernamen, sondern wählt einen individuellen Namen.
  2. Verwendet diesen Namen nicht als “Öffentlichen Namen”, sodass er auf dem Blog angezeigt wird.
  3. Setzt das oben beschriebene Plugin ein.

Und als vierten Tipp: Abonniert den Blog von Perun, denn bei ihm gibt es viele hilfreiche und wichtige Tipps zum Betrieb einer WordPress-Site.

Was ich übrigens noch nicht herausgefunden habe: Wie stellt man überhaupt fest, dass die eigene Website gehackt wurde? Ein geschickter Mensch könnte ja einfach ein paar unauffällige Links platzieren und wieder verschwinden ….

Ich arbeite als Fotograf und führe ein Fotostudio in Heidelberg. Mein Schwerpunkt ist die Portraitfotografie.
Außerdem biete ich Coachings und Trainings zu den Themen Fotografen-Marketing und Photobusiness an.

16 comments

  1. Raimund

    Wenn man ein sicheres Paßwort verwendet, z.B. sowas wie

    fFw|U-lt+;}d,CD&]2(0>m*|8\AWX4,!

    ist es egal, wie der Admin-User heißt und wie viele Paßwort-Hack-Bots vorbeikommen.

    Das Paßwort kann man sich ja im Browser speichern.

  2. MPDb

    Moin,

    ich habe sogar den Tipp bekommen, das ich auch die Tabellen anderes benenne.
    Soll wohl Hacks auf der DB-Ebene auch nochmal weiter erschweren.

    Ich denke die Hacks zu erkennen ist eigentlich – wenn der Hacker z.b. nur alle eMails aller Kommentare abgreifen will – nicht direkt möglich.
    ein “letzter Login am xx” könnte man zumindest sehen, wann jemand drin war und sofern man sich selbst soweit bewußt ist, wann man angemeldet war….
    Aber auch da kann man natürlich nicht erkennen, was gemacht wurde.

    Vieleilcht gibt es ja ein Log-Plugin, welches alles aufzeichnet was im Backend passiert und das man das nachträglich abrufen kann.

    Gruß
    Falko

  3. Torsten

    Mit dem Plugin “Better WordPress Security” kann man ebenfalls einiges erreichen. man sollte allerdings vorsichtig sein mit den den Einstellungen, da es durchaus schwerwiegende Konsequenzen haben kannn wenn man “mal so” die DB-Präfixe ändert.

  4. Peter Weilacher

    Hallo,

    ich habe Version 3.4.1. installiert und hier wird das Login mit einem Rechen-Captcha gesichert. Es gibt auch das Plug-In – Zitat: “Login Dongle protects your login by means of a security question
    (AKA challenge/response) as an extra security layer.”

    Dazu wie oben beschrieben ein langes und cryptisches Passwort – und: “DU kommst da nicht rein”….

  5. Ben

    Ich habe meine wp-admin/-Verzeichnisse auf SSL umgeleitet. Da nur SSL-VErbindungen zugelassen werden, wenden sich einige Bots bereits von meiner Seite ab, bevor sie es versuchen.

    Kostenlose SSL-Zertifikate gibt es hier: http://cacert.org/

    Generell sollte man nie ohne SSL am Blog arbeiten, da ja sonst jeder “mitlesen” kann, der im gleichen Netz ist, falls man also man unterwegs ist.

  6. Celine

    Hallo,
    es ist wirklich schade, dass so eine tolle Plattform derartig unter Hacker-Attacken leiden muss. Viele Fotografen haben überhaupt nicht die Zeit sich mit den ganzen Sicherheitsmaßnahmen auseinanderzusetzen oder wissen gar nicht, dass ihre Seiten Hackerangriffen ausgesetzt sind. Ich habe mich in letzter Zeit intensiver mit Homepage-Baukastensystemen beschäftigt. Das Schöne daran, ist, dass man hier keine vergleichbaren Sicherheitsprobleme bekommt (vorausgesetzt natürlich man wählt ein ordentliches Passwort). Bei Jimdo & Co. kümmern sich nämlich die Anbieter selbst um das Aufspielen entsprechender Updates. Ich finde das sehr bequem, weil ich viel lieber fotografiere als mich mit Sicherheitsthemen herumzuplagen.
    Liebe Grüße
    Céline

  7. Jens Westphal

    Den Admin-User löschen und ein vernünftiges Kennwort benutzen, schon ist man vor solchen Brute-Force Attacken sicher. Hier geht es darum, dass durch sog. Script-Kiddies in der großen Masse von WordPress-Installationen einfach ein paar Standard-Kennwörter durchprobiert werden.

    Ich bin mir ziemlich sicher, dass, wenn es ein richtiger Hacker auf mein Blog abgesehen hat, er auch einen Weg findet es zu kompromittieren.

    Ob das Blog bereits gehackt und evtl. mit Schadsoftware versehen wurde, kannst du aus den Google-Webmaster Tools sehen. Dort findest du unter “Status” den Punkt “Malware”.

  8. Pingback: Wordpress sicher machen - Limit Login Attempts Plugin | TEILEDEALER.com - Weblog

  9. WP-Spezialist

    Wenn eine Seite gehackt wurde merkt man das meistens durch merkwürdiges Verhalten oder komische Anzeigen- da es aber durchaus sinnvoll ist das frühzeitig zu erkennen und zu beheben empfiehlt sich ein Plugin von Sergej Müller: http://wpantivirus.de/

  10. Martin

    Liebe Céline,

    wie es Jimdo & Co. gibt, existieren auch Anbieter die WordPresshosting verkaufen, diese sorgen denn auch für aktuelle “Sicheheit”.
    Ich glaube aber nicht, dass sich die Adminkollegen von Jimdo um ein sicheres Admin Passwort kümmern.
    Das wird auch dort dem Anwender überlassen bleiben.

    Das Thema Sicherheit uns Internet sind zwei Dinge die sich widersprechen, und jeder der im Web unterwegs ist (auch wenn es nur ein Webmailaccount, Ebay oder Facebook sei) sollte sich über grundlegende Sicherheit rudimentäre Gedanken machen.
    Das hat meiner Meinung etwas mit Medienkompetenz zu tun.
    Damit meine ich in erster Linie Ändern von Standardusern, das Nichtverwenden von Passwörtern, die per Social Engenering einfach zu erraten sind.

    Das was hier in den Beiträgen als “Hacking” bezeichnet wird, sind allenfalls automatisierte Scripts die einfach Bereiche von IP-Bereichen abklappern, feststellen ob – und welches CMS – dort läuft, um danach aus einer Mischung aus (je nach CMS) gebräuchlichen Standardusernamen mit Standardpasswörtern aus einer Textsammlung (Wörterbuchattacke) beschießen.

    Ziel dabei ist es in 99% der Fälle nicht den Blog / die Webseite zu korumpieren, sondern den Server zu übernehmen auf dem das CMS / die Webseite läuft, um diesen als Spamschleuder zu mißbrauchen.

    Grüße vom Träumer

  11. Heimo huber

    Hallo! Hatte meine erste WEB Site mit phpKit aufgebaut ….. musste mit dieser aufhören, da die Hackernangriffe so Massiv waren. Neben verlinkung der Startseite, bis zum Massenversand von SPAMS über meine Provider. War knapp davor meine WEB Aktivitäten einzustellen. Habe danach mit Joomla rumprobiert. Da hatte ich keine Hacker Attacken. Habe seit Frühjahr 2012 auf WordPress umgestellt und bin über solche Security Informationen froh und habe diese auch gleich nachgezogen. Bis jetzt konnte ich noch keine Hacker Attacken beobachten….. Hier muss man jedoch vermutlich permanent die Einstellungen nachjustieren … LG Heimo

  12. Ralf Nöhmer

    Danke für die Informationen. Mein Blog ist zwar nicht so frequentiert, wie Deines, es sind aber auch in meinem Blog schon Sperrungen für den “Admin” durch das Plug-in aufgetreten. Den “Admin” als User gibt es schon lange nicht mehr, es ist aber gut zu sehen, nach welchen Namen noch gesucht wird. Beliebt ist anscheinend auch, den Usernamen, der bei den Artikeln steht, zu testen.

  13. Jan

    Dass in dein WordPress eingebrochen wurde, wirst du mit ziemlicher Sicherheit ganz schnell bemerken, mach dir da mal keine Sorgen. In den meisten Fällen wird Schadcode eingeschleust, der sich oft sofort bemerkbar macht.

    Für eine grundlegende Sicherheit empfehle ich einfach ein langes Passwort, welches aus zufälligen Buchstaben, Zahlen und Sonderzeichen besteht, mindestens 8 Zeichen lang. Das Admin-Konto zu löschen ist gar nicht mal verkehrt, doch wer Themes, Plugins und WordPress selbst nicht aktuell hält (Updates installieren!), dem bringen auch die besten Passwörter nichts. ;)

  14. Daniel

    @Jan: Die 2-Faktor-Authentifizierung bringt auch nochmal zusätzliche Sicherheit. Die Smartphone-App gibt es auf allen mobilen Betriebssystemen und ist kinderleicht einzurichten. Trotzdem ist das Passwort natürlich das A und O. Alles weitere ist ein zusätzlicher Schutz, der aber ohne eine gesunde Basis unnütz ist. Better WP Security ist auch ein super einfaches Plugin, aber leider ist eine nachträgliche Änderung der .htaccess nicht so einfach möglich. Anscheinend wird das vom Plugin wahrgenommen und blockiert daraufhin die IP. Ich musste dann die .htaccess löschen und neu generieren lassen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>