Seit einigen Monaten nutzen wir WordPress f\u00fcr unsere Site. Das ist nun wirklich nichts besonderes und eigentlich keiner Rede wert. WordPress hat sich in den letzten Jahren vom reinen Tool f\u00fcr Blogger zu einer weit verbreiteten Plattform f\u00fcr Web-Sites entwickelt. Sehr beliebt bei allen, die ihre Site nicht mit Code-basierten Mitteln herstellen wollen. Das gilt – mit gewissen Einschr\u00e4nkungen – auch f\u00fcr uns. Vorbei die Zeiten von Dreamweaver oder gar Frontpage, mit denen wir fr\u00fcher gearbeitet haben. Und die meisten Web-Hoster bieten WordPress schon seit l\u00e4ngerem standardm\u00e4\u00dfig als App auf ihren Servern an. Kostenlos – unkompliziert – prima!<\/p>\n
Soweit, so gut. So sind wir auch vorgegangen. Durch Zufall (YouTube sei Dank) sind wir dann auf einige Informationen gesto\u00dfen, die sich mit der Sicherheit von WordPress-Sites besch\u00e4ftigen. Aber was betrifft uns das? Unsere mittelpr\u00e4chtige Site von einem nicht wirklich riesigen Unternehmen – wo sollte da das Interesse f\u00fcr Hacker sein? Die greifen doch nur die gro\u00dfen und interessanten Ziele an.<\/p>\n
To make a long story short, haben wir ein Plugin (iThemes Security – dazu sp\u00e4ter mehr) installiert – und nicht schlecht gestaunt. Innerhalb k\u00fcrzester Zeit summierten sich die Meldungen \u00fcber Brute-Force-Angriffe auf unsere Site zu einer beachtlichen Zahl. Wir kommen am Tag auf durchschnittlich 20 bis 30 eher unfreundliche Versuche uns einen Besuch abzustatten. Ungebetene G\u00e4ste aus aller Herren L\u00e4ndern klopfen bei uns an. Das mag wenig sein (keine Ahnung) und der IT-Admin eines gro\u00dfen Unternehmens wird sich \u00fcber diese Marginalie vermutlich eher am\u00fcsiert zeigen. Aber…<\/p>\n
ehrlich gesagt haben wir uns m\u00e4chtig ge\u00e4rgert. Nicht \u00fcber die Tatsache dass solche Angriffe stattfinden, sondern vielmehr \u00fcber unsere gnadenlose Naivit\u00e4t. Wie naiv kann man sein, um davon auszugehen, dass „bei mir schon nichts passiert“?<\/p>\n
Vorausschicken m\u00f6chten wir, dass wir keine Experten f\u00fcr IT-Security sind und auch nicht den Anspruch erheben, dies zu sein. Wenn es also um eine spezielle Beratung beim Schutz der eigenen Web-Site geht, sollte man sich an die einschl\u00e4gigen Fachleute bzw. Fachfirmen wenden.<\/p>\n
Festzuhalten ist, dass die WordPress-Plattform aufgrund ihrer\u00a0hohen Verbreitung ein \u00e4u\u00dferst beliebtes<\/strong> Angriffsziel darstellt.\u00a0Die Brute-Force-Methode ist eine gerne genommene Angriffsmethode, um Passw\u00f6rter herauszufinden oder Daten zu entschl\u00fcsseln. Sie nutzt „rohe Gewalt“ (brute force), indem sie wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert. Je mehr Kombinationen getestet werden, desto h\u00f6her ist die Erfolgsaussicht. Prinzipiell l\u00e4sst sich jedes Geheimnis durch Ausprobieren l\u00f6sen. Allerdings steigt die hierf\u00fcr ben\u00f6tigte Zeit mit der Komplexit\u00e4t des Geheimnisses. Moderne, leistungsf\u00e4hige Rechnersysteme sind in der Lage, binnen kurzer Zeit viele m\u00f6gliche Kombinationen durchzurechnen. Mit Hilfe komplexer Passw\u00f6rter, langer Schl\u00fcssel und der Begrenzung von m\u00f6glichen Fehlversuchen bei Logins lassen sich die Erfolgsaussichten von Brute-Force-Angriffen senken.<\/p>\n Ist der Angreifer aber erst einmal „drin“, lassen sich in den Skripten der Site problemlos Schadcodes (Malware, Schadprogramme, Trojaner) unterbringen. Der Eigent\u00fcmer (Admin) der Site bemerkt davon meist absolut nichts. Denn es ist ja der Charme von WordPress, dass man sich nicht mit dem Code besch\u00e4ftigen muss. Der Eigent\u00fcmer\/Admin sieht nur die Oberfl\u00e4che und die Site, nicht den Code. Da die WordPress Dateien in den meisten F\u00e4llen nicht lokal gespeichert sind, sondern sich auf dem Server des Web-Hosts befinden, kann man auch keine lokalen Viren- bzw. Malware-Scanner zur Pr\u00fcfung der eigene Site-Dateien nutzen.<\/p>\n Das Ergebnis solcher Angriffe machst sich meist erst beim Besucher der Site bemerkbar – und dies unangenehm.<\/p>\n Die Auswertung unserer Protokolle hat jedenfalls ergeben, dass sich diese Angriffe in etwa 10% der F\u00e4lle direkt auf die wp-admin.php<\/strong>, also den direkten Zugang zum WordPress Backend richten. In 80% der F\u00e4lle wird die\u00a0XMLRPC-Schnittstelle (xmlrpc.php<\/strong>) angegriffen. Diese Schnittstelle wird von WordPress vor allem als mehr oder minder offener Eingang f\u00fcr Blog-Kommentare genutzt\u00a0und dient gleichzeitig als Schnittstelle<\/strong>, um WordPress \u00fcber externe Programme verwalten zu k\u00f6nnen. Diese Schnittstelle ist bei WordPress seit der Version 3.5 standardm\u00e4\u00dfig offen und l\u00e4sst sich ohne zus\u00e4tzliches PlugIn nicht beeinflussen.<\/p>\n Die Vorgehensweise bei den Angriffen ist dabei meist die gleiche. An die beiden Eingangst\u00fcren (wp-admin.php alternativ xmlrps.php) wird erst einmal eine Anfrage nach dem Muster<\/p>\n gesendet, um \u00fcber die „Passwort vergessen“-Funktion eine Reaktion hervorzurufen. Dann wird eine geballte Ladung von m\u00f6glichen Passworten ausprobiert. Geeignete Tools sind in der Lage bei so einer Anfrage bis zu 500 Passw\u00f6rter<\/strong>\u00a0in einer Anfrage unterzubringen und reduzieren den zeitlichen Aufwand damit erheblich, irgendwann auf die korrekten Login-Daten zu sto\u00dfen. Selbst aktuelle WordPress-Versionen (5.03) sind davor nicht gesch\u00fctzt.<\/p>\n Die n\u00e4chste Methode\u00a0die es Angreifern erm\u00f6glicht in die Site einzudringen, ist \u00fcber Funktionsaufrufe direkt an die XMLRPC-Schnittstelle mit\u00a0wp.getUsersBlogs<\/a>\u00a0oder wp.getComments<\/a>\u00a0Kombinationen<\/strong> von Benutzernamen und Passwort zu erproben. Sobald ein Angreifer Benutzername und Passwort sendet, wird die xmlrpc.php\u00a0entsprechend R\u00fcckmeldung geben, ob die Kombination korrekt ist oder nicht.<\/p>\n Es ist fast peinlich, soll aber nicht unerw\u00e4hnt sein. Wer als Zugangspasswort zum WordPress-Backend (also der\u00a0wp-admin.php<\/strong>) immer noch „Admin“ verwendet, dem ist wirklich nicht zu helfen. Das Passwort sollte m\u00f6glichst komplex sein und eher 15 als 8 Zeichen enthalten. Passwort Generatoren und Passwort Manager gibt es wie Sand am Meer.<\/p>\n Es soll ja immer noch Menschen geben, die mit \u00a0Thema Datensicherung<\/strong> auf dem Kriegsfu\u00df stehen. Hm… nicht wirklich smart. Aber sei es drum. Sp\u00e4testens vor<\/strong> den n\u00e4chsten Schritten ist ein Backup der externen Datenbank via ftp<\/strong> f\u00e4llig. Die verbreitetste Software zur FTP und SFTP Daten\u00fcbertragung d\u00fcrfte FileZilla<\/strong> sein. Diese Software ist erprobt, zickt nicht rum und ist kostenlos.<\/p>\n Zun\u00e4chst muss beim Provider gekl\u00e4rt werden, wo der ftp-Zugang zur Datenbank ist. Bei jedem Provider (zumindest nach unserer Kenntnis) befinden sich im Kundenmen\u00fc entsprechende Informationen \u00fcber die ftp-Serveradresse und die erforderlichen Passworte.<\/p>\n Dann den Zugang herstellen und die Datenbank-Dateien lokal speichern. Dies ist f\u00fcr den n\u00e4chsten Schritt zwingend!<\/strong><\/p>\n Man sollte hierbei bedenken, welches Backup da hergestellt wird. Bei der Erstinstallation von WordPress (beim Provider\/WEB-Host) wird mehr oder minder automatisch auch eine MySQL-Datenbank erzeugt. „Mehr oder minder“ bedeutet, dass bei diesem Vorgang nur die Auswahl bleibt, welche PHP-Version verwendet wird. Auf diese MySQL-Datenbank setzt WordPress dann auf. Die vorgenannte Methode via ftp bezieht sich ausschlie\u00dflich<\/strong> auf das Backup der WordPress-Files. Die eigentliche MySQL-Datenbank ist auf diesem Weg nicht zu erreichen. Ein Backup der MySQL-Datenbank kann nur \u00fcber die „Backup“-Funktion im Kundenmen\u00fc des Hosts erfolgen, nicht via ftp. F\u00fcr die weiteren Schritte gen\u00fcgt aber ein Backup der WordPress-Files mittels ftp-Zugang.<\/p>\n Normaler Weise liegt der Admin-Zugang zum WordPress-Backend im Root-Directory der Site. Die Adresse lautet dann beispielsweise „www.domainname.de\/wp-admin\/“. Diese Tatsache ist jedem Nutzer von WordPress und definitiv jedem Hacker bekannt. Da w\u00e4re es doch hilfreich, wenn man diesen Zugang verschleiern k\u00f6nnte. Okay, man kann und hierzu gibt es 2 M\u00f6glichkeiten, die man auch kombiniert einsetzen kann.<\/p>\n M\u00f6glichkeit 1<\/strong> ist die Umbenennung des Admin Zugangs mit dem PlugIn „Rename wp-login.php“. Dieses PlugIn ist schon etwas \u00e4lter, funktioniert aber einwandfrei. Nach Aktivierung des PlugIns und Eingabe der erforderlichen \u00c4nderung lautet die Anmelde-URL dann entsprechend der \u00c4nderungen in diesem Plugin und nicht mehr „wp-admin“. Es w\u00e4re nat\u00fcrlich hilfreich, wenn man sich diese neue URL sicher (z.B. im Passwort-Manager) notiert hat. Andernfalls ist der Zugang zum Admin-Bereich versperrt (was ja das eigentliche Ziel war) und es hilt nur noch das vorher hergestellte Backup<\/strong> via ftp-Programm zur\u00fcck auf den Server zu spielen.<\/p>\n M\u00f6glichkeit 2<\/strong> ist die Verlegung des gesamten WordPress Zugangs in ein anderes Directory. Danach befindet er sich nicht mehr im Root, also in dem oben bereits erw\u00e4hnten „www.domainname.de\/…“, sondern in einem neuen Unterverzeichnis mit beliebigem Namen. Hierzu ist wieder ein Plugin erforderlich. Dieses Mal ist es „WPS Hide Login“. (Hierzu gibt es ausf\u00fchrliche Tutorials bei YouTube, was wir dringend empfehlen!) Nach der Installation sollte man das PlugIn keinesfalls<\/strong> sofort aktivieren, sondern zuerst genauestens einrichten. Denn nach der Aktivierung wird das Backend geschlossen und man muss sich unter der neuen URL neu anmelden. Wenn man die erforderlichen Zugangsdaten nicht genau notiert hat, ist wieder das vorher hergestellte Backup<\/strong>\u00a0am Zug.<\/p>\n Auch hierzu gibt es wieder zwei M\u00f6glichkeiten. Eine, die sich nur um die seit WordPress Version 3.5 st\u00e4ndig offene Schnittstelle k\u00fcmmert und die rabiate Variante, die generell versucht Brute-Force Angriffe abzuwehren.<\/p>\n Man sollte sich aber vorher klar machen, dass diese Schnittstelle nicht grundlos existiert. Sie ist das Tor zur Au\u00dfenwelt der Site und k\u00fcmmert sich beispielsweise um Pingbacks, also ein- und ausgehende Mitteilungen von anderen Webseiten. Au\u00dferdem greifen verschiedene Plugins (wie beispielsweise Jetpack) oder Apps darauf zu. Wer diese Funktionen zwingend ben\u00f6tigt, muss sich andere Wege zu deren Schutz suchen.<\/p>\n M\u00f6glichkeit 1<\/strong> ist die Installation des PlugIns „Disable XML-RPC“ von Philip Erb. Dieses PlugIn macht nur eins, es schlie\u00dft ganz stumpf die\u00a0XMLRPC-Schnittstelle, sonst nichts. Gen\u00fcgt aber meistens.<\/p>\n M\u00f6glichkeit 2<\/strong> ist da etwas umfangreicher und auch deutlich rabiater. Das PlugIn „iThemes Security\u00a0(formerly Better WP Security)“ schlie\u00dft nur unter Anderem die\u00a0XMLRPC-Schnittstelle. Es l\u00e4sst sich mit diversesten Einstellungen auch die gesamte Datenbank \u00fcberwachen. Jede \u00c4nderung in allen Dateien wird kontrolliert und dokumentiert (was manchmal nervig sein kann, wenn man die Site h\u00e4ufiger ver\u00e4ndert oder z.B. Beitr\u00e4ge, wie diesen schreibt). Au\u00dferdem wird (hoffentlich) jeder externe Zugriffsversuch erkannt und nach einstellbaren Kriterien (wieder hoffentlich) abgeblockt. Empfohlen wird beim dritten Versuch. Das l\u00e4\u00dft sich aber auch noch strammer einstellen. Zur Abwehr der ganz unerfreulichen Besucher kann man auch, wenn gew\u00fcnscht, eine externe Blacklist heranziehen, die einschl\u00e4gig bekannte URLs sofort abblockt.<\/p>\n Eine weitere, h\u00f6chst charmante Einstellung ist die \u00dcberwachung der 404-Funktion. Der „404 not found“ Statuscode wird immer dann gezeigt, wenn defekte oder nicht vorhandene Links oder Web-Seiten aufgerufen werden. Hat jeder schon einmal gesehen. Dies machen sich „neugierige“ Menschen gerne zu nutze um mal zu sehen, was da sonst auf der Site noch so los ist und ob man nicht \u00fcber Entw\u00fcrfe, offline gestellte Seiten oder andere T\u00fcrchen in die Site gelangen kann. Anfragen an die Site, die mit „404“ beantwortet werden, werden ebenfalls \u00fcberwacht. Frequenz und Zeitraum k\u00f6nnen eingestellt werden. Ist jemand zu h\u00e4ufig allzu neugierig, wird er ausgesperrt.<\/p>\n Die Bedienung und Einstellung dieses PlugIns zu erl\u00e4utern, \u00fcbersteigt allerdings die M\u00f6glichkeiten dieses Beitrags bei weitem. Hier hilft wieder YouTube mit etlichen Tutorials. Zum guten Schluss noch drei Anmerkungen.<\/p>\n Alle hier genannten Programme und PlugIns sind kostenlos. Insoweit ist das hier keine Werbung f\u00fcr irgend etwas oder irgend jemand. Alle genannten PlugIns lassen sich innerhalb des WordPress Backends \u00fcber die hinl\u00e4nglich bekannte „PlugIns installieren“-Seite installieren.<\/p>\n Nehmen Sie die hier erw\u00e4hnten Einstellungen nicht „einfach mal so“ vor. Die meisten Einstellungen bed\u00fcrften vorher genauer Information und es sollte unter allen Umst\u00e4nden vorher ein Backup<\/strong> der WordPress-Datenbank erfolgen. (Man kann es nicht oft genug erw\u00e4hnen.)<\/p>\n Und… was auch immer wir tun und installieren – PlugIns hin und Verschleierung her – vor Hackern k\u00f6nnen wir uns nie zu 100% sch\u00fctzen. Nur v\u00f6llig naiv sollten man nicht sein und es den ungebetenen Besuchern so schwer machen, wie es m\u00f6glich ist.<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Wie naiv kann man sein?! Seit einigen Monaten nutzen wir WordPress f\u00fcr unsere Site. Das ist nun wirklich nichts besonderes und eigentlich keiner Rede wert. WordPress hat sich in den letzten Jahren vom reinen Tool f\u00fcr Blogger zu einer weit verbreiteten Plattform f\u00fcr Web-Sites entwickelt. Sehr beliebt bei allen, die ihre Site nicht mit Code-basierten […]<\/p>","protected":false},"author":2,"featured_media":1970,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ocean_post_layout":"full-screen","ocean_both_sidebars_style":"","ocean_both_sidebars_content_width":0,"ocean_both_sidebars_sidebars_width":0,"ocean_sidebar":"0","ocean_second_sidebar":"0","ocean_disable_margins":"on","ocean_add_body_class":"","ocean_shortcode_before_top_bar":"","ocean_shortcode_after_top_bar":"","ocean_shortcode_before_header":"","ocean_shortcode_after_header":"","ocean_has_shortcode":"","ocean_shortcode_after_title":"","ocean_shortcode_before_footer_widgets":"","ocean_shortcode_after_footer_widgets":"","ocean_shortcode_before_footer_bottom":"","ocean_shortcode_after_footer_bottom":"","ocean_display_top_bar":"off","ocean_display_header":"on","ocean_header_style":"","ocean_center_header_left_menu":"0","ocean_custom_header_template":"0","ocean_custom_logo":0,"ocean_custom_retina_logo":0,"ocean_custom_logo_max_width":0,"ocean_custom_logo_tablet_max_width":0,"ocean_custom_logo_mobile_max_width":0,"ocean_custom_logo_max_height":0,"ocean_custom_logo_tablet_max_height":0,"ocean_custom_logo_mobile_max_height":0,"ocean_header_custom_menu":"0","ocean_menu_typo_font_family":"0","ocean_menu_typo_font_subset":"","ocean_menu_typo_font_size":0,"ocean_menu_typo_font_size_tablet":0,"ocean_menu_typo_font_size_mobile":0,"ocean_menu_typo_font_size_unit":"px","ocean_menu_typo_font_weight":"","ocean_menu_typo_font_weight_tablet":"","ocean_menu_typo_font_weight_mobile":"","ocean_menu_typo_transform":"","ocean_menu_typo_transform_tablet":"","ocean_menu_typo_transform_mobile":"","ocean_menu_typo_line_height":0,"ocean_menu_typo_line_height_tablet":0,"ocean_menu_typo_line_height_mobile":0,"ocean_menu_typo_line_height_unit":"","ocean_menu_typo_spacing":0,"ocean_menu_typo_spacing_tablet":0,"ocean_menu_typo_spacing_mobile":0,"ocean_menu_typo_spacing_unit":"","ocean_menu_link_color":"","ocean_menu_link_color_hover":"","ocean_menu_link_color_active":"","ocean_menu_link_background":"","ocean_menu_link_hover_background":"","ocean_menu_link_active_background":"","ocean_menu_social_links_bg":"","ocean_menu_social_hover_links_bg":"","ocean_menu_social_links_color":"","ocean_menu_social_hover_links_color":"","ocean_disable_title":"on","ocean_disable_heading":"default","ocean_post_title":"","ocean_post_subheading":"","ocean_post_title_style":"","ocean_post_title_background_color":"","ocean_post_title_background":0,"ocean_post_title_bg_image_position":"","ocean_post_title_bg_image_attachment":"","ocean_post_title_bg_image_repeat":"","ocean_post_title_bg_image_size":"","ocean_post_title_height":0,"ocean_post_title_bg_overlay":0.5,"ocean_post_title_bg_overlay_color":"","ocean_disable_breadcrumbs":"default","ocean_breadcrumbs_color":"","ocean_breadcrumbs_separator_color":"","ocean_breadcrumbs_links_color":"","ocean_breadcrumbs_links_hover_color":"","ocean_display_footer_widgets":"default","ocean_display_footer_bottom":"default","ocean_custom_footer_template":"0","ocean_post_oembed":"","ocean_post_self_hosted_media":"","ocean_post_video_embed":"","ocean_link_format":"","ocean_link_format_target":"self","ocean_quote_format":"","ocean_quote_format_link":"post","ocean_gallery_link_images":"off","ocean_gallery_id":[],"footnotes":""},"categories":[19],"tags":[],"class_list":["post-1955","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tips-und-tricks","entry","has-media"],"_links":{"self":[{"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/posts\/1955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/comments?post=1955"}],"version-history":[{"count":0,"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/posts\/1955\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/media\/1970"}],"wp:attachment":[{"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/media?parent=1955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/categories?post=1955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.2kmc.de\/en\/wp-json\/wp\/v2\/tags?post=1955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}...\/?action=lostpassword">Passwort vergessen?<\/a><\/pre>\n
Was tun?<\/h3>\n
Schritt 1 – Passwort f\u00fcr den Zugang zum Backend<\/h4>\n
Schritt 2 – Backup<\/h4>\n
Schritt 3 – Den Zugang zum Backend verschleiern<\/h4>\n
Schritt 4 – Zugang zur\u00a0XMLRPC-Schnittstelle schlie\u00dfen<\/h4>\n
\nDer guten Ordnung halber sei erw\u00e4hnt, dass die Existenz der von diesem PlugIn erzeugten Security-Log-Files in der Datenschutzerkl\u00e4rung erw\u00e4hnt werden sollte.<\/p>\n\ud83d\udd96\ud83c\udffc<\/h1>\n