4 Plugins für mehr Sicherheit im WordPress-Blog

4 Plugins für mehr Sicherheit im WordPress-Blog

Blogs mit hoher Reichweite sind häufig Hacker-Angriffen ausgesetzt. Was oftmals harmlos vorbeizieht, kann in manchen Fällen für Datenverlust, unerlaubte Änderungen im Quellcode und Schaden für Besucher sorgen. Ich stelle euch vier WordPress-Plugins vor, mit denen eure WordPress-Website ein Stück sicherer wird.

Limit Login Attempts – Brute-Force-Attacken entgegentreten

Brute-Force-Attacken sind der Schrecken im Web. Denn bei ihnen schicken Hacker Scripts an die Arbeit, um jedes weltweit häufig genutzte Passwort mit dem passenden Benutzernamen zu kombinieren. WordPress ist dafür besonders anfällig, da viele Benutzer beim Standard-Usernamen „admin“ bleiben. Diesen könnt ihr schnell ändern, indem ihr einen neuen User mit Administrationsrechten anlegt und den alten Account löscht. Für Mittwald Kunden heißt der Admin-User übrigens standardmäßig nicht „admin“ – daher braucht ihr euch in diesem Fall darum keine Sorgen machen.

Um Brute-Force-Attacken einzudämmen, empfehle ich euch als nicht Mittwald Kunde die Installation von Limit Login Attempts. Das Plugin grenzt fehlgeschlagene Anmeldeversuche ein. Werden bei einer Brute-Force-Attacke gerne mal tausende Passwörter pro Minute über die Server gejagt, setzt Limit Login Attempts nach z. B. vier fehlerhaften Anmeldungen eine Sperre für 20 Minuten. Vier Sperrungen können dann die Sperrzeit auf 24 Stunden erhöhen. Umgerechnet sind somit täglich nur knapp 50 inkorrekte Login-Versuche möglich – 50 statt mehr als 1000. Die Chancen, einen solchen Angriff unbeschadet zu überstehen, steigen somit enorm.

WordPress Plugin Limit Login Attempts

Sorgen um einen für euch gesperrten Zugang sind nicht notwendig. Denn Limit Login Attempts arbeitet verbunden mit der IP, der individuellen Adresse eines Computers. Versucht sich jemand mit eurem Benutzernamen aus China einzuloggen, hat das keine Auswirkungen auf euren Login in Deutschland, da die IP eine andere ist.

Interessant ist übrigens das im WordPress-Backend zu sehende Protokoll der durchgeführten Sperrungen. So könnt ihr euch bewusst machen, wie viele Angriffe auf eure Website stattfinden.

WP Updates Notifier hält WordPress aktuell

Einer der leichtesten Wege zum Backend eurer Website führt über Sicherheitslücken. Diese werden, sobald erkannt, durch Updates der Entwickler geschlossen. Regelmäßiges Aktualisieren von Pugins und Themes ist daher wichtig. Gerade statische Seiten werden aber nach der Einrichtung nur selten besucht, womit Aktualisierungen also monatelang ausstehen können. Hilfe gibt die Erweiterung WP Updates Notifier.

WordPress Plugin WP Updates Notifier

Das Plugin lässt sich individuell einstellen und erlaubt das tägliche oder noch häufigere Suchen nach Updates für eure Website. Sind diese vorhanden, erhaltet ihr eine Benachrichtigung per E-Mail. Neben Plugins werden Themes überprüft.

Sicherheit mit dem Timthumb Vulnerability Scanner

Viele WordPress-Themes lassen Bilder automatisch zuschneiden. Diese müssen dann nicht auf dem Computer angepasst werden, sondern werden mit dem CMS in die richtige Größe gebracht. Das spart Zeit und erlaubt ein einheitliches Blog-Design. Möglich wird das mit dem timthumb-Script. Ist dieses jedoch nicht auf dem aktuellsten Stand, kann es eine Sicherheitslücke für Angriffe sein.

WordPress Plugin Timthumb Vulnerability Scanner

Mit dem Timthumb Vulnerability Scanner erhaltet ihr ein dafür praktisches Plugin. Es übernimmt die Suche nach veralteten Dateien und erlaubt ein direktes Updaten. Neben Plugins werden Themes und Uploads nach dem Code durchforstet. Auch wenn der Timthumb Vulnerability Scanner eine Sicherheitslücke schließen kann, erkennt er noch keine Gefahren. Hier kommt unser nächstes Plugin, AntiVirus, ins Spiel.

AntiVirus erkennt eingenistete Schädlinge

Sind schädliche Codes erst mal in eurer Website eingetragen, leidet diese drastisch unter abnehmenden Besucherzahlen. Denn Suchmaschinen wie Google erkennen gefährliche Codes und warnen Besucher davor, welche somit ein Aufrufen meiden. Mit AntiVirus von Entwickler Sergej Müller (bekannt für AntiSpam Bee), gehören solche Sorgen der Vergangenheit an.

WordPress Plugin AntiVirus

Die Erweiterung untersucht den Quellcode eures WordPress-Blogs regelmäßig nach Schädlingen und informiert euch darüber per Mail. Neben der Datenbank werden auch die Themes gescannt.

wolke
Hattet ihr schon Erfahrungen mit Angriffen auf WordPress-Blogs? Welche Maßnahmen trefft ihr für eine erhöhte Sicherheit?

 

Kommentare

  1. Gravatar
    Mary Martin am
    Great list of various plugins list.
    I would like to share one more free security plugin and it is User Blocker. This plugin provides the ability to block or unblock user accounts quickly and effortlessly.
    Antworten
  2. Gravatar
    Alexander Liebrecht am

    Hallo Philipp,
    vielen Dank für diesen guten Blogpost und ich entdeckte für mich die eine Sicherheitslösung namens Wordfence, die ich inzwischen jedem meiner WP-Blogs angetan habe. Es hat ebenfalls Schutz gegen Brute-Force-Attacken. Das kannst du sehr sehr hart einstellen und wirst dich wundern, was da alles an fremden IP-Adressen gesperrt wird. Auch deutsche IPs wurden neulich bei mir gesperrt, weil jemand wohl sich als „admin“ einloggen wollte. Meinen richtigen User-Namen findet man nicht einfach so heraus, weil ich das Plugin „Edit Author Slug“ einsetze.

    Mit diesem Plugin nimmst du einfach einen Fantasienamen, mit welchem du blog-weit in der URL angezeigt wirst. So fällt das Problem mit dem „admin“-User schon einmal weg.

    Selbstverständlich und das ist extrem wichtig, die CMS, seien es nun WP, Drupal oder Joomla, top aktuell zu halten. Backups dürfte meistens der Webhoster haben und ansonsten gilt es, Augen offen zu halten und etwas für die Blog-Sicherheit zu tun.

    Im Übrigen scannt Wordfence alle Unterverzeichnisse der vorliegenden Domain ab und manchmal kommt er mir mit eventuellen Sicherheitslücken, die eigentlich nicht vorhanden sind, weil die CMS-Software den letzten Stand hat. Neulich auf einer Domain, wo Wordfence installiert ist, konnte ich im Unterverzeichnis mit einer CMS-Installation nicht mal Adsense im Widget einbinden. Da sagte mir Wordfence sofort, dass es eine unsichere Operation ist. Diese Sicherheitslösung ist demnach sehr gut und hilft ungemein.

    Antworten
  3. Gravatar
    wpGO am

    Ist für 2016 eine neue bzw. aktualisierte Zusammenfassung zum Thema WordPress und Sicherheit geplant?

    Antworten
  4. Gravatar
    Sergej am

    Hallo Philipp

    Wenn ich mich nicht irre, muss man bei den aktuellen Versionen von WordPress bei der Installation des Blogs den Benutzernamen selbst wählen. Der Standardbenutzer „admin“ steht jedoch nicht zur verfügung.

    Ganz wichtig ist auch, dass man sich ein sehr sicheres Passwort für sein Blog überlegt. Zum Thema Passwörter, habe ich ein „kleinen“ Artikel geschrieben :-)
    http://www.sicherheit-mit-linux.de/schutz/sichere-passwoerter/

    Gruß
    Sergej

    Antworten
  5. Gravatar
    Adrian am

    Halben Sie evtl. einen Fehler gemacht?
    Wir haben das Plugin Antivirus getestet.

    Ein Antiviren Scan führt es vielleicht noch aus, mit ach und Krach.
    Es wird lediglich das verwendetet Tamplate gescannt nicht aber die Installation.

    Aber ein Datenbank Scan?
    Das wird nicht ausgeführt.

    Antworten
  6. Viktor Peters am

    Hi Marc,

    das Plugin hat zwei Optionen. Im Backend-Menü kann man tägliche Überprüfungen aktivieren. Daneben kann man jederzeit manuell nach Updates suchen lassen.

    Gruß,
    Viktor

    Antworten
  7. Gravatar
    Marc am

    Läuft der Timthumb Vulnerability Scanner per Cronjob oder wird dieser immer manuell gestartet?

    Antworten

Kommentar hinzufügen