Angriffe: So schützt man WordPress

Angriffe: So kann man WordPress schützen

In den letzten Tagen gab es bei zahlreichen Webhostern vermehrte Angriffe auf WordPress-Installationen, so auch bei Mittwald. In diesem Artikel möchten wir Euch kurz erklären, wie ihr WordPress schützen könnt und warum bei Mittwald viele Installationen nicht gefährdet sind.

Wie gehen die Angreifer vor?

Als erstes möchte ich kurz schildern, was genau bei den Angriffen passiert: Es wird versucht mit dem Standard WordPress-Benutzer mit dem Namen „admin“ in den WordPress-Administrationsbereich zu gelangen. Dabei werden in sehr kurzer Zeit tausende verschiedene Passwörter ausprobiert. Natürlich passiert dieses vollkommen automatisch. Man nennt diese Art von Angriffen „Brute-Force-Attacke„.

Warum Mittwald Kunden in der Regel nicht gefährdet sind

Alle Mittwald Kunden die WordPress über unseren Softwaremanager installiert haben, besitzen keinen Benutzer mit dem Namen „admin“, da bei uns der Standard-Backend-Benutzer den Namen des jeweiligen Accounts bekommt. Alle Kunden die WordPress ohne Softwaremanager installiert haben, sollten Ihre Installation überprüfen. Wir informieren alle unsere betroffenen WordPress-Kunden per Newsletter über die Sicherheitslücken.

Mit zwei recht einfachen Schritten kann man WordPress schützen:

1. Schritt: Entfernt den Benutzernamen „admin“ falls er verwendet wird!

Es gibt einen einfachen Weg den „admin“ Benutzer zu löschen, aber die Beiträge und Kommentare zu übertragen. Dafür loggen wir uns in die WordPress Administration ein und klicken auf den Menüpunkt „Benutzer“.

Damit wir den Benutzer „admin“ löschen können, müssen vorher einen neuen Benutzer anlegen. Dafür klicken wir ganze oben auf den Button „Neu hinzufügen“ . Das folgende Formular füllen wir mit den Daten des neuen Benutzers.

benutzer-loeschen-1

Bei den Passwort-Feldern, sollten wir auf jeden Fall ein sicheres Passwort eintragen. Laut WordPress sollte eine Passwort mindestens sieben Zeichen haben, wir empfehlen allerdings eine Passwortlänge von mindestens 12 Zeichen zu verwenden. Außerdem sollte das Passwort große und kleine Buchstaben, Ziffern und Sonderzeichen enthalten.

Als letzter Schritt sollte dem neuen Benutzer natürlich noch die Rolle „Administrator“ zugewiesen werden. Danach klickt Ihr einfach auf den Button „Neuen Benutzer hinzufügen“.

Wenn der Benutzer erfolgreich angelegt ist, loggen wir uns mit dem aktuellen „admin“-Benutzer aus und melden uns mit dem neu angelegten Benutzer wieder ein. Dieses Schritt ist notwendig, da man einen eingeloggten Benutzer nicht löschen kann.

Nach dem Einloggen klicken wir wieder auf den Menüpunkt „Benutzer“ und erhalten eine Übersicht. Wenn wir mit dem der Maus über den „admin“ Benutzer fahren, erscheint die Schaltfläche „löschen“.

benutzer-loeschen-2
Auf diese klicken wir und erhalten auf der nächste Seite folgende Ansicht.
benutzer-loeschen-3

Dort wird nun abgefragt welchem Benutzer wir die Beiträge und Kommentare übertragen möchten. Dort wählen wir im DropDown-Menü den neu angelegt Benutzer aus und klicken auf „Löschen bestätigen“.

2. Schritt: Schützt das Verzeichnis „wp-admin“ mit einer htaccess-Datei!

Den Verzeichnisschutz können Mittwald Kunden bequem über das Mittwald Kundencenter einrichten.

Dafür loggt Ihr euch mit Euren Zugangsdaten unter login.mittwald.de ins Kundencenter ein. In der Accountverwaltung findet Ihr unter jedem Account den Menüpunkt Verzeichnisschutz.

Damit Ihr den Verzeichnisschutz anlegen könnt, klickt einfach auf den Button „Neu“.

verzeichnisschutz-schritt1

Auf der folgende Seite geben wir im ersten Feld eine Beschreibung ein, damit wir den Passwortschutz später besser wiederfinden.

Als nächstes wählen wir ein Verzeichnis aus. Dieses können wir ganz einfach über das kleine „Ordner“-Icon hinter dem Textfeld machen. Dort navigieren wird zum Verzeichnis „wp-admin“.

verzeichnisschutz-schritt2

Im unteren Abschnitt geben wir einen Benutzernamen und ein Passwort an, welches wir für den Passwortschutz verwenden möchten. Als letzten Schritt klicken wir auf den Button „Passwortschutz anlegen“.

Der Passwortschutz ist nun sofort aktiv und das Verzeichnis „wp-admin“ ist geschützt. Wenn Ihr keine Mittwald Kunden seid, könnt Ihr z. B. folgenden htaccess-Generator benutzen.

Bei Fragen zum WordPress schützen meldet euch gerne beim Mittwald Kundenservice!

Kommentare

  1. Fabienne am

    Hallo Philipp, danke für deinen Beitrag. Ich schütze mittlerweile alle wp-admin Verzeichnisse meiner Websites wie in deiner Anleitung beschrieben mit einer htaccess-Datei. Leider muss ich auf diesen Websites auf verschiedene Funktionen verzichten, weil hier ständig im Browser das Login-Fenster zur Authentifizierung aufpoppt, sobald im Browser z.B. eine Webseite mit einem Formular zur Newsletteranmeldung oder eine Blogseite mit eingebundenem Social Counter aufgerufen wird. Sobald ich das entsprechende Modul oder Plugin deaktiviert habe, läuft wieder alles normal. Gibt es hierfür ein Workaround, da ich ungern auf diese Funktionen verzichte?

    Antworten
  2. Jay F Kay am

    OMG, das war natürlich mal wieder der falsche Link… es wird wirklich Zeit fürs Wochenende! -.-
    Hier der korrekte Link: Limit Login Attempts

    Antworten
  3. Jay F Kay am

    Was auch recht gut hilft, ist die erlaubten Anmeldeversuche zu begrenzen. Das kann man ziemlich einfach mit dem Plugin Limit Login Attempts umsetzen.

    Antworten
  4. Philipp Stranghöner am

    Hallo Carsten,

    dass du eine 500er Fehlerseite erhältst, kann viele Ursachen haben. Ohne deine Seite oder die .htacces Datei gesehen zu haben, kann man da leider nicht viel zu sagen. Aber im Allgemeinen sollte die WordPress-Administration problemlos möglich sein.

    Viele Grüße Philipp

    Antworten
  5. Carsten Lippert am

    Hallo,

    ich habe auf einer anderen Domain mal das wp-admin Verzeichnis mit .htaccess und .htpasswd geschützt. Der Schutz an sich klappt, nur ist dann die WordPress-Administration nicht mehr möglich. Ich erhalte nach dem Einloggen (Einlog-Seite verarbeitet die CSS-Dateien schon nicht mehr) einen 500er Serverfehler. Ist das eine Einstellungssache?

    Antworten

Kommentar hinzufügen