WordPress Blog Absichern

Von Zeit zu Zeit liest man immer mal wieder, dass dieses oder jenes (WordPress) Blog “gehackt” und von Fremden für eigene Zwecke missbraucht wurde. Leider geschieht dies in den seltensten Fällen aus Jux und Tollerei, sondern meist mit zwielichtigem kommerziellen Hintergrund. Haben die Eindringlinge einmal Zugang zum Blog erlangt, werden oftmals Links zu betrügerischen Webshops oder gar Werbebanner für Glücksspiele auf dem Blog platziert. Damit die neuen Links und Werbebanner nicht sofort auffallen, nutzen die Betrüger dafür ältere Beiträge.

Das wirklich Schlimme ist, dass man die Eindringlinge nur sehr schwer wieder los wird. Ist das Blog einmal “geknackt” können die Betrüger fast ungehindert Dateien verändern und weitere, versteckte Zugänge in Unterverzeichnissen anlegen. Da es in den letzten WordPress Versionen wieder eine Lücke gab, über die das Admin-Passwort zurückgesetzt werden konnte, wurde das Thema “WordPress Absichern” auch nochmal von Matt Mullenweg im WordPress Blog aufgegriffen. Im Folgenden habe ich die wichtigsten Punkte zusammengefasst und ein paar Plugins aufgelistet, die einen bei der Absicherung des Blogs unterstützen und dabei Helfen, schädliche Veränderungen im Auge zu behalten:

1. Updaten!
   Dieser Punkt ist für Computernutzer ja allgemein gültig – egal ob Windows, Antivir oder WordPress… Regelmäßige Updates verhindern, dass es überhaupt zu einem Schaden kommen kann. Das häufige Erscheinen neuer Versionen ist zwar mitunter etwas nervig, aber mittlerweile lassen sich WordPress Blogs ja relativ bequem über das Backend updaten, sodass man nicht mehr jedes Mal das FTP-Programm starten muss.
2. Die Secret-Keys in die wp-config.php eintragen
3. Den Datenbank-Prefix in der wp-config.php abändern
   Standardmäßig ist “wp_” voreingestellt, diesen Wert sollte man jedoch in einen beliebigen anderen Wert abändern (beispielsweise “meinblog_”)
   Bei neuen Blogs ist diese Änderung sehr einfach, bei bestehenden müssen selbstverständlich auch die Einträge in der Datenbank abgeändert werden. Mit einem entsprechenden Plugin wie WP-Security-Scan ist dies aber nicht aufwendig und nur eine Sache von wenigen Minuten.
4. Den Benutzernamen des Administrators ändern bzw. einen neuen Administrator mit neuer User-ID anlegen
   Die Änderung des Benutzernamens erfordert zwar einen Eingriff in die MySQL Datenbank, zahlt sich aber mehrfach aus, da die meisten Scripte auf den Nutzernamen “admin” ausgelegt sind. Der Wert findet sich in der “users” Tabelle:
   Noch einfacher geht es, wenn man einfach einen neuen Administrator anlegt und den alten Nutzer mit der User-ID “1” löscht. Die User-ID erhöht sich automatisch mit jedem neuen Nutzer.
5. wp-admin Verzeichnis per .htaccess schützen
   Die benötigten .htaccess und .htpasswd Dateien lassen sich hier online erstellen und herunterladen oder natürlich auch selbst erstellen (Anleitung dazu bei Frank Bueltge)

Plugins um WordPress Blogs abzusichern

Neben den bereits genannten Maßnahmen und WordPress Blogs manuell abzusichern, kann man sich auch durch Plugins unterstützen lassen. Dies ist vor allem bei der kontinuierlichen Überwachung und Kontrolle hilfreich.

• WP Security Scan
  Hilft die genannten Punkte einzuhalten und überprüft beispielweise Passwörter auf Sicherheit und Zugriffsrechte. Weiterhin versteckt es die WordPress-Version und erlaubt es einem den Datenbank-Prefix zu ändern.
• WordPress Exploit Scanner
  Scannt Dateien und Datenbank auf verdächtige Textstellen, Links und Scripte. Falls bereits ein Schaden eingetreten ist, kann man ihn so lokalisieren und Gegenmaßnahmen einleiten.
• WordPress AntiVirus
  Arbeitet ähnlich wie der “Exploit Scanner”, allerdings komfortabler durch optionale E-Mail Benachrichtigung im Fall einer Manipulation des WordPress Codes

Befolgt man alle genannten Punkte und setzt mindestens eins der drei genannten Plugins ein, ist man schon sehr gut abgesichert. Hundertprozentigen Schutz gibt es leider nicht, aber das Risiko lässt sich mit geringem Aufwand auf ein Minimum reduzieren.

Foto: © SXC.hu/simon stratford