DIREKTKONTAKT

Uncategorized

WordPress sicherer machen – Teil 1

Dreibeinblog Placeholder08

Nachdem meine WordPress-Installationen vor rund einem Monat Ziel einer böswilligen Attacke geworden sind, habe ich mir einige Gedanken gemacht, wie ich WordPress (im Folgenden WP) etwas wirkungsvoller gegen solche Angriffe schützen kann.

Bei der vorgefallenen Attacke hatte der Angreifer sich ganz normal in meine WP-Adminoberfläche einloggen können und eine PHP-Datei von WP durch ein eigenes PHP-Skript ersetzt. Was dieses Skript genau machte, konnte ich nicht exakt nachvollziehen, jedenfalls erzeugte es eine Menge Queries und schien „nach Hause zu telefonieren“.
Die Datei war schnell lokalisiert und eliminiert. Ein sofortiges Verändern von Admin-Name und Passwort schafften erste Abhilfe.

1. Abschnitt: Admin-Account

Damit sind wir aber schon bei der ersten Schwachstelle im System.

Standardmäßig ist WP auf den Usernamen „admin“ voreingestellt und das Login dürfte somit bei einer Vielzahl von WP-Blogs so aussehen:

wpsicher

Wir müssen uns vor Augen halten, daß unliebsame Angreifer zunächst einmal vorne an der Tür rütteln, um zu schauen, ob sie offen steht, bevor sie sich mühsam auf die Suche nach anderen Einstiegsmöglichkeiten machen, um das mal bildlich auszudrücken.
Beliebtestes Angriffsziel ist daher der offizielle dafür vorgesehene Loginbereich des Weblog-Administrators.

Hier sieht WP zwei Hürden vor:

1. den Admin-Namen
2. das Passwort

Übernimmt man nun den voreingestellten Adminnamen „admin“, so lässt man sozusagen die erste Hürde gleich weg und der Angreifer kann sich ganz dem Passwort widmen.
Das bedeutet: Den Namen „admin“ zu verwenden ist letztlich eine Dummheit, die man kinderleicht umgehen kann, indem man einen anderen, am besten kryptischen, Namen wählt und möglichst nicht den eigenen Vornamen aus dem Impressum oder eine andere naheliegende Bezeichnung wählt.
Tabu sind Begriffe wie:

– Admin
– Sysop
– Webmaster
– Blogger
– der eigene Vorname
– der Nachname
– der Blogname
usw.

Am Besten wählt man eine mindestens 8 Zeichen lange Bezeichnung, die neben Buchstaben auch einige Zahlen enthält. Beispiel: TXT981XQ.

Durch diese einfache Maßnahme erschwert man einem unliebsamen Eindringling seine Arbeit schon ein kleines bißchen. Unerfahreneren Eindringlingen legt das schon gehörig Steine in den Weg. Und diese Maßnahme ist ebenso einfach wie wirkungsvoll. Warum also sollte man sie nicht anwenden.

Der erste Rat lautet also:

Wähle einen möglichst nicht zu ergründenden Admin-Namen für das Login!

2. Abschnitt: Adminaccount entfernen

Als nächste Maßnahme vernichten wir den Account des von WP bei der Installation vollautomatisch angelegten Nutzers „admin“.
Unerfahrenen Bloganwendern soll durch diesen automatisch kreierten Account die Arbeit etwas erleichtert werden, aber leider macht es das auch den Ganoven etwas leichter.
Also weg damit!

Deshalb füge man im Admin-Bereich einen neuen Administrator hinzu, dem man natürlich wieder nicht den Namen „admin“ oder „sysop“ gibt, ist ja klar.
Die Zugangsdaten dieses neuen Administrator wählt man möglichst kryptisch und notiert sie sich. Dann loggt man sich aus der Admin-Oberfläche wieder aus und meldet sich frisch bei WP an. Nun aber verwendet man die Zugangsdaten des eben neu angelegten neuen Administrators. Als nächstes entfernen (löschen) wir den automatisch angelegten „admin“.

Diese Maßnahme ist deshalb effizient, weil auch Skripte (Roboter) eingesetzt werden, die nach Weblogs mit Schwachstellen suchen und diese Robots natürlich zu allererst nach diesem voreingestellten „admin“ und der ihm stets zugewiesenen Nutzer-ID #1 suchen.

Der zweite Ratschlag lautet also:

Lege einen neuen Admin-Account an und lösche den admin # 1!

3. Abschnitt: Nutzeraccount erstellen

Ein weiterer Rat: Wir kennen das bereits seit Jahren von den Betriebssystemen unserer Computer. Man legt dort einen Administrator an, der alles darf und noch einen Nutzer, der bestimmte Betriebssystemfunktionen sicherheitshalber nicht oder erst nach Eingabe eines Sicherheitspasswortes ausführen kann. Sinnvollerweise sollte man immer unter dem Account des eingeschränkten Nutzers arbeiten, damit man nicht versehentlich größeren Schaden anrichten kann. Ob man das nun immer so macht, lasse ich mal dahingestellt, sinnvoll wäre das allemal.
Um es aber auf Weblog-Ebene nun eventuellen Angreifern etwas schwerer zu machen, kann man ohne weiteres bei WP einen weiteren Nutzeraccount allein zum Schreiben einrichten. Der Name des Admin taucht dann im Weblog überhaupt nicht mehr auf.
Wir haben dann also einen Admin-Account für die größeren Wartungsarbeiten am Weblog und einen einfachen Schreibaccount ohne weitere Rechte unter dem wir eben genau das tun was wir normalerweise jeden Tag machen wollen: Artikel schreiben.

Dritter Tip also:

Schreibe Deine Artikel nur unter einem Schreibaccount und halte den Admin-Namen aus dem Weblog heraus!

4. Abschnitt: Passwort

Der nächste Tip beschäftigt sich mit einer Binsenwahrheit. Dieser Lösungsansatz liegt so sehr auf der Hand und ist so altbekannt, daß es einem fast davor graut, ihn niederzuschreiben. Da aber die dümmste aller Hotlinemitarbeiter-Fragen: „Haben Sie denn auch den Stecker in die Steckdose gesteckt?“ immer noch den am häufigsten gemachten Fehler eliminiert, scheue ich mich nun auch nicht, diesen Tip niederzuschreiben:

Wähle für das Login bei jedem Deiner Accounts ein möglichst starkes Passwort! Immer noch verwenden zu viele WP-Admins (und nebenbei bemerkt alle die irgendwo Passwörter verwenden) ihren Vornamen, den Namen ihrer Kinder oder Ehepartner oder Passwörter wie „1234567“ und „qwertz“ oder „ABCDEFGH“.
Ein starkes Passwort ist erstens lang, zweitens entspricht es keiner Bezeichnung die irgendwie geraten oder nachgelesen werden kann und drittens enthält es neben Buchstaben auch Ziffern und Sonderzeichen!
Überdies neigen dummerweise viele Internetnutzer dazu, überall das gleiche Passwort zu verwenden. Wer garantiert einem aber, daß nicht auf irgendeiner Seite die man besucht und auf der man E-Mail-Adresse, Webseite und Passwort hinterlassen hat, ausgespäht wird? Schon hat der Angreifer eine lange Liste von funktionierenden Name/Passwort-Kombinationen zur Hand, die dann praktischerweise auch auf alle anderen Türen passen, die der Anwender eigentlich verschlossen wissen will.

Ein sicheres Passwort erfüllt also folgende Bedingungen:

– kein bekannter Name
– mindestens 8 Zeichen lang
– gemischt aus Groß- und Kleinschreibung
– enthält wenigstens 2 Ziffern
– enthält wenigstens zwei Sonderzeichen: wie z.B. ? ! “ $ %
– ist einzigartig und wird nirgendwo sonst verwendet

Ratschlag, um WP sicherer zu machen:

Wähle ein einzigartiges und starkes Passwort!

5. Abschnitt: Fehlermeldungen unterdrücken

Es ist also inzwischen klar: Die Loginseite zum Adminpanel von WP steht fast schon offen wie ein Scheunentor und dabei ist es mit wenigen Maßnahmen möglich, diesem Tor ein paar zusätzliche Riegel zu verpassen. Manchmal sind es aber auch die kleinen komfortablen Hilfen von WP, die uns -aber auch den Angreifern- das Leben erleichtern.
So teilt uns WP immer freudig erregt mit, was wir denn nun falsch eingegeben haben, das Passwort oder den Admin-Namen. Gerade vor dem Hintergrund des nächsten Tips sollten wir aber von vornherein davon ausgehen, daß wir uns die Zugangsdaten sicher notiert haben und keinerlei Hilfen bei der Eingabe benötigen.

Deshalb schalten wir den Hinweis darauf, ob nun Passwort oder Adminname falsch eingegeben wurde, einfach ab! Der Angreifer steht dann wie ein Ochs vor dem Berg und weiß nicht, was von beiden denn nun nicht stimmt. Die Anzahl von Fehlversuchen wird logischerweise ansteigen und es dem Ganoven erschweren, die richtige Kombination herauszufinden.

So kommuniziert WP einen falsch eingegebenen Benutzernamen:

falschuser

Und so teilt es uns -aber auch dem Böswilligen- mit, daß dieses Mal das Passwort falsch war:

falschpw

Eine einzige kleine Zeile hilft enorm weiter. Sie gehört in die Datei functions.php des benutzten Themes.

add_filter('login_errors',create_function('$a', "return null;"));

Hat man diese Datei nicht auf seinem Rechner, lädt man sie mit einem FTP-Programm herunter, editiert sie entsprechend und lädt sie wieder hoch.

Danach sollte es so aussehen:

ohneangabe

Einen möglichen Angreifer fehlen somit wichtige Informationen darüber, welchen Teil seiner Attacke er schon richtig gemacht hat und wie es weitergeht.

Der Rat nun:

Editiere die functions.php mit einer Zeile und schalte die Hinweise ab!

So, wir haben nun 5 wichtige Tips erhalten, wie man seine Login-Seite bei WP sicherer machen kann. Mehr Tips, die zum Teil auch noch mehr „ins Eingemachte gehen“ gibt es im nächsten Teil dieser kleinen Reihe zur Verbesserung der Sicherheit von WordPress.

Die Tips dieser Folge hier noch einmal zusammengefasst:

1. Wähle einen möglichst nicht zu ergründenden Admin-Namen für das Login!
2. Lege einen neuen Admin-Account an und lösche den admin # 1!
3. Schreibe Artikel nur unter einem Schreibaccount und halte den Admin-Namen aus dem Weblog heraus!
4. Wähle ein einzigartiges und starkes Passwort!
5. Editiere die functions.php mit einer Zeile und schalte die Hinweise ab!


Ich habe noch einmal die wichtigsten Schlagwörter (Hashtags) dieses Artikels für Sie zusammengestellt, damit Sie sich besser orientieren können:

keine vorhanden

Uncategorized

Die Artikel in diesem Weblog sind in Rubriken / Kategorien einsortiert, um bestimmte Themenbereiche zusammenzufassen.

Da das Dreibeinblog schon über 20 Jahre existiert, wurde die Blogsoftware zwei-, dreimal gewechselt. Dabei sind oft die bereits vorgenommenen Kategorisierungen meist verlorengegangen.

Deshalb stehen rund 2.000 Artikel in dieser Rubrik hier. Nach und nach, so wie ich die Zeit finde, räume ich hier auf.

Lesezeit ca.: 9 Minuten | Tippfehler melden | © Revision: 26. November 2012 | Peter Wilhelm 26. November 2012
Avatar-Foto

Peter Wilhelm

Der Publizist schreibt hier über Technik, Produkttests, und Service. Hier erscheinen auch seine Satiren und Gedanken über dies und das.
Der Psychologe und Dozent wurde in der Halloweennacht an Allerheiligen geboren und lebt mit seiner Familie bei Heidelberg. Mehr über ihn gibt es hier und hier.



Lesen Sie bitte auch:


Abonnieren
Benachrichtige mich zu:
guest
0 Kommentare
Inline Feedbacks
View all comments

Neu erschienen

Satirische Geschichten Edingen-Neckarhausen

jetzt informieren

Danke sagen

Sie haben Rat gefunden? Wir konnten Ihnen helfen? Dann zeigen Sie sich doch erkenntlich:
  Spende

Wer braucht denn sowas?

  • 16 mal 4 gleich 80 – Der Waffel-Trick Waffeleisen

    Waffeln sind besonders lecker. Dieses Gebäck kann man auf verschiedene Weisen genießen. Pur, mit Puderzucker oder mit Früchten und Sahne. Neulich habe ich eine herzhafte Variante mit Schinken und Käse gemacht, war auch sehr lecker. Um Waffeln herzustellen, benötigt man ein Waffeleisen. Heutzutage sind die elektrisch und zum Aufklappen. In beiden Hälften des Geräts befinden sich Formstücke, die ineinanderpassen und zwischen die man den Waffelteig gießt. Dann schließt man das Waffeleisen und die Hitze backt die duftende Waffel durch. Schon nach wenigen Minuten kann man die lockere Waffel genießen. In Deutschland sind die sogenannten Herzwaffeln besonders beliebt. Das Waffeleisen ist rund und die Waffeln sind wellig-rund und können in einzelne Herzchen zerlegt werden. Ich habe aber noch nie gesehen, dass das jemand macht, meist nimmt man eine ganze runde Waffel mit den aneinanderhängenden Herzchen. In den Niederlanden und Belgien hingegen favorisiert man eher dickere und rechteckige Waffeln. Auch dafür gibt es natürlich ein passendes Waffeleisen. So eins wird in der Anzeige, aus der das Titelbild für diesen Artikel stammt, auch angeboten. Doch irgendwas stimmt nicht mit dem Produkt, sonst würde ich es nicht in dieser Rubrik der „Quatschprodukte“ vorstellen. Na, ist es Dir schon aufgefallen? Sie genau hin! Nun, ich habe auch erst zweimal hinschauen müssen. Aber wenn man es weiß, ist es einfach: Die Waffeln und das Waffeleisen auf diesem Werbefoto passen überhaupt nicht zusammen! Das Waffeleisen würde Waffeln mit 4 x 4 = 16 Vertiefungen produzieren. Zu sehen sind aber Waffeln mit 5 x 4 = 20 Vertiefungen. Hat das jemand vielleicht fertig gekaufte Waffeln fürs Foto einfach in dieses Waffeleisen reingelegt? Oder ist das nur schlecht mit Photoshop bearbeitet worden? Hab ich Dir den Mund wässrig gemacht? Dann hier ein einfaches und leckeres Rezept für Waffeln: 125 g weiche Butter 100 g Zucker 1 Pck.Vanillezucker 3 Eier 250 g Mehl 1 Prise Salz 1 TL Backpulver 200 ml Milch Alles verrühren und im Waffeleisen ausbacken. Du hast kein Waffeleisen? Dann kannst Du den Teig auch portionsweise in einer beschichteten bzw. leicht gefetteten Pfanne ausbacken.

    weiterlesen
  • Innere Zufriedenheit bikini

    Bei diesem Produkt von Amaz0n stimmt schon die Produktbezeichnung nicht. Die Rede ist u.a. von einem Bikini, und um den handelt es sich bei einem einteiligen Badeanzug auf keinen Fall. Aber das ist, wie Du Dir angesichts des Produktbildes oben schon denken kannst, nicht der Grund, weshalb dieser Badeanzug hier in der Kategorie der Abscheulichkeiten auftaucht. Ernsthaft jetzt: Die Erste, die mir in einem Badeanzug begegnet, auf dem die inneren Organe wie bei einer Lehrpuppe für den Anatomieunterricht aufgedruckt sind, der zeige ich den Vogel. Aber beidhändig!

    weiterlesen
  • Du bekommst genau das, wofür Du bezahlst leere Flasche

    Du bekommst genau das, wofür Du bezahlst. Das ist nicht nur eine Binsenwahrheit, die manchmal auch gar nicht zutrifft, sondern in diesem Fall tatsächlich so. Ich meine, eins kann man den Chinesen nicht nachsagen, dass sie nicht genau das in die Produktbeschreibungen schreiben, was an Informationen auch wirklich wichtig ist. In diesem Fall hier kaufst Du eine „empty water bottle“, also eine leere Flasche für Wasser und der chinesische Anbieter auf AliExpress schreibt deutlich dazu „Not included water“, dass also in der leeren Flasche tatsächlich nichts enthalten ist, auch kein Wasser. Die Frage ist nun aber: Was ist in der Flasche drin? Ist da jetzt Luft aus China drin oder tauscht sich die bei der Herstellung in die Flasche gelangte chinesische Luft während des Transports gegen hiesige Luft aus?

    weiterlesen
  • Es sieht nur scheiße aus, soll aber helfen Mundformer

    Ich kann mir nicht helfen. Vielleicht habe ich eine seltsame Neigung. Aber wenn ich das obige Produktbild anschaue, habe ich komische Assoziationen. Dieser Gummiprömpel soll dazu dienen, dass man ihn sich in den Mund steckt. So weit, so gut. Bewirken soll das Teil, dass sich die Gesichtshaut strafft und man einen glatten Teint sowie schön geformte Lippen bekommt. Nun denn…

    weiterlesen
  • Nachbarn bekämpfen, so gehts Lärmmacher

    Du hast Leute, die über Dir wohnen? Dich stören ihre Schritte? Sie machen laute Musik? Dann setze Dich zur Wehr! Beim alles-habenden Fernost-Handel AliExpress bekommst Du für knapp 33 Euro den ultimativen Nachbarschaftsschreck. Worum handelt es sich? Du erhältst einen Geräuschemacher mit Netzteil und Fernbedienung. Dazu gibt es ein Bodenstativ und ausreichend Stangen, damit Du den Geräuschemacher stramm unter die Decke klemmen kannst. Ja genau, Du klemmst das Lärmmodul unter die Decke und wenn Dich Deine Nachbarn von oben nerven, schaltest Du ein lautes Rumpeln und Schlagen ein. Früher hat Oma Lieselotte dazu einen Besenstiel verwendet, aber heute geht das natürlich wesentlich effektiver mit dem hier angebotenen Mistzeug aus China. Vorteil: Dein Arm wird nicht vom Besenstielklopfen an die Decke lahm und Du kannst das Brummen, Knattern und Stoßen so lange laufen lassen, wie Du magst. Die Lautstärke des Ganzen ist natürlich einstellbar. Mit etwas Geschick lässt sich das Gerät natürlich auch an Wänden einsetzen, um die Leute nebenan ordentlich zu sanktionieren.

    weiterlesen
  • Dem Hund geht’s gut Glühwein für Hunde mit Pute

    Wenn’s denn draußen weihnachtet, was ja jetzt gerade nicht der Fall ist, dann hat es dem anständigen Deutschen nach Glühwein zu gelüsten. Die umsatzstärksten Stände auf den Weihnachtsmärkten sind die Glühweinstände, gefolgt von den Fressständen. Es gibt ja auch nichts Besseres, als einen billigen Rotwein mit Wasser und jeder Menge Zucker, gewürzt mit Lebkuchengewürzdreck. Ganz Abgedrehte meinen ja, im Hunde wohne ein verwunschener Mensch. Man müsse dem Tier also angedeihen lassen, was auch dem Menschen wohltut. So kann man in diversen Eisdielen sogar extra „Eis für Hunde“ kaufen. Und es gibt im Zoogeschäft auch Schokolade für Hunde. Ich habe bis heute nie begriffen, was der Scheiß soll. Hunde dürfen keine Schokolade essen, weil die ungesund bis giftig für sie ist. Das hat man als Hundehalter zu wissen, sonst sollte man so ein Tier nicht halten. Ja und wenn ein bestimmtes Nahrungsmittel schlecht fürs Viech ist, dann geb‘ ich dem das einfach nicht. So einfach ist das. Der Hund wird weder darunter leiden, noch ob der verweigerten Schokolade einen beleidigten Tagebucheintrag schreiben. Er wird auch keine psychologische Unterstützung benötigen, wenn er kein Vanilleeis bekommt. Meinen Hunden reicht ein klitzekleines Stückchen Brotrinde oder solche gekauften Kaustreifen für Centbeträge als kleine Belohnung und ansonsten bekommen die ihr Futter aus dem Sack. Kein Hund der Welt leidet, weil er dies oder das speziell nicht bekommt. Für die ganz Blöden unter den Hundehaltern gibt es aber diese Ersatzprodukte. Hier in dem heutigen Artikel aus der Rubrik „Produkte, die die Welt nicht braucht“ geht es heute um einen Artikel, geschaffen für Hunde, der an Idiotie überhaupt nicht mehr zu überbieten ist: Glühwein für Hunde mit Putengeschmack. Welcher Vollidiot kauft so etwas? Ein Hund muss ausreichend zu trinken bekommen. Dazu genügt ein Napf mit Wasser. Wasser! Aus der Leitung. Nahezu gratis. Kapiert? Ich kann ja noch verstehen, dass jemand, der bewusst auf echten Glühwein verzichten will, vielleicht wegen des Alkohols, sich irgendein Ersatzprodukt kauft, das so ähnlich schmeckt wie Glühwein, aber eben bestimmte Eigenschaften nicht hat. Eventuell ohne Alkohol oder ohne Zucker oder sowas. Und so ganz weit entfernt kann ich auch verstehen, dass jemand, der auf Fleisch verzichten will, sich im Bioladen eine Tofu-Pressalternative „halbes Hähnchen aus Soja“ kauft. Foto: SHOPBLOGGER Aber ein Hund, der weiß nicht im Entferntesten, was Glühwein überhaupt ist, er vermisst auf diesem Planeten vermutlich niemals irgendetwas weniger, als ausgerechnet Glühwein. Ich kann mich nur für Zeitgenossen schämen, die so etwas kaufen. Mich schüttelt’s. Wer so etwas kauft und seinem Hund appliziert, dem sollte man das Tier wegnehmen, die Tierhaltung auf Lebenszeit verbieten und zwingen, eimerweise dieses Gesöff selbst zu trinken.

    weiterlesen
Mehr aus dieser Rubrik


Rechtliches


IMPRESSUM   |   DATENSCHUTZ    |   COOKIE-RICHTLINIE (EU)   |   KONTAKT   |   BARRIEREFREIHEIT   |   NUTZUNGSBEDINGUNGEN   |   GENDER-HINWEIS

Über uns


Dreibeinblog bietet die besten Informationen zum Thema. Fachinformationen, fair und transparent. Die Seite dient zur allgemeinen Information für Menschen, die sich für das Themengebiet dieser Seite interessieren. Wir geben ausschließlich unsere persönliche und unabhängige Meinung wieder. Die Autoren sind teilweise selbst betroffen und seit Jahren mit der Materie befasst.


WICHTIGER HINWEIS: Texte der Webseite Dreibeinblog ersetzen keinesfalls Beratung oder Behandlung durch Ärzte, Diabetologen, Ernährungsexperten, Hörakustiker und Fachpersonal. Sie dürfen nicht dazu dienen, eigenständig Diagnosen zu stellen, Behandlungen zu beginnen oder abzubrechen oder Medikamente einzunehmen oder abzusetzen. Anleitungen, Tipps & Tricks sowie Ratgeber dienen nur zur Veranschaulichung und Unterhaltung. Beachten Sie die einschlägigen Vorschriften z.B. die VDE. Führen Sie keine Arbeiten an Gas- oder Strom- bzw. Telefonleitungen durch. Holen Sie immer den Rat von Experten, beispielsweise Handwerksmeistern ein. Wir übernehmen keinerlei Haftung. Wir übernehmen keine Garantie, dass Tipp & Tricks auch funktionieren und von Ihnen umgesetzt werden können.


KEIN VERKAUF / KEINE FORSCHUNG UND LEHRE: Dreibeinblog verkauft keine Produkte. Wir sind keine Ärzte, Hörakustiker, Rechtsanwälte, Steuerberater oder Apotheker. Wir betreiben keine Forschung und Lehre. Wir informieren ausschließlich im Rahmen der persönlichen Meinungsäußerung des jeweiligen Autors.





© 2024 Dreibeinblog - Peter Wilhelm



0
Would love your thoughts, please comment.x
Skip to content