Wie sicher ist Ihre WordPress-Website?
Eines der Hauptprobleme bei der Technologie sind die häufigen Sicherheitsmängel, die wir erleben; Viele Informationen werden täglich gestohlen und dazu verwendet, mehr Informationen zu stehlen, Spam-Nachrichten zu versenden, Hintertüren zu Systemen zu öffnen und manchmal sogar unsere Computer zu beschädigen.
Keines dieser Themen ist WordPress unbekannt, eine erschreckende Anzahl von Websites wurde zu Opfern von unerfreulichen Kriminellen, die die Community für ihren persönlichen Vorteil ausbeuten.
Um diese Bedrohung zu überwinden, haben wir einige gute Tools und Tipps zusammengestellt, um zu vermeiden, das nächste Opfer zu sein. Oder, wenn Sie Pech haben, bereits ein Opfer zu sein, wie Sie sich wehren und Ihre Installation reparieren können.
Angriffe ausnutzen
Sie haben vielleicht schon davon gehört, vielleicht kennen Sie sogar die Details, aber für diejenigen, die nicht das Problem haben: Ein Exploit ist ein Stück bösartigen Code, der verteilt wird, um eine Schwäche des bestehenden Codes auszunutzen.
TimThumb war anfällig für einen solchen Angriff; eine seiner Funktionen, die es Benutzern ermöglicht, Bilder von verschiedenen Seiten hochzuladen und auf diese frei zuzugreifen, speichert Bilder in einem Cache-Verzeichnis, so dass Timthumb sie nicht erneut verarbeiten muss. Diese Funktion kann von einem Hacker ausgenutzt werden, der Dateien auf den Server hochlädt und ihnen so viele Ressourcen aus der WordPress-Installation zur Verfügung stellt, wie sie möchten.
Genau das gleiche Problem betroffen Hochladen ein Plugin, mit dem Benutzer Dateien hochladen können. Wenn es nicht richtig kontrolliert wurde, erlaubte das Plugin Hackern freien Zugriff auf die Seite, indem PHP-Skripte hochgeladen wurden, um Zugriffsrechte zu gewähren.
Wartungsbild über Shutterstock.
Das Problem in diesen Fällen war, wie bei den meisten Exploit-Attacken, nicht WordPress, sondern die Plugins selbst. Die Lösung ist einfach, halten Sie Ihre Plugins auf dem neuesten Stand und melden Sie alle Fehler, die Sie den Entwicklern begegnen, um sie bei der Behebung potenzieller Probleme zu unterstützen.
SQL-Injektionen
Die WordPress-Installation selbst ist nicht immun gegen Probleme. Abhängig von der Version kann SQL-Injection ein großer Kopfschmerz sein. Eine SQL-Injektion ist ein Vorgang, bei dem ein Angreifer versucht, SQL-Code über ein Websiteformular oder ein Skript zu übergeben, in der Hoffnung, dass der SQL-Code "korrekt" analysiert und Daten aus der Datenbank abruft. Diese Daten könnten E-Mail-Adressen sein, aber wahrscheinlicher wären es Benutzernamen und Passwörter, die dem Benutzer dann mehr Zugriff für andere Angriffe geben würden.
Der Grund, warum SQL-Angriffe so irritierend sein können, ist, dass Sie häufig Ihre Datenbank sichern müssen, um sie zu bekämpfen. Vorzugsweise mindestens einmal pro Tag.
Wartungsbild über Shutterstock.
Um das zu vermeiden, können Sie versuchen, Ihre Dateien mit Apache mit einem Code wie diesem in Ihrer .htaccess-Datei zu sichern:
RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp: [NC,OR]RewriteCond %{QUERY_STRING} http: [NC,OR]RewriteCond %{QUERY_STRING} https: [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L] Dies wird einen Amateur abschrecken, aber ein professioneller Hacker wird ein weiteres Sicherheitsloch finden, das er ausnutzen kann. Glücklicherweise werden die meisten Angriffe von Neulingen oder Spammern begangen, die Skripte wie PHP r57 oder Shell verwenden. Durch das Reduzieren dieser Angriffe wird die Anzahl der Probleme, mit denen Sie konfrontiert werden, erheblich reduziert.
Standardbenutzer
Das größte Sicherheitsloch in jedem System ist der Endbenutzer. Es spielt keine Rolle, wie komplex ein Passwort ist, das Sie erstellen. Je komplexer das Passwort ist, desto schlechter ist das Sicherheitsrisiko. weil sehr komplexe Passwörter irgendwo gespeichert werden müssen. Benutzer speichern Passwörter häufig in .txt- oder .doc-Dateien auf ihrem Computer, wodurch das System für Phishing-Angriffe mit Virusdateien wie Trojanern geöffnet bleibt.
Der einzige sichere Ort, um ein Passwort zu speichern, ist in Ihrem eigenen Kopf.
Aber selbst wenn Sie Ihr Passwort nur in Ihrem eigenen Speicher speichern, sind Sie immer noch nicht vor Brute-Force-Angriffen geschützt. Ein Brute-Force-Angriff versucht einfach, Ihr Passwort mit wiederholten Login-Versuchen zu "erraten". Es kann mit "aaaaaa" beginnen und mit "aaaaab" fortfahren, bis es "000000" erreicht. Dieser Prozess ist nicht auf einen einzelnen Computer beschränkt, üblicherweise durchlaufen Hunderte von Maschinen potentielle Passwörter, die nach einem Zugriff suchen.
Eine Möglichkeit, mit Brute-Force-Angriffen umzugehen, besteht darin, einen Login-Limiter zu installieren, der nur wenige Anmeldeversuche zulässt, bevor der Zugriff für diesen Benutzer für etwa eine Stunde gesperrt wird. Dies reduziert die Anzahl der Chancen, die der Angreifer haben muss. Es gibt mehrere WordPress-Plugins, die Ihnen dabei helfen können: Begrenzen Sie Login-Versuche , Bessere WP Sicherheit und Login Sicherheitslösung .
Schließlich, achten Sie auf Benutzernamen. Der Standardbenutzername für WordPress ist "Admin" und wenn Sie ihn so belassen, halbiert sich die Menge an Arbeit, die der Hacker tun muss, um auf Ihre Site zuzugreifen. Wenn Sie Ihren Benutzernamen während der Installation von WordPress nicht geändert haben, tun Sie es jetzt. Melden Sie sich einfach bei Ihrem Konto an, erstellen Sie ein neues Konto mit dem gewünschten Nutzernamen, erteilen Sie ihm Administratorrechte und löschen Sie dann das Administratorkonto.
Bild bereinigen über Shutterstock.
Direkter Zugang
Ein weiteres Problem, das unsere WordPress-Seiten haben können, ist der direkte Zugriff auf die Login-Seite, was den Hacking-Prozess auf Ihrer Seite vereinfacht.
Während das Sichern Ihrer Passwörter das drängendste Problem ist, kann ein böswilliger Benutzer nichts von dem, was er gestohlen hat, verwenden, wenn er die Anmeldeseite nicht finden kann. Die einfachste Lösung ist ein Plugin wie Login ausblenden um den Speicherort der Anmeldeseite zu verdecken.
Auf bestimmte Dateien in unserer WordPress-Installation kann auch zugegriffen werden, wenn sie nicht ordnungsgemäß gesichert sind. Wir können diese losen Enden klären, indem wir unserer .htaccess-Datei einige weitere Regeln hinzufügen:
Options All -IndexesOrder allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Standardpräfix
Es sollte klar sein, dass je mehr Informationen wir unserem Möchtegern-Hacker geben, desto einfacher ist es für sie, erfolgreich zu sein.
Das Standard-WordPress-Tabellenpräfix lautet 'wp_'. Warum sollten wir ihnen das geben? Ändern wir dieses Präfix zu etwas, das schwerer zu erraten ist, wie zum Beispiel "oijrr58_", wird es ihr Leben viel schwieriger machen und die Chancen erhöhen, dass Ihre Seite sicher bleibt.
Für Neuinstallationen ist dies ein Kinderspiel, da das Installationsskript uns nach einem Präfix fragt. Für ältere Seiten haben Sie zwei Möglichkeiten. Sie können die Änderung entweder manuell vornehmen (versuchen Sie dies nur, wenn Sie viel Zeit haben und sicher sind, dass Sie wissen, was Sie tun) oder ein ähnliches Plugin verwenden Bessere WP Sicherheit das wird sich darum kümmern.
Zu spät…
Es ist niemals zu spät. Sie können immer Hacker bekämpfen und verhindern, dass Sie ein ewiges Opfer werden.
Wenn Sie nicht sicher sind, ob Ihre Website infiziert wurde, gibt es Tools, die Ihnen sagen werden. Sucuri SiteCheck Zum Beispiel wird Ihre Website überprüft und wenn Sie infiziert sind, werden Sie beraten, welche Schritte zu ergreifen, um das Problem zu beheben.
Gefährliches Bild über Shutterstock.
Grundlegende Korrekturen
Hier sind einige grundlegende Schritte zu ergreifen:
- Sichern Sie die Website und die Datenbank, gehackt oder nicht, Sie möchten nicht Ihren Inhalt verlieren.
- Erstellen Sie Kopien von Elementen, die nicht in Ihrer Datenbank enthalten sind, z. B. Bilder.
- Laden Sie die neueste Version von WordPress herunter.
- Stellen Sie sicher, dass alle Plugins auf dem neuesten Stand sind, prüfen Sie, welche Versionen bekannte Probleme lösen.
- Stellen Sie sicher, dass alle Vorlagen auf dem neuesten Stand sind. Überprüfen Sie, welche Versionen bekannte Probleme lösen.
- Verwenden Sie einen FTP-Client oder cPanel, um alles im WordPress-Verzeichnis zu löschen.
- Laden Sie die neuen Dateien hoch, die Sie heruntergeladen haben.
- Führen Sie das Datenbankupgrade aus.
- Ändern Sie Ihr Passwort, Sie wollen die Hacker nicht wieder reinlassen.
- Überprüfen Sie abschließend jeden Beitrag und korrigieren Sie den entstandenen Schaden.
Kampf gegen R57-Skripte
r57 ist ein PHP-Skript, das einem Angreifer eine breite Palette von Fähigkeiten bietet, obwohl der Angreifer über diese Fähigkeiten verfügt. Diese funktionieren erst, wenn sich die Shell auf unserem Webserver befindet. Folglich können wir verhindern, dass sie mit den folgenden Befehlen funktioniert:
find /var/www/ -name "*".php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqDieser Befehl sucht nach PHP-Dateien, die sich in Ihrem WWW-Ordner befinden, und sucht dann in den gefundenen Dateien nach dem Namen und Inhalt von r57. Dann werden die infizierten Dateien gelöscht.
find /var/www/ -name "*".txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqDieser Code macht dasselbe, außer für TXT-Dateien anstelle von .php-Dateien.
Beachten Sie, dass diese Codes für Linux gedacht sind. Versuchen Sie sie nicht unter Windows oder MacOS und beachten Sie, dass sie möglicherweise sehr destruktiv sind, da sie Dateien löschen, ohne um Erlaubnis zu fragen.
Verschleierter Code
Ein wichtiger Grund zur Sorge bei Themen ist unklarer Code, da bösartiger Code in Themen eher schwer zu finden ist. Durch die Umleitung von Benutzern auf andere Websites und das Sinken Ihrer SEO können Sie alle Arten von Schaden anrichten.
Eine Schlüsselwaffe im Kampf gegen diese Art von Problem ist Thema Authentizitätsprüfung . Dieses Plugin prüft nicht nur Code auf verdächtige Zeilen, sondern erkennt auch statische Links und verdunkelten Code wie Code, der in base64 generiert wurde und schwer zu erkennen ist.
Täuschen Sie mich einmal Schande über Sie…
Nur weil du in der Vergangenheit ertappt worden bist, heißt das nicht, dass du weiter gespielt werden musst.
Überlegen Sie diese Schritte, um sich weiter zu sichern:
- Erlaube PHP nur dort, wo es unbedingt nötig ist.
- Stellen Sie sicher, dass Ihr Webserver Clients nicht erlaubt, die .htacess-Datei zu ändern.
- Implementieren Sie eine Firewall, die die ausgehende Mail in Port 25 auf die Root- und E-Mail-Server-ID beschränkt.
- Überwachen Sie Uploads auf Ihre Website mit einer Anwendung wie ConfigServer eXploit Scanner .
Bild reparieren über Shutterstock.
Endlich
WordPress-Sicherheit ist genauso wichtig wie die Sicherheit von Websites. Sie müssen sicherstellen, dass sowohl Sie als auch Ihre Benutzer vor Spam, Malware und Phishing-Angriffen geschützt sind. Aber denken Sie daran, dass die erste Verteidigungslinie eigentlich die Antivirensoftware auf Ihrem Desktopcomputer ist.
Hast du Probleme mit WordPress Security? Wie hast du das Problem gelöst? Lassen Sie es uns in den Kommentaren wissen.
Von The Shock Family exklusiv für WDD geschrieben: ein Team von Webprofis und Videokünstlern von WordPress-Themen Schock (Premium-Wordpress-Themen), WP-Themengenerator (Ein großer wp Thema Schöpfer), und DesignShock seful design sets). ( nützliche Designsets).