Laut aktuellen Statistiken ist WordPress mit rund 63% Marktanteil (Stand Juni 2020) das meist verwendete CMS-System weltweit. Aus diesem Grund konzentrieren sind auch die meisten Angriffsversuche auf WordPress-Seiten. Da das Thema „Sicherheit“ bei WordPress aber etwas stiefmütterlich behandelt wird, bekommt man von diesen Angriffsversuchen aber kaum bis gar nichts mit. Auch bei erfolgreichen Angriffen vergehen oft Tage, bis dieser durch einen Seiten-Administrator entdeckt wird.
Dieser allgemeinen Sicherheitsproblematik kann aber mit einem einfachen Plugin entgegengewirkt werden: All In One WP Security & Firewall
Installation
Die Installation des Plugins erfolgt wie gewohnt über den Menüpunkt „Plugins – Installieren“.
Nach der Installation erscheint im Menü der Punkt „WP Security“.
Übersicht
Der erste Punkt in „WP Security“ ist das „Dashboard“. Hier erhält man einen ersten Überblick über die wichtigsten Security-Themen und auch eine Einschätzung der getätigten Einstellungen.
Security Konfiguration
Da das Plugin All In One WP Security & Firewall sehr viele verschiedene Konfigurationsmöglichkeiten bietet, präsentiere ich euch hier eine kleine Zusammenfassung der – meines Erachtens – sinnvollsten Einstellungen, unterteilt in die einzelnen Menüpunkte.
ACHTUNG:
Bevor ihr das Tool verwendet, empfehle ich euch ein Backup der Dateien „.htaccess“ und wp-config.php“. Beides kann unter „WP Security – Settings“ durchgeführt werden.
User Accounts
Unter „User Accounts“ wird überprüft, ob der User „admin“, welcher bei der Installation standardmäßig erstellt wird, weiterhin verwendet wird. Auch wird überprüft, ob der Anzeigename (z.B. bei Beiträgen) gleich genannt wurde wie der Anmeldename.
Falls hier etwas zutrifft, wird eine Umbenennung des Benutzers empfohlen.
User Login
Unter „User Login“ findet man alles, was mit der Anmeldung ins Backend zu tun hat:
- Maximale Anzahl an Anmeldeversuchen, bis die IP-Adresse gesperrt wird.
- Dauer der Sperre.
- Mail-Benachrichtigung wenn IP-Adressen gesperrt wurden.
- Angemeldete Benutzer nach einer definierten Zeit automatisch abmelden.
Zusätzlich wird hier protokolliert, welche IP-Adressen in der letzten Zeit gesperrt wurden, welche Accounts sich erfolgreich angemeldet haben und welche Accounts aktuell angemeldet sind.
User Registration
Falls sich andere Personen auf der Homepage registrieren dürfen, kann hier definiert werden, dass alle neuen Benutzer zuerst manuell von einem Administrator bestätigt werden müssen. Auch ein „Captcha“ kann aktiviert werden, damit Bots keine automatischen Registrierungen durchführen können.
Database Security
Unter „Database Security“ können die Datenbanken, die WordPress benötigt umbenannt werden, damit sie nicht mehr den WordPress-Standard verwenden.
Unter DB Backup können auch regelmäßige Datenbank-Backups definiert werden.
ACHTUNG:
Bevor an den Datenbanken etwas verändert wird, sollte zuerst ein Backup über „Database Security – DB Backup“ erstellt werden.
Blacklist Manager
Wenn häufiger dieselbe IP-Adresse versucht sich im Backend anzumelden, kann diese im Blacklist Manager hinzugefügt werden. Anschließend hat die jeweilige IP-Adresse keinen Zugriff mehr auf die Homepage.
Brute Force
Unter „Brute Force“ kann die Anmeldung noch besser abgesichert werden. Der wichtigste Punkt hier ist das Aktivieren eines Captchas bei der Anmeldung, um auch hier Bots auszubremsen.
Zusätzlich kann auch die Login-URL abgeändert werden. Standardmäßig läuft die Anmeldung über „https://domain.at/wp-admin“. Mit der Aktivierung der Funktion, kann die URL beispielsweise auf „https://domain.at/anmeldung“ geändert werden.
SPAM Prevention
Wer die Kommentarfunktion unter Beiträgen aktiviert hat, kann die „SPAM Prevention“ aktivieren. Auch hier können Bots mittels Captcha ausgebremst werden. Zusätzlich kann eine maximale Anzahl an Kommentaren von derselben IP-Adresse definiert werden.
Maintenance & Miscellaneous
Abseits der Security-Themen kann das Plugin All In One WP Security & Firewall auch einen Wartungsmodus (Maintenance) aktivieren, damit der Besucher darauf hingewiesen wird, dass die Homepage aktuell in Bearbeitung ist.
Wer seine Beiträge schützen will, kann auch den Kopierschutz aktivieren. Anschließend kann kein Text mehr mittels „Strg+C“ kopiert werden.