Erfahrungsbericht: Bei WordPress erfolgreich Hacker abwehren
Da die Anzahl der Attacken auf Server und Websites ständig weiter steigt, muss heute jeder Webmaster wissen, wie er Hacker abwehren kann. Deshalb möchten wir Ihnen heute eine Strategie vorstellen, die sich bei Websites mit dem Content Management System WordPress bewährt hat. Dabei handelt es sich um ein ganzes Bündel von Maßnahmen, die in Kombination angewendet werden müssen. Nur so ist es möglich, das Einschleusen von Schadcode in die Websites zu verhindern.
Den Admin-Bereich optimal schützen und so Hacker abwehren
Viele Sicherheitsexperten geben die Empfehlung, den Login-Bereich zu verstecken. Doch die Hacker finden diesen auch bei einer manuellen Veränderung des Links durch Auswertung der Sitemap. Wer erfolgreich Hacker abwehren möchte, muss also verhindern, dass sie sich ins Backend einloggen können. Dazu sind folgende vier Maßnahmen geeignet:
Schritt 1: Admin darf nicht Admin heißen!
Am leichtesten haben es die Hacker, wenn der Admin-Zugang mit den Nutzernamen Administrator oder den Kurzformen Admin und WPAdm erreichbar ist. Deshalb sollte nach der Einrichtung von WordPress ein zweiter Nutzer mit Admin-Rechten angelegt werden. Danach muss der von WordPress selbst angelegte Admin gelöscht werden. Für den Admin-Zugang sollten allerdings keine Namen verwendet werden, die auf der Website selbst auftauchen. Ungeeignet sind deshalb die Namen, die beispielsweise als Autoren angezeigt werden. Wer Hacker abwehren will, indem er es ihnen besonders schwer macht, sollte selbst ausgedachte Fantasienamen verwenden.
Schritt 2: Sichere Passwörter verwenden!
WordPress lässt beim Login auch die Verwendung langer Passwörter zu. Völlig sinnlose Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sind immer die beste Wahl. Allerdings besteht dort das Problem, dass sie nicht im Gedächtnis bleiben. Deshalb machen als Alternative beispielsweise Kombinationen aus mehreren Namen, Sonderzeichen und Zahlen Sinn. Doch hier ist Vorsicht geboten. Bitte verwenden Sie dort keine Namen, Jahreszahlen oder Geburtsdaten, welche die Hacker durch ihre Angaben in den Profilen und Freundeslisten der Social Networks in Erfahrung bringen können!
Schritt 3: Limitieren Sie die Anzahl der Login-Versuche!
Zeitsperren nach der mehrmaligen Eingabe falscher Nutzernamen und Passwörter sind sehr nützlich, wenn Sie erfolgreich Hacker abwehren wollen. Für WordPress steht dafür beispielsweise das kostenlose Plugin Limit Login Attempts von Johan Eenfeldt zur Verfügung. Es sperrt automatisch den Zugriff von IP-Adressen, von welchen aus mehrfach falsche Angaben beim Login-Versuch gemacht werden. Dabei wächst der Zeitumfang der Sperre in Abhängigkeit von der Anzahl der gescheiterten Login-Versuche.
Schritt 4: Verhindern Sie automatisierte Attacken auf den Login!
Große Hackernetze führen die Angriff auf das Backend nicht manuell durch. Sie verwenden dafür selbst entwickelte Software, um möglichst viele Versuche binnen kurzer Zeit zu starten. Noch ist diese Software nicht in der Lage, alle Formen von Captchas auszuwerten. Ein sinnvoller Schutz ist deshalb ein Captcha-Plugin, wobei wir gute Erfahrungen mit der Version Captcha by BestWebSoft gemacht haben. Hier werden Rechenaufgaben in verschiedenen Darstellungen angezeigt, die für einen erfolgreichen Login gelöst werden müssen. Hier können nur noch Hacker zum Zug kommen, welche den Login manuell versuchen.
Wer Hacker abwehren will, muss Zeit investieren!
Bei der Abwehr von Hackerattacken ist die derzeit beste Strategie, die IP-Adressen dauerhaft zu sperren, von denen regelmäßig Angriffe auf den Login kommen. Wer sich genau das einfach machen möchte, kann WordPress mit dem Plugin Wordfence Security bestücken. Damit können auf komfortable Weise die Zugriffe in Echtzeit überwacht werden. Praktischerweise lassen sich die Zugriffe gefiltert anzeigen. Dazu gehört auch eine Filterfunktion für den Aufruf des Login-Bereichs.
Per Mouseklick sind eine WhoIs-Abfrage und die Blockierung der IP-Adresse möglich. Das Plugin blockt diese dann für vier Minuten, in denen vom Administrator im Untermenü „Blocked IPs“ die Blockade manuell auf „permanent“ gesetzt werden kann. Hier sind jedoch genaue Prüfungen notwendig, damit Sie sich nicht selbst aussperren oder den Crawlern der Suchmaschinen den Zugriff verwehren. Ein nettes Extra des Plugins ist, dass Sie dort direkt sehen, wie oft genau diese Crawler ihre Inhalte prüfen.
Allerdings hat dieses Security-Plugin, mit welchem wir bei unseren Tests Hacker abwehren konnten, auch einen kleinen Nachteil. Der Echtzeitscan benötigt Arbeitsspeicher und Festplattenspeicher. Dadurch kann sich die Reaktionszeit des Servers und der Website selbst minimal verlängern. Die Vorteile dieses Security-Plugins überwiegen jedoch deutlich, da es auch eine selbstlernende Firewall bietet.