4 Möglichkeiten, Ihr WordPress-Login zu sichern

Hacker müssen nicht hinterhältig oder raffiniert sein, um zu bekommen, was sie wollen. Oft brechen sie einfach durch die Haustür ein. Die Verwendung der richtigen Tools kann helfen, aber Sie können noch mehr tun, um Ihre Website zu schützen und die WordPress-Anmeldung zu sichern .

In diesem Bericht von Nathan Finch von Aussie Hosting haben sie verschiedene Hosting-Unternehmen basierend auf ihrer Leistung überprüft und verglichen. Sie fanden heraus, dass Unternehmen mit längeren Ausfallzeiten auch schlecht gewartete Server hatten, die das Risiko von Sicherheitsbedenken erhöhten.

Es wurde berichtet, dass Google etwa 70.000 Websites pro Woche wegen Sicherheitsproblemen bei der WordPress-Anmeldung wie Malware und Phishing auf die schwarze Liste setzt. Ihre erste Verteidigungslinie gegen Infiltration ist der Schutz Ihres WordPress-Logins. Diese Form der Zugangskontrolle scheint ein Kinderspiel zu sein, aber Sie werden überrascht sein, wie oft die einfachsten Sicherheitsmaßnahmen übersehen oder in den Hintergrund gedrängt werden.

Unabhängig von den Sicherheitsfunktionen, die Ihr Hosting-Service im Backend bietet, hört das Geld bei Ihnen als Website-Besitzer auf.

– Quelle: Wordfence

Was macht WordPress-Logins anfällig?

Die Popularität von WordPress macht es zu einem einfachen und attraktiven Ziel. Aber was macht die Plattform anfällig für Angriffe und Exploits?

Zum einen machen Hacker viel Aufklärung, bevor sie ein System knacken. Sie wissen, dass bestimmte WP-Versionen mehr Schwachstellen aufweisen als andere, und die Plattform gibt es schon lange genug, damit Profis wissen, was sie sind. Die Versionsnummer befindet sich auf Ihren Webseiten und in Ihrer URL, sofern Sie sie nicht entfernen.

Die Anzeige Ihres Verzeichnisses bietet auch viele nützliche Informationen, wie z. B. die Art der Plugins und Designs, die Sie installiert haben. Da es mit Open-Source-Codierung funktioniert, ist es für Hacker eine einfache Möglichkeit, auf Ihren Code zuzugreifen, indem Sie ungenutzte oder nicht unterstützte Plugins in Ihrem Verzeichnis belassen, selbst wenn sie deaktiviert sind. Sobald sie drin sind, können sie Exploits starten, die Codierung ändern, Sitzungen entführen oder Sie von Ihrer eigenen Website aussperren.

Hacker können Ihre Verzeichnisindizierung überprüfen, indem sie Ordnerspeicherorte durchsuchen und nach einer "Index von"-Antwort wie dieser suchen:

/wp-inhalt/

/wp-content/plugins/

/wp-content/themen/

/hochladen/

/Bilder/

Sie können durch eine aktive Suche mit Skriptwerkzeugen oder eine passive Suche mit normalen HTML-Anfragen nach anfälligen Plugins in Ihrem Verzeichnis suchen . Dies wird durch die Überprüfung des HTML-Quellcodes und die Suche nach installierten Plugins über CSS-Stylesheets, Kommentare und JS-Links erreicht.

Eine andere Möglichkeit, wie Hacker auf WordPress-Websites zugreifen, ist die Benutzeraufzählung . Dies ist ein einfacher Auftakt für einen Brute-Force-Angriff , der das Aufdecken von Benutzernamen und das Erraten ihrer Passwörter durch einen Wörterbuchangriff oder den Versuch, über Standardmechanismen einzutreten, beinhaltet. Benutzer können beispielsweise erkannt werden, indem ihre IDs wiederholt und wie folgt zur URL hinzugefügt werden:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Wenn es funktioniert, wird die Login-ID über eine 303-Weiterleitung angezeigt.

Ein Tool namens WPScan , das für Schwachstellentests verwendet wird, kann innerhalb von weniger als einer Minute Hunderte von möglichen Passwörtern durchsuchen. Es war in der Lage, innerhalb von Sekunden die folgende Ausgabe von einem billigen Thema zurückzugeben:

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* SCHNIP ******************

[+] Passwort Brute Force starten

Brute-Forcing-Benutzer 'testadmin' mit 500 Passwörtern... 100% vollständig.
[+] Beendet am Do 18. Juli 03:39:02 2013
[+] Verstrichene Zeit: 00:01:16

4 Möglichkeiten, Ihr WordPress-Login zu sichern

Glücklicherweise sind die WP-Entwickler und die Benutzergemeinschaft fleißig, wenn es um die Bereitstellung von Support geht. Aus diesem Grund gibt es kostenlos verfügbare Tools und Best Practices, die Sie lernen und einsetzen können, um die Sicherheit Ihrer Website zu gewährleisten.

Hier sind vier Techniken, die Sie implementieren können, um Ihre WordPress-Login-Sicherheit zu verbessern.

1. Entfernen Sie die WP-Versionsnummer

Da Hacker bei der Suche nach Schwachstellen in der Regel zuerst nach der Versionsnummer suchen, sollten Sie diese beim Einrichten Ihrer Website als Erstes ändern. Dies sollte so erfolgen, dass es von Seiten, URLs und Meta-Tags entfernt wird, ohne den Header-Hook oder andere schlechte Methoden zu entfernen, die im Internet angepriesen werden.

Der beste Weg, um Ihre WP-Versionsnummer zu entfernen, besteht darin, dieses Codestück zur Datei functions.php hinzuzufügen:

So entfernen Sie aus der Kopfzeile:

 remove_action('wp_head', 'wp_generator');

So entfernen Sie aus dem RSS-Feed:

 Funktion remove_version_info() {
Rückkehr '';
}
add_filter('the_generator', 'remove_version_info');

So entfernen Sie die Versionsnummer aus Skripten und Stilen:

 Funktion remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
geben $src zurück;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

Egal wann Sie WP installieren, Sie sollten Ihr WordPress immer auf die neueste Version aktualisieren, sobald es veröffentlicht wird. Gleiches gilt für Plugins und Themes.

Lesen Sie mehr: Updates sind entscheidend für die WordPress-Sicherheit !

2. Ändern Sie Ihre Login-URL

Die Standard-Anmeldeadresse für WP-Administratoren ist yourwebsite.com/wp-admin und das weiß fast jeder, der mit der Plattform vertraut ist. Sie müssen lediglich /wp-login.php nach dem Domainnamen hinzufügen und schon sind Sie dabei. Eine einfache Änderung der URL ist alles, was Hacker daran hindern, Ihre Login-Seite zu erraten.

Sie können ein Plugin wie iThemes Security verwenden , um dies effektiv zu erreichen.

3. Reduzieren Sie die Anzahl der Anmeldeversuche

Eine weitere fehlerhafte WP-Standardfunktion erlaubt unbegrenzte Anmeldeversuche. Dies ermöglicht Wörterbuchangriffe und andere Techniken zum Erraten von Passwörtern. Das iThemes Security-Plugin verfügt über eine Funktion, die Ihre Website nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche sperrt und Ihnen eine Warnung sendet.

Wenn Sie nur die Login-Logout-Funktion wünschen, können Sie ein Plugin namens Limit Login Attempts Reloaded installieren und in dessen Einstellungen die Anzahl der erlaubten Logins konfigurieren.

4. Beschränken Sie den Zugriff und verwenden Sie die Zwei-Faktor-Authentifizierung

Inzwischen sollten Sie wissen, dass Sie ein sicheres Passwort mit einem Zwei-Faktor-Authentifizierungs-Plugin wählen müssen. Der nächste Schritt zur Beschränkung des Zugriffs besteht darin, die Anzahl der Personen zu begrenzen, die Zugriff auf das Innenleben Ihrer Website haben. Drittens verwenden Sie die 2-Faktor-Authentifizierung, die eine Kombination aus Passwort und verschlüsseltem Schlüssel verwendet, um sich anzumelden.

Abschließende Gedanken!

Obwohl diese Sicherheitsvorkehrungen und Präventivmaßnahmen, die in diesem Beitrag erläutert werden, Ihre Website nicht zu 100 % schützen, bieten sie ein enormes Maß an Sicherheit.

Denken Sie daran, dass Hacker und böswillige Dritte nach den einfachsten Hintertüren in Ihre Website suchen. Meistens werden automatisierte Lösungen verwendet, um diese Hintertüren zu finden.

Die Sicherung Ihres WP-Logins hält diese Türen geschlossen und stellt sicher, dass die einzige Person, die Zugriff auf Ihre Site hat, Sie selbst sind.

Haftungsausschluss: Dies ist ein Gastbeitrag von Nathan Stieglitz von AussieHosting .