WordPress Angriffe abwehren ist heutzutage höchste Priorität alle WP Administrators um ihr geistiges Eigentum zu schützen. Gegen WordPress Webseiten haben Hacker vor ein paar Tagen massive Angriffswelle gestartet. Millionen Angriffe die sich gegen etwa hunderttausende Seiten gerichtet haben. Die Angreifer haben für Ihre Angriffe die Brute Force Methode verwendet, unzählige Kombinationen von Passwörtern und Benutzernamen. Außerdem die Hacker benutzen eine geheime Datenbank mit 1.5 Milliarden Zugangsdaten und Angriff wurde hauptsächlich auf * .php * index * und * .js Datei ausgeführt.
Seiteninhalt:
WordPress Angriffe abwehren mit sichere Passwörter
WordPress hat sozusagen einen schlechten Ruf, weil sind viele Schwachstellen bekannt, aber in der Regel ist das Preis für Komfort und Erweiterungsmöglichkeiten. In den meisten Fällen liegt aber auch daran, dass die Benutzer Sicherheitsrisiken missachten.
Datei wp-login.php ist eines der beliebtesten Angriffsziele bei WordPress * wichtig ist aber zu erwähnen das viele WordPress-Benutzer noch immer ein schwaches Passwort benutzen, so ist Hackern viel leichter Zugang zum Backend zu verschaffen und im schlimmsten Fall die Website zu übernehmen.
Schutz gegen Brute Force Methode
Eine sehr effektive Methode gegen Brute Force Attacken bietet ein zusätzlicher Passwortschutz für die Datei wp-login.php. Die Authentifizierung wird bei Apache Webservern über zwei kurze Einträge in den Dateien .htaccess und .htpasswd realisiert.
Erstellen Sie eine sichere Benutzername Passwort Kombination und dann die mit einem htpasswd Generator verschlüsseln. Das Ergebnis trägt man in eine Datei htpasswd ein, die man per FTP im Root Bereich von Apache Webserver ablegt. Am Ende ändern Sie noch die Datei htaccess:
# Protect | wp-login.php
<Files wp-login.php>
AuthName "Passwordschutz"
AuthType Basic
AuthUserFile /pfad/zu/meinem/wordpress/.htpasswd
Require valid-user
</Files>
# Zugriffsschutz für .htaccess | .htpasswd | wp-login.php
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php)">
Require all denied
</FilesMatch>
Die Datei wp-login.php ist jetzt geschützt, so bekommen Sie effektive Schutz bei Brute Force Attacken. Erstens ist der Apache Zugriffsschutz aktiv und Anmeldung werde nur mit Benutzer und Passwort-Eingabe möglich. Zweitens Hacker muss jetzt zwei Schutzmechanismen überwinden um in Backend zu gelangen.
- Eisenmenger, Richard (Author)
Weitere Abwehrmethoden
WordPress bietet eine sogenannte XMLRPC Schnittstelle, damit man mit auf das Innere Ihrer Website zugreifen. Ähnlich wie beim Login, wird diese Schnittstelle auch für Angriffe genutzt. Sie brauchen die XMLRPC Schnittstelle nicht, dann deaktivieren Sie diese in der htaccess Datei.
# Zugriffsschutz für XMLRPC und WP Cron
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
<Files wp-cron.php>
Order Allow,Deny
Deny from all
</Files>
Standardmäßig wird die Datei wp-cron.php bei jeder Seitenaufbau ausgelöst, dafür bei stark frequentierten Websites zu Problemen führen kann. Hacker können auch WordPress Cron Funktion ausnutzen um Angriffe auf andere Webseiten zu starten. Wenn Sie keine Cron Funktion brauchen, schalten Sie einfach in wp-config.php ab.
Die Umstellung auf HTTPS ist eine der wichtigsten Maßnahmen überhaupt, wenn auch schon Google diese Sicherheitszertifikate so dringlich einfordert. Fast alle Internet Provider bieten Letsencrypt Zertifikat kostenlos an.
Login Versuche können Sie auch mit WP Plugin Limit Login Attempts Reloaded begrenzen und mit IP Sperren versehen. Wichtig ist aber zu erwähnen das WP Plugin alleine kein effektiver Schutz gegen die Hackerangriffe bietet.
WordPress Angriffe abwehren mit Wordfence Security Plugin
Wordfence Security ist WordPress Plugin für Sicherheitsfunktionen und Tool zur Wiederherstellung bei Infektionen oder Angriffen. Die Hacker können Daten von Besucher ausspionieren oder schädliche Scripts auf der Webseite platzieren *. So kann eine Webseite in die Google Blacklist aufgenommen werden und dadurch aus Suchlisten verschwinden.
Ich habe Plugin getestet und hat hervorragende Arbeit geleistet. Wordfence Security erspart Ihnen sehr viel Arbeit, schon gratis Version ist ausgestattet mit allen wichtigen Funktionen für Abwehr gegen WordPress Angriffe. Mit zum Beispiel: selbstlernende Firewall, IP Blocking, Scan für WordPress Daten, erweiterbar auf ganze Server, Schutz gegen SQL Injection, Login Security, etc. Also nicht zögern, Plugin installieren und WordPress Angriffe abwehren mit Wordfence Security.
Um schreckliche Szenario zu vermeiden führen Sie auch regelmäßig WordPress und Datenbank Sicherungen durch.