Better WP Security schafft mehr Sicherheit im WordPress Blog
Heute möchte ich Euch ein kleines Plugin vorstellen über welches es möglich ist die Sicherheit eines WordPress Blogs zu erhöhen. Das Wordpess PlugIn Better WP Security steht zum kostenlosen Download bereit und unterstützt auch nicht so versierte WordPress-Nutzer mit einer One-Click-Konfiguration. Doch was kann das Tool für Euch erledigen? Im Prinzip ist das Plugin kein Hexenwerk, sondern unterstützt ganz einfach bei ein paar sinnvollen Einstellungen, welche man unter Umständen und mit etwas tieferen Wissen auch selbst konfigurieren könnte. Jedoch bietet Better WP Security über diese Konfiguration noch ein paar Funktionen, welche man ansonsten nicht so einfach abbilden kann.
Doch was macht das Tool genau für Euch?
Hier seht ihr was man über das Dashboard über die One-Klick Konfiguration alles einstellen kann. Dabei werden die Hinweise farblich gekennzeichnet und man sieht sofort, welche Sicherheitspunkte brennen und welche eher unkritisch sind.
Hier im Beispiel ist es z.B. ein kritischer Punkt, dass der Prefix in der Datenbank dem der Auslieferung entspricht. Dies kann natürlich kritisch sein, wenn ein Tool oder WordPress selbst ein Sicherheitsloch besitzt über welches eine SQL Injektion möglich ist. Da der Angreifer dann die Standard-Tabellen kennt und seinen Angriff gezielt vornehmen kann. Ändert man das Prefix, so verläuft ein 0815 SQL Angriff im Sand.
Was kann man noch über das Plugin konfigurieren:
– Richtlinien für die Passwort-Sicherheit können gesetzt werden
– Header-Informationen über eingesetzte Software können ausgeblendet werden
– Anzeige für Updates werden für Nicht-Admins ausgeblendet
– Admin-User und die User-ID 1 kann „vernichtet“ werden
– Backup-Funktion
– das Backend kann nur für bestimmte Zeit für eine Anmeldung geöffnet werden
– Abgleich mit IP Blacklisten
– Brute Force Attacken beim Login unterbinden
– WordPress Admin Zugang verstecken
– .htaccess schützen
– 404er Zugriffsschutz
– Files auf Veränderungen überwachen
– URLs in der Länge beschränken
– Rechte für normale Benutzer einschränken
– Check ob die Dateirechte in der Installation richtig gesetzt sind
– Informationen zu Versionsnummern von Plugins und Themes verschleiern
– Content-Verzeichnis umbenennen
– https für Login oder Seite aktivieren
+ einige Funktionen mehr!
Besonders interessant finde ich auch die Logs über die man sehr interessante Dinge sehen kann.
Logs bekommt man zu folgenden Punkten:
Aktuell ausgesperrte User und Hosts
Hierüber kann man erkennen, ob derzeit Angriffe auf das System gefahren werden und das Sicherheits Plugin zugeschlagen hat!
404 Fehler
In erster Linie soll darüber natürlich geprüft werden, ob über URLs versucht wird Angriffe zu fahren!
Allerdings kann man auch Fehler damit aufspüren, welche mir gar nicht bewusst waren! Denn wer prüft schon regelmäßig seine Apache Logs!
Hier kann man z.B. recht gut erkennen, dass die Bilder von 2009 scheinbar nicht mehr am Server vorhanden sind. Dies war auch so und ich konnte ein altes Backup einspielen.
Viel interessanter ist jedoch das hier:
Hier kann man sehen, wie versucht wird ein Angriff zu fahren.
In der ersten Zeile wird z.B. versucht eine alte Sicherheitslücke im PHP Script eines Themes auszunutzen. Die „timthumb.php“ verursachte vor einigen Jahren richtige Probleme in der WordPress Sicherheit, da viele Themes damit ausgestattet waren. Wer heute noch ein altes Theme oder ein Theme einsetzt, welches damals nicht überarbeitet worden ist begibt sich in Gefahr eines Hacks! Hier kann man auch recht gut sehen, wie häufig es zu solchen Angriffen kommen kann. Innerhalb von 2 Minuten haben hier 4 Angriffe von 2 unterschiedlichen Orten statt gefunden.
Fehlgeschlagene Logins
Auch die illegalen Login-Versuche haben es in sich!
Je nach Urzeit kann man hier Login-Versuche im Minutentakt sehen! Ist das Plugin aktiv, kann man zumindest solche häufigen Anfragen einfach weg blocken!
Ausgesperre IPs
In dieser Übersicht sieht man, welche IPs gesperrt worden sind und warum.
Bei den Bad Logins wurde zu oft und zu schnell versucht sich in das Backend einzuloggen und bei den 404er Fehlern wurde versucht durch Manipulation der URLs (wie oben gezeigt) – Sicherheitslücken zu finden.
Geänderte Files
In den geänderten Files sieht man, wenn Dateien im Filesystem verändert worden sind. Hat man diese selbst verändert ist alles ok, wenn dort jedoch Files auftauchen, welche man selbst nicht im Zugriff hatte, deutet dies auf einen Angriff hin.
Fazit: Better WP Security macht auf mich einen sehr guten Eindruck und ich kann das Plugin nur weiter empfehlen. Einschränkungen der Leistung oder der Geschwindigkeit des Blogs konnte ich bislang nicht feststellen.
Für alle, welche sich das Tool einmal genauer ansehen möchten: Better WP Security
Tags:
- yhs-benefind
- Better WP Security backup einspielen
