In den vergangenen Wochen bin ich beim Penntesten mehrfach auf unsichere WordPress-Installationen gestoßen und da mich jemand gefragt hat
Hast du ein paar Tipps für WordPress-Plugins die man installieren sollte bzw. wie man den Blog sicher hält?
werde ich kurz auf das angesprochene Thema eingehen.
Mit dem Plugin Limit Login Attempts (wordpress.org) kann sehr einfach die Anzahl der Loginversuche begrenzt werden.
Wem dies nicht ausreicht, der kann die Zugriffe auf die
wp-login.php auf eine bestimmte IP-Adresse oder -Adressbereich begrenzen. Der folgende Code muss dazu in die .htaccess eingefügt werden.<Files ~ "^wp-login.php">
Order deny,allow
Deny from all
Allow from 12.34.56.78
</Files>
Dies funktioniert nur bei festen IP-Adressen zu 100 % zuverlässig. Bei dynamisch vergebenen IP-Adressen muss das letzte oder die letzten beiden Oktetts entfernt werden. Die IP-Adresse endet dann mit einem Punkt. Es muss einfach getestet werden, welche IP-Adresse man von seinem Provider zugewiesen bekommt.
Es ist i.d.R. sehr einfach ein Plugin zu installieren und auszuprobieren, aber dies verleitet auch dazu, zu viele davon zu installieren. Also: Was nicht wirklich benötigt wird muss gelöscht werden, nur deaktivieren reicht nicht aus, da die u.U. angreifbaren Scripte noch vorhanden sind.
Der einfachste Schutz wird mit möglichst schnell eingespielten Updates erreicht, sowohl für WordPress selber, als auch für die verwendeten Plugins.
Zum Abschluss ein Screenshot aus dem WPScan von WordPress 3.9.1, der die Anzahl der bekannten Lücken zeigt.