Über 28 Prozent aller Webseiten verwenden inzwischen WordPress. Das entspricht über 60 Prozent der Webseiten, die auf einem Content Management System basieren. WordPress ist also ohne Zweifel Marktführer und gerät dementsprechend mehr und mehr in das Visier von Angreifern. Aus diesem Grund wird oftmals versucht, WordPress oder zumindest den Loginbereich zu verstecken oder zu verschleiern. Doch ist das überhaupt sinnvoll oder vielmehr vergeudete Arbeitszeit?
Inhaltsverzeichnis
Ist WordPress unsicher?
WordPress wird zunehmend interessant für kriminelle Angreifer. Der Grund dafür ist schlichtweg die hohe Verbreitung und nicht — wie oftmals fälschlicherweise behauptet wird — eine angeblich verbesserungswürdige Sicherheit des Systems. Mit diesem Mythos haben wir unter anderem in unserem Artikel zu den 5 größten WordPress Mythen bereits aufgeräumt. Ein Angreifer möchte in der Regel mit möglichst wenig Aufwand einen möglichst großen Schaden anrichten. Da ist es selbstredend, dass man sich für das meistgenutzte Content Management System entscheidet. Ein ähnliches Szenario zeichnet sich auch bei Microsoft Windows und Apples Mac OS ab. Während Windows seit jeher mit Schadsoftware zu kämpfen hat, ist Mac OS bislang weitestgehend verschont geblieben. Auch hier ist einer der Gründe natürlich die deutlich höhere Verbreitung von Windows.
Ein völlig falscher Rückschluss wäre, wenn man aus diesem Grund nur noch wenig verwendete Systeme einsetzt. Die hohe Verbreitung von WordPress hat nämlich viele Vorteile. Auch in Hinblick auf die Sicherheit. Wird eine Sicherheitslücke bekannt, kann man damit rechnen, dass binnen weniger Stunde ein entsprechendes Update erscheint. Bei anderen Content Management Systemen mit kleiner Entwickler-Community verstreicht unter Umständen viel Zeit, bis eine kritische Sicherheitslücke der Vergangenheit angehört. Außerdem gibt es jede Menge Maßnahmen, die einfach umgesetzt werden können, um die Sicherheit von WordPress deutlich zu steigern. Allerdings sollte man sich auf die wirklich effektiven Sicherheitsverbesserungen konzentrieren. Einige Maßnahmen, die inzwischen gern eingesetzt werden, sind es nämlich nicht.
Unter welcher Adresse man den WordPress Login findet, ist natürlich allseits bekannt. Dementsprechend wird dieser Bereich einer WordPress-Webseite nicht selten für sogenannte Brute-Force-Attacken missbraucht. Dabei versucht man den Benutzernamen und das Passwort mit abertausenden Versuchen zu erraten. Diese Loginversuche sollte man natürlich bestmöglich eindämmen, um derartigen Angriffen keine Chance zu lassen. Für viele Webseitenbetreiber scheint in diesem Fall der nächste, logische Schritt, den Loginbereich einfach zu verstecken. Als effektive Sicherheitsmaßnahme darf das jedoch nicht betrachtet werden.
„Sicher ist, dass nichts sicher ist. Selbst das nicht.“
(Joachim Ringelnatz)
Security through obscurity
Bei solchen Maßnahmen spricht man von Security through obscurity (deutsch „Sicherheit durch Obskurität“ oder „Sicherheit durch Unklarheit“). Dabei handelt es sich um ein Prinzip, die Sicherheit eines Systems zu gewährleisten, indem die Funktionsweise geheim gehalten wird. Im Fall von WordPress würde das bedeuten, dass der Eingreifer den Loginbereich nicht einer Brute-Force-Attacke aussetzen kann, da nicht bekannt ist, wo sich der Login überhaupt befindet. Allerdings handelt es sich dabei lediglich um eine scheinbare Sicherheit. Das potenzielle Sicherheitsproblem besteht nämlich weiterhin. Statt einer effektiven Lösung wird das Problem nur kaschiert und somit vorübergehend aus dem Weg geschafft. Wenn es ein Angreifer tatsächlich auf eine Webseite absieht, so findet er den WordPress Login. Unter dem Strich hält eine Verschleierung des WP-Admins einen Angreifer von seiner Attacke nicht ab, sondern verlängert lediglich die Arbeitszeit, um zum gewünschten Ziel zu gelangen.
Ein viel größeres Problem dabei ist, dass viele Webseitenbetreiber leichtsinnig werden, wenn sie sich in Sicherheit gewogen fühlen. Die Folge sind völlig unsichere Passwörter wie „passwort123“, die ein großes Sicherheitsrisiko darstellen — zumindest dann, wenn der Angreifer den Loginbereich entdeckt hat. Es wäre auch ziemlich naiv zu glauben, dass sich professionelle Angreifer von derart einfachen Methoden abwimmeln lassen. Zumal der WordPress Login natürlich nur eines von vielen möglichen Einfallstoren ist.
Doch was gegen Brute Force Attacken tun?
Vor Brute-Force-Attacken sollte man sich auf jeden Fall schützen. Gerade dann, wenn eine Webseite etwas bekannter und somit stärker frequentiert wird. Nicht selten lässt sich dann auch schnell ein Anstieg der Loginversuche verzeichnen. Aus diesem Grund haben wir nachstehend einige wirklich effektive Tipp und Maßnahmen zur Verbesserung des Loginbereichs von WordPress.
- Sichere Passwörter
Auch wenn dieser Tipp schon ein wenig abgedroschen klingt, so sind sichere Passwörter nach wie vor einer der wichtigsten Maßnahmen zur Gewährleistung der Sicherheit. Gerade bei einer Brute-Force-Attacke. Ein sicheres Passwort sollte im besten Fall aus Buchstaben, Zahlen und Sonderzeichen bestehen und mindestens 12 Zeichen umfassen. - Kein „admin“ Benutzername
Der Benutzername des Standard-Administratoren-Kontos lautet „admin“. Das wissen auch Angreifer. Deshalb sollte man für eine zusätzliche Sicherheit einen anderen bzw. individuellen Benutzername wählen. - Verzeichnisschutz
Ein wirklich effektives Mittel gegen eine Brute-Force-Attacke ist ein Verzeichnisschutz, der um den Loginbereich gelegt wird. Einziger Nachteil ist, dass man sich doppelt anmelden muss. Vorteil: Sehr effektiv.
Fazit
Mit nur wenigen und einfachen Handgriffen lässt sich die Sicherheit von WordPress deutlich steigern. Dazu sind weder irgendwelche Sicherheitsplugins erforderlich, noch grundlegende Veränderungen der WordPress-Strukturen. Manchmal ist weniger mehr, und manchmal ist die Lösung einfacher, als man möglicherweise annimmt.
Weitere Links zu diesem Thema