» Blogschutz vor Hacking

am: 14.11.2009
von: Andreas
in: Webmaster

Gestern kam das Thema zum Webmaster Friday leider etwas verspätet weswegen ich erst heute dazu kam, einen Beitrag zu schreiben. Das Thema vom Webmaster Friday ist diese Woche aber dafür sehr gut und lautet “Wie schützt ihr eure Projekte und Euch vor Hacking-Angriffe?” Dazu lassen sich speziell für WordPress Blogs so einige Tipps und Hilfen finden und anwenden. Es gibt auch mehrere Plug-ins die gegen Hacking, sinnvoll eingesetzt werden können.

 

Basis Schutz

Der Basis Schutz fängt eigentlich schon bei der ersten Installation von WordPress an. So muss man nicht unbedingt als Benutzername “Admin” haben, das Passwort sollte ruhig etwas länger sein und aus Zahlen sowie Buchstaben bestehen. Nehmt da bitte keine Geburtstag Zahlen oder dergleichen die nachher sogar noch in Eurem Blog Profil (About me) stehen.

Es macht auch Sinn, bestimmte Verzeichnisse via htaccess zu schützen wie beispielsweise den wp-admin. Dies wird in diesem Beitrag gut erklärt und ist eine empfehlenswerte sowie effektive Methode. Für Suchmaschinen und Bots sollte man eine Robots.txt anlegen um die installierten WordPress Verzeichnisse vor der Indexierung der Suchmaschinen zu schützen.

Da dies viele Verzeichnisse betrifft, sollte daher eine Robots.txt für jedes Verzeichnis mit folgendem Inhalt vorhanden sein:

User-agent: *
Disallow:

Die Bots der gängigen Suchmaschinen halten sich in der Regel an die Anweisung der Robots.txt. Es gibt leider viele Bots die dies nicht tun aber diese können wiederrum durch die .htaccess gänzlich und Dauerhaft ausgesperrt werden. Ihr sollte daher Eure Log Daten stets im Auge behalten. Ich benutze dafür nach wie vor den chcounter der sich auch für viele weitere praktische Anwendungen eignet. Findet Ihr nun die IP von einem schädlichen Bot (automatische Spamkommentare, Crawler von fremden Webseiten), so könnt Ihr in der htaccess in Eurem Root Verzeichnis folgendes Eintragen:

Order deny,allow
Deny from Hier IP Adresse eintragen

Es macht allerdings nur Sinn, wenn es eine statische IP Adresse ist, also eine fest zugewiesene. Diese kann z.B. von einem Server sein von wo der Bot/Crawler aus operiert.

 

WordPress Funktionen und Plug-ins

Generell sollte man unbenutzte Funktionen in WordPress deaktivieren. Dies gilt beispielsweise für Blogger, die Ihren Blog komplett alleine betreiben und wo keine weiteren Autoren registriert bzw. aktiv sind. Unter Einstellungen – Allgemein – Mitgliedschaft  sollte kein Häkchen gesetzt sein und direkt darunter bei “Standardrolle eines neuen Benutzers” sollte Abonnent gewählt sein. Damit schließt man für potenzielle Angreifer eine mögliche Tür die schon beim letzten größeren WordPress Hack genutzt wurde.

 

eBieneDer Plug-in Entwickler Sergej Müller, bietet allen WordPress Bloggern, einige wirklich brauchbare Plug-ins und kleinere Codes mit Anleitungen, kostenlos an. Neben den bekannten AntiSpamBee und AntiVirus gibt Sergej hilfreiche Tipps zur Sicherheit in WordPress. Ein interessanter Ansatz ist beispielsweise die Entfernung eines Meta Tags aus dem Quelltext, der Aufschluss über das verwendete CMS/Blog System und dessen aktuell genutzten Version gibt. In wie weit dies tatsächlich Effektiv ist, kann ich nicht sagen aber es klingt Logisch. Daher habe ich diesen Meta Tag auch aus dem Quelltext entfernt.

 

Aufpassen bei Themes und Plug-ins

Bei neuen Plug-ins und Themes, sollte Grundsätzlich vorher kontrolliert werden, wie seriös der Anbieter eigentlich ist und nicht sofort jedes Brandneue Plug-in installieren und aktivieren. Es kommt relativ selten vor, das ein WordPress Plug-in veröffentlicht wird, was Euren Blog schadet oder gar Daten ausspäht. Personensuchmaschinen oder ähnlich relevante spezielle Suchmaschinen, die Plug-ins und Widgets anbieten, sollten in keinem Fall verwendet werden!

Codierte WordPress Themes, stellen ebenfalls ein sehr hohes Sicherheitsrisiko für Eure Blogs dar denn es lassen sich sehr einfach, neben versteckten Links, auch Programmzeilen einbauen, die zum Ausspionieren und Hacking verwendet werden können. Von codierten WordPress Themes rate ich daher generell ab. Wirklich 100% sichere Themes und Plug-ins, erhaltet Ihr weiterhin bei WordPress denn diese werden vorher alle geprüft und dann freigeschaltet.

Letztendlich ist jeder Webseiten Betreiber, egal ob Homepage, Forum oder Blog, dazu verpflichtet, sich um die Sicherheit seiner Seite zu kümmern. Geht von Eurer Seite/Blog Spam, Hacking oder dergleichen aus, obwohl Ihr dies überhaupt nicht wusstet oder für verantwortlich seid, kann man Euch dennoch im schlimmsten Fall zur Haftung heranziehen.

GD Star Rating
loading...