Tipp: Registrierte Nutzer haben Vollzugriff auf das Forum und sehen gegenwärtig keine Werbeanzeigen!

Autor Thema: Wordpress gegen Hack-Angriffe & Scriptkiddies schützen  (Gelesen 2167 mal)

Alex.W. Offline

  • Administrator
  • Sr. Member
  • *****
  • Beiträge: 488
  • Geschlecht: Männlich
    • Facebook
    • Twitter
    • Youtube
    • Profil anzeigen
Wordpress gegen Hack-Angriffe & Scriptkiddies schützen
« am: 01. März, 2016, 03:27:51 Vormittag »
Hey,
wie ihr wisst, gibt es vor allem im Internet eine Menge Plagegeister, die einem gerne auf den Sack gehen und das eigene Geschäft vermiesen wollen.

Das kann der ein oder andere Konkurrent sein, der Mahnanwalt, der sich was dazuverdienen will oder eben Neider, Hater so wie Hacker und Scriptkiddies.

Wer den Begriff Scriptkiddy nicht kennt, das sind meistens jüngere Leute  :D, die fertige Exploit-Scripts ausnutzen, um Seiten zu hacken, also praktisch nicht mal selbst hacken.

Anfällig hierfür sind vor allem CMS-Systeme wie auch Wordpress eines ist, denn jeder kann den Quellcode einsehen und eine Lücke finden. Damit werden dann Millionen von Seiten verwundbar, bis Wordpress ein Update heraus bringt.

Die "Opfer Webseiten" können so sogar vollautomatisiert gehackt werden. Dabei werden die Opfer Seiten wahllos durch Google gefunden, da diese Zeilen wie "Powered by Wordpress" im Footer stehen haben. Solche Duplikate sollte man also auf jeden Fall aus seinem Template löschen.

Wordpress wird aber oft aktualisiert und ist derzeit relativ sicher, solange die Updates auch aufgespielt werden. Ihr kennt ja den Spruch: der Fehler sitzt vor dem PC.  ;)

Deshalb sollte man seine Wordpress Version natürlich stets aktuell halten.

Meist sind diese Hacker aus Ländern wie Russland, China oder what ever. Sie können auch in Deutschland sitzen, nutzen dann aber ausländische Proxy-Systeme, um ihre deutsche Identität zu verschleiern. Deshalb kann es Sinn machen, alle nicht-deutschen IPs aus dem /wp-admin/ Bereich auszusperren, allerdings kommt man dann z.B. aus dem Urlaub in Spanien auch nicht mehr an seinen Admin-Bereich  ;) deshalb nutze ich diese Möglichkeit nicht.

Die sicherste Möglichkeit meiner Meinung nach ist die Verwendung des kostenfreien Plugins Clef bei gleichzeitigem deaktivieren aller Kennwörter (via Clef Plugin), dieses ermöglich eine Two-Factor-Authentication mit Hilfe des Smartphones. Das heißt, ihr könnt euch nur einloggen, wenn die Clef-App auf euerem Smartphone authentifiziert+eingeloggt ist.

Dabei scannt man einen generierten Strichcode vom Display mit der Handy-Kamera und kann sich sofort einloggen.

Sieht auch ziemlich cool aus.

Wer es noch einen Tick sicherer will, kann mit Hilfe des kostenfreien Plugin Protect WP-Admin den Pfad zum /wp-admin/ nach seinem Wunsch ändern.

Weiterhin kann man mit Hilfe eines Plugins den /wp-admin/ Bereich mit der htaccess Datei austatten und somit dreifache Sicherheit haben, aber meiner Meinung nach ist Clef schon extrem sicher (bei gleichzeitiger Deaktivierung der Passwört natürlich nur).

Damit sind dann auch alle eure (zukünftigen) Wordpress Seiten "unter einem Dach".

Auch mit Exploits wird man da eher nicht so viel machen können.

Gruß, Alex
Erfahrung ist etwas das man hat, wenn man es nicht mehr braucht