WordPress über .htaccess gut absichern

Heute geht es um WordPress, eines der am meisten benutzten CMS (Content Management System) weltweit. Mit der Bekanntheit passieren natürlich viele Angriffe auf Webseiten die WordPress einsetzen.

Wenn Du jetzt glaubst Deine Seite kennt ja niemand, oder diese ist vollkommen uninteressant, liegst Du gnadenlos falsch und schadest Dir eventuell selbst massiv.

Angriffe passieren aus verschiedenen Motiven. Eines davon ist natürlich Daten zu stehlen. Ein anderes, für Dich als Betreiber einer kleinen Webseite, aufgrund der Haftungsprobleme, vermutlich viel problematischeres Motiv ist es Deinen Webserver zu übernehmen, dort Schadcode einzupflanzen und diesen über Deine Seiten weiter zu verbreiten.

Mit Trojanern verseuchte PCs laden in weiterer Folge von Deinem Blog verseuchten Code für Erpressung oder Zerstörung von Daten und Du wirst es schwer haben dem Staatsanwalt bei der Hausdurchsuchung glaubhaft zu erklären, dass Du Dein System immer gut gewartet hast, jedes Software- und Security-Update umgehend installiert hast und Du dadurch alles getan hast um das Problem zu verhindern.

Heute geht man davon aus, dass jeder der im Internet eine Webseite betreibt, die Wartung dieser Seite nur von einem Internet Anschluss mit statischer  IP Adresse durchführt. Von unterwegs kann man sich über ein VPN zu dieser statischen IP verbinden und über diese die Webseiten Wartung durchführen.

Diese statische IP ermöglicht es spezielle Admin Bereiche der Webseite auf diese IP einzuschränken und damit für Unbefugte den Zugriff zu verbieten.

Natürlich wird es jetzt viele geben, die diese Info als paranoid abstempeln und Ihre Seite weiter ungesichert betreiben.  Wenn es dann gekracht hat, helfen die Spezialisten von CTS Solutions seit über 30 Jahren bei Analyse und Reparatur.

In jedem Fall sollten aber einige Rules in der .htaccess, bzw. in der Apache Config Deines Webservers zur besseren Absicherung eingebaut sein:

  • Einzutragen in der .htaccess oder der Apache vhost onfiguration:

Ersetze IHREDOMAIN.IHRTLD durch die Daten Deiner Domain. Solltest Du Deinen Webserver noch unverschlüsselt, ohne SSL Zertifikat, unter http://  betreiben, dann andere https:// zu http://.

Gescheiter wäre es aber, die Webseite auf https:// umzustellen und keine unverschlüsselten, für jeden auf dieser Welt mitzulesende Daten durch das Netz zu schicken. LetsEncrypt bietet Dir kostenlose SSL Zertifikate und damit gibt es keine Ausrede um den Server weiterhin unverschlüsselt zu betreiben.

  1. Verbiete den Zugang zu wp-login.php und /wp-admin ohne passenden Referer. Ein Link zur wp-login.php sollte auf der Webseite eingerichtet werden, damit ein Login weiterhin möglich ist:

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^https://DOMAIN.LD [NC]

RewriteCond %{REQUEST_URI} (.*)?wp-login.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} (.*)?wp-admin$

RewriteRule (.*)$ – [F]

  1. Sperren der xmlrpc.php, welche von 99% nicht benötigt wird. Details über die xmlrpc.php und ob Du diese benötigst, findest Du über Google.

Order deny,allow

deny from all

  1. Sperren von Abfragen nach Author 0-9. Diese Abfragen zielen im Normalfall darauf ab den Usernamen für das Admin Login zu finden.

RewriteCond %{REQUEST_URI}  ^/$

RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)

RewriteRule (.*)$ – [F]

Es gibt noch viele weitere Details, aber damit ist schon sehr viel erledigt und Deine Webseite viel sicherer.

Sollte Dir das jetzt alles zu viel sein, ist es vermutlich besser Du bedienst Dich professioneller HIlfe von Leuten die Dir Deine Webseite sicherer machen, ohne dass Du Dich über Jahre laufend weiterbilden musst um das alles zu verstehen und immer am laufenden zu sein.

Der Betrieb eines Webservers, oder auch nur einer Webseite bedingt gute Kenntnisse und eine laufende Weiterbildung  in Bezug auf Server, Software und Security um nicht auf einmal um 6 Uhr Morgens vom Staatsanwalt mit Hausdurchsuchungsbefehl aus dem Bett geholt zu werden.

Und natürlich willst Du ja auch nicht Schadsoftware weiterverbreiten, oder anderen, durch Deine mangelnde Absicherung, bei der Erpressung von Firmen und Privaten helfen.

Ruhig und mit gutem Gewissen schlafen schafft Freude und Ruhe für alle. Die Spezialisten von CTS Solutions sind Dein Ansprechpartner solltest Du Hilfe benötigen.