Lustig gemeinte Überschrift zu einem unlustigen Thema!

Ja, der erste Teil der Überschrift ist dem aktuellen Stil in den Redaktionen dieser Welt geschuldet.

Man möge mir verzeihen :)

Immerhin geht es um ein wichtiges Thema, welches viel Aufmerksamkeit verdient!

Und der zweite Teil der Überschrift sagt eh, worum es geht. Nämlich um einen weiteren Schritt zur Absicherung von WordPress, in dem Fall von wp-admin mittels htaccess-Passwort.

Wozu das alles?

tl;dr

  • Das wp-admin-Verzeichnis sollte per .htaccess abgesichert werden!
  • Dadurch schließt man ohne Plugin viele potentielle Sicherheitslücken und Angriffsvektoren

 

Der nette Angreifer aus der Nachbarschaft!

Wir haben eine neue Seite aufgesetzt und in den erste Tagen beobachtet, welche Zugriffe passieren. Ohne SEO, ohne Werbung o.ä.

Es tut sich logischerweise nicht viel, aber was sich tut ist augenscheinlich.

WIR WERDEN ANGEGRIFFEN!111omfg

Angriffsziele die es abzusichern gilt
Worauf es Angreifer abgesehen haben und was wir absichern werden!

WordPress ist einer der sichersten Webanwendungen – aber jede Software hat ihre Schwächen. Mit jedem installierten Plugin kommt eine potenzielle Schwachstelle dazu.

Und wenn dann noch Plugins aus dubiosen Quellen installiert wird, schlägt man die Tür für Angreifer weit auf.

 

Und danach suchen Angreifer. Nach Schwächen in installierten WordPress-Plugins. Nach Einfallstoren.

Das passiert nicht händisch, sondern diese „Angriffe“ werden automatisch durchgeführt. Mit Bots. Angriffe in Anführungszeichen, weil das erstmals nur Austesten von Schwachstellen sein kann.

In obigem Screenshot sieht man sehr gut, worauf die Bots Lust haben:

Auf das wp-Admin-Verzeichnis.

wp-admin Verzeichnis absichern

Klar! Das wp-admin-Verzeichnis steht für das Backend von WordPress, für die Administrationsansicht.

Da würden Angreifer gern hinein.

Das abzusichern ist wirklich der einfachste Trick überhaupt – deshalb auch die reißerische Überschrift!

Dafür brauch ich kein Plugin, ich muss nix installieren und es geht so gut wie gar keine Funktionalität für eine normale 08/15 Webseite verloren.

Was also tun?

htaccess-Passwort setzen

Um das wp-admin-Verzeichnis abzusichern, muss man auf das Verzeichnis einfach mit htaccess absichern!

Also einen Usernamen und ein Passwort für das wp-admin Verzeichnis anlegen.

Das funktioniert bei den diversen Hostern ähnlich, schaut naturgemäß aber ein Bisserl anders aus. Als Hilfestellung hier ein paar Tutorials der bekannteren Hoster:

 

Wie schaut dann der Zugriff auf wp-admin aus? Bitteschön, kann man gerne anhand unseres Blogs probieren:

https://wp-entwickler.at/wp-admin

Es erscheint ein Dialog, ähnlich wie dieser hier:

htaccess User und Passwort Abfrage
Abgesichertes wp-admin Verzeichnis mittels htaccess

Jetzt ist das wp-admin Verzeichnis abgesichert und die meisten Angriffe laufen in’s Leere.

Denn der Angreifer (oder auch interessierte Besucher, die den Link oben angeklickt haben) bekommen das hier zu sehen:

nicht erlaubter Zugriff auf wp-admin
Wenn man den Usernamen und das Passwort nicht kennt, kann man wp-admin nicht ordentlich aufrufen!

Ein Bonuspunkt ist noch, dass man dadurch keinen komplizierten Plugincode braucht, der Zugriffe auf die Seite überprüfen müsste.

Conclusio

  • Viele Angriffe konzentrieren sich auf die billigen Einfallstore
  • Dateien im wp-admin Verzeichnis sind ein interessantes Ziel
  • Wenn ich das wp-admin Verzeichnis mit einem htaccess-Passwort versehe, dann kann ich viele Angriffe abwehren.
  • Eine gute und weiterführende Info ist wie immer Selfhtml zum Thema Passwortschutz.