Absichern von WordPress Webseiten

In diesem Artikel möchte ich das Absichern von WordPress Webseiten behandeln. Auf heise.de wurde von einem Großangriff auf WordPress Seiten berichtet. Wenn Sie eine WordPress Seite betreiben haben Sie dies sicherlich auch schon festgestellt. Auch im privaten und beruflichen Umfeld kann ich dies beobachten. Deshalb sollten Sie Ihre WordPress Webseite zusätzlich absichern.

Meist werden die Dateien wp-login.php, xmlrpc.php angegriffen. Ich konnte aber auch Versuche feststellen, dass Dateien unter /wp-admin angegriffen wurden. Daher sollten Sie diese drei Dinge absichern.

Die Absicherung kann dabei mittels einer einfachen Authentifizierung über den Apache erfolgen. Der reguläre Nutzer bekommt davon nichts mit. Angreifer können die PHP Datei nicht aufrufen, da der Apache den Aufruf im Vorfeld abfängt. Dies senkt auch die Last bei einem Angriff. Der Apache kommt gut mit einer größeren Anzahl an Anfragen zurecht.

Sie nehmen einfach zwei Einträge in .htaccess Dateien vor. Den ersten Eintrag nehmen Sie in der .htaccess Datei im Document Root Ihrer Webseite vor:

<Files ~ "^(wp-login|xmlrpc)\.php$">
AuthType Basic
AuthName "WordPress Backend"
AuthUserFile /home/user/.htpasswd
Require valid-user
Require ip 127.0.0.1
Require ip 130.255.78.228
Require ip 192.0.64.0/18
Require ip 2a02:e00:ffec:11f::2
</Files>

Die zweite Datei müssen Sie explizit unter /wp-admin anlegen:

AuthType Basic
AuthName "WordPress Backend"
AuthUserFile /home/user/.htpasswd
Require valid-user
Require ip 127.0.0.1
Require ip 130.255.78.228
Require ip 2a02:e00:ffec:11f::2
<Files "w-logo-blue.png">
	Satisfy any
	Allow from all
</Files>

Mit Require ip können Sie bestimmte IPs von der Authentifizierung ausnehmen. Das Subnetz 192.0.64.0/18 gehört zu WordPress. Dieses wird zum Beispiel benötigt wenn z.B. JetPack auf die eigene WordPress Anwendung zugreifen soll. Die AuthUserFile Datei können Sie mit der htpasswd Binary vom Apache generieren. Wenn Sie pd-admin nutzen finden Sie die Binary unter /usr/local/pd-admin2/httpd-2.4/bin/

Zur Generierung verwenden Sie folgenden Befehl

/usr/local/pd-admin2/httpd-2.4/bin/htpasswd -B -c /home/user/.htpasswd user

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.