Computer-Epidemien
…und ihre „Behandlung“
Wenn man so ein Computer-Jahr – insbesondere als Betreuer von gemeinsamen Ressource wie es unsere Infrastruktur ist – Revue passieren lässt, kann man eine gewisse Ähnlichkeit mit unserem ständigen Begleiter, dem Corona-Virus, erleben. Hier wie dort verlaufen die Epidemien in Wellen. Es gibt entspannte Phasen, die von zunehmender Hektik abgelöst werden. Die Fehlermeldungen nehmen zu, ähnlich wie die Fallzahlen, hervorgerufen durch „das Böse, das überall ist“ aber auch durch das „Dumme, das zumindest ebenso weit verbreitet ist“- nur will natürlich niemand der Dumme sein.
Monokulturen
In unserem Fall sind es ungewartete WordPress-Webs, die – ähnlich einer landwirtschaftlichen Monokultur – besonders anfällig gegen Angriffe sind. Egal, ob eine Weizen-, Fichten- oder WordPress-Monokultur, sie alle sind extrem anfällig gegen Feinde aller Art. Die enge Nachbarschaft identischer Objekte bietet einem geeigneten Angreifer ein ideales Verbreitungsgebiet.
Einerseits ist es sehr vorteilhaft, eine Web mit WordPress zu erstellen, weil es eine starke Community von Entwicklern gibt, die den Entwurf einer Webseite stark vereinfacht. Anderseits bieten diese identischen Installationen Angriffspunkte. Wenn von den Angreifern eine Schwachstelle entdeckt wurde, haben sie nicht nur einen Rechner „geknackt“, sondern gleichzeitig viele baugleiche Installationen.
Während man in der Landwirtschaft Zuflucht in Pestiziden sucht, sind es bei WordPress-Installationen besondere Plugins. Eine wichtige Eigenschaft der Plugins ist es, vor dem Angreifer zu verbergen, dass es sich überhaupt um ein WordPress-Web handelt.
Was muss ein Webmaster tun?
Es ist wichtig, dass die Versionen von WordPress, der Plugins und Themen sowie von PHP aktuell sind. Damit Angriffe erkannt werden, gibt es verschieden Plugins, die zum Schutz beitragen. Wir haben im Vorjahr Wordfence empfohlen; nicht schlecht, aber in der Zwischenzeit hat sich die Art der Angriffe verändert und Werner empfiehlt heute, Wordfence durch „All in One WP Security“ zu ersetzen oder zu ergänzen.
AIOWPS = All in One WP Security
Die Installation des Plugin hat keine Besonderheiten. Aber nach dem Aktivieren ist es ziemlich passiv. Ein Tachometer im Dashboard des Plugin zeigt fast auf 0.
Für die Konfiguration muss man sich Zeit nehmen, es ist eine Menge zu tun. Man geht systematisch alle Einstellungen durch und aktiviert, was vernünftig erscheint. Hier ist ein Verzeichnis aller Schutzmechanismen. ‚+‘ Aktivierung möglich und ausgewählt, ‚-‚ Aktivierung möglich und nicht ausgewählt, ‚+!‘ unbedingt aktivieren. Wenn eine Zeile nicht gekennzeichnet ist, gibt es hier keine Einstellungen oder sind sie weniger wichtig.
Einstellungen
Allgemeine Einstellungen
.htaccess Datei
wp-config.php Datei
+ WP-Version-Info
Importieren/Exportieren
Erweiterte Einstellungen
Benutzerkonten
+ WP-Benutzername
+ Anzeigename
Passwort
Benutzeranmeldung
+! Anmeldesperre
Fehlgeschlagene Anmeldeaufzeichnungen
+ Abmeldung erzwingen
Kontenaktivitätsprotokolle
Angemeldete Benutzer
Benutzerregistrierung
+ Manuelle Genehmigung
+ Registrierungs-Captcha
+ Registrierungs-Honeypot
Datenbank-Sicherheit
+ DB-Präfix
+ DB-Backup
Datensystem-Sicherheit
Dateiberechtigungen
+ Bearbeiten von PHP-Dateien
+ WP-Dateizugriff
Host-System-Protokolle
- Verwaltung der schwarzen Liste
Firewall
Basis-Firewall-Regeln
+! Firewall-Grundeinstellungen
+! XMLRPC & Pingback-Schwachstellenschutz für WordPress
+! Zugriff auf die Debug-Protokoll-Datei sperren
Zusätzliche Firewall-Regeln
+ Auflistung der Verzeichnisinhalte
+ Trace und Track
+ Proxy-Kommentare veröffentlichen
+ Bösartige Abfrage-Zeichenfolgen
+ Erweiterter Zeichenfolgen-Filter
+! 6G schwarze Liste-Firewall-Regeln
+ Internet-Bots
+ Hotlinks verhindern
+ 404-Erkennung
Benutzerdefinierte Regeln
Brute Force
+ Anmeldeseite umbenennen
+! Cookie-basierter Schutz vor Brute-Force-Angriffen
Anmelde-Captcha
+ Captcha-Einstellungen für das Anmeldeformular
+ "Passwort verloren"-Formular Captcha Einstellungen
+ Captcha-Einstellungen für das individuelle Anmeldeformular
- Anmelde-Whitelist
+ Honeypot
SPAM-Vorbeugung
SPAM-Kommentare
+ SPAM-Kommentare-Einstellungen
+ Spambot-Kommentare blockieren
- Kommentar-Spam IP-Monitoring
BuddyPress
BBPress
Scanner
+ Datei-Änderungserkennung
Malware-Prüfung
Wartung
+ Frontend-Sperre
Verschiedenes
+ Kopierschutz
+ Frames
+ Benutzer-Enumeration
+ WP-REST-API
Nach Aktivierung der verschiedenen Sicherheitsmechanismen ändert sich der Tachometerstand auf 390:
Grafische Darstellung der Maßnahmen
Was ist zu tun?
Man sollte die Dateien .htaccess, wp-config.php im Menüpunkt „Einstellungen“ sichern, sowie die die gesamte Konfiguration im Punkt „Importieren/Exportieren“.
Erster Eindruck
Anders als andere Plugins, meldet sich AIOWPS nicht mit ständigen Aufrufen, doch eine Pro-Version zu erwerben, AIOWPS ist kostenlos. Aber es gibt die Möglichkeit, weitergehende Ergänzungen zu kaufen. Es gibt zwei kostenpflichtige Erweiterungen:
- Plugin zur Abwehr von Zugriffen bestimmter Länder (siehe Links)
- Plugin zur Abwehr von wiederholten Zugriffen auf nicht-existierende Seiten (siehe Links)
Die Einstellungen zu dem Plugin findet man im Menüpunkt „WP-Sicherheit“. Es sind insgesamt 72 Seiten zu öffnen und zu konfigurieren, daher ist es sehr wichtig, diese Einstellungen aus Sicherheitsgründen zu exportieren.
Links
- Beschreibung (wordpress.org)
- FAQ
- Support-Forum
- Ausgesperrt durch AIOWPS (wordpress.org)
- Country Blocking Addon (site-scanners.com, kostenpflichtig)
- Smart 404 Block Addon (site-scanners-com, kostenpflichtig)
Franz war pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreute unser Clubtelefon und Internet Support. Er war leidenschaftlicher Rapid Wien Fan. Er ist leider Anfang Jänner 2024 nach langer schwerer Krankheit verstorben.
Neueste Kommentare