Fragen.
Antworten.

WordPress-Login absichern

Es gibt verschiedene Möglichkeiten, das Login in WordPress abzusichern. Die wichtigsten Optionen möchte ich hiermit kurz aufzeigen:

 

1. Ein sicheres Passwort wählen

Das klingt erstmal trivial, aber jeder weiß von sich selbst, dass die Bequemlichkeit bei der Wahl eines Passwortes oft über die Sicherheit siegt. Aber unsichere Passwörter sind eine ganze entscheidende Schwachstelle. Ein gutes Passwort sollte lang sein und am besten einmalig. Um sich viele verschiedene Passworte zu merken, kann man einen Passwort-Manager verwenden.

 

2. Anzahl der Login-Versuche einschränken

Der Unterschied zwischen einem normalen Login durch den Nutzer und einem Angriff besteht in der Anzahl der Login-Versuche. Ich als Nutzer gebe das Passwort vielleicht einmal falsch ein oder auch zweimal. Aber bei einem Angriff müssen hunderte Kombinationen ausprobiert werden. Mittels eines Plugins wie z.B. “Limited Login Attempts”, "Wordfence", "iTheme Security" oder "NinjaFirewall" kann man diese Anzahl begrenzen. Werden dann z.B. mehr als fünf Versuche registriert, wird die betreffende IP-Adresse geblockt. Auch die zusätzliche Einbindung eines Captcha-Plugins kann hier sinnvoll sein.

 

3. Die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung dürfte den meisten Menschen bekannt sein. Ist sie aktiviert, muss man mittels eines Codegenerators oder einer SMS einen Code eingeben, um seine Identität nach dem Login mittels eines verknüpften zweiten Gerätes erneut zu bestätigen.
Dieses Vorgehen erhöht die Sicherheit erheblich. Die angreifende Person muss nun nicht nur Benutzername und Passwort kennen, sondern auch noch Zugriff auf Dein Handy haben, um dort den Code anzeigen oder Deine SMS abfangen zu können. Das Ganze funktioniert ebenfalls über Plugins wie z.B. "iTheme Security" oder "Two-Factor". Dazu benötigt man dann den Google oder Microsoft Authenticator oder eine andere entsprechende App.

 

4. Eine Firewall nutzen

Das Plugin "NinjaFirewall", das ich oben schon mal genannt hatte, schützt die Webseite nicht nur vor unerwünschten Zugriffen, indem der Webseiten-Traffic analysiert und ggf. bestimmte Zugriffe abgewehrt werden, sondern es liefert auch Statistiken über das Ausmaß der Attacken. Hier einmal ein Screenshot der Statistiken der abgewehrten Angriffe auf die cologne hosting Webseite:

Auch mit einer Firewall kannst Du also noch einen großes "Sicherheits-Plus" herausholen.

 

Fazit

Wie du siehst, gibt es also wirklich einiges, was Du tun kannst, um das eigenen WordPress-Login vor unerlaubten Zugriffen zu schützen. Und aktuell ist es wichtiger denn je, das auch zu tun!

 

Ich kann das nicht, was muss ich tun?

Wenn Du niemanden hast, der das für dich durchführen kann, wende dich bitte unter Nennung der Kundennummer und der Domain an mich: support@cologne-hosting.de.

 

 

XML-RPC Schnittstelle deaktivieren

Wofür ist die WordPress-eigene XML-RPC Schnittstelle (xmlrpc.php) sinnvoll (gewesen) und sollte ich sie jetzt nicht besser deaktivieren?

Wie das funktioniert und warum die Abschaltung sinnvoll ist, erkläre ich in diesem Artikel.

 

Was ist eine XML-RPC Schnittstelle?

Wenn Dich das nicht interessiert, springe gleich zu "Wie kann ich xmlrpc.php deaktivieren?".

XML-RPC gibt es bereits seit 1998 und steht für Extensible Markup Language Remote Procedure Call. Damit waren Remote-Aufrufe in Computer-Netzwerken mit XML und HTTP möglich.

Auch WordPress nutzt XML-RPC, zum einen für die Kommunikation zwischen WordPress und anderen Blogging-Plattformen, aber auch für die Kommunikation zwischen WordPress-System und WordPress Smartphone-App. Und wegen dieser Smartphone-App ist die Schnittstelle standardmäßig auch immer aktiviert.

Und obwohl die REST API als neue, zeitgemäße und viel sicherere Schnittstelle die XML-RPC längst abgelöst hat, ist sie aus Gründen der Abwärtskompatibilität immer noch Bestandteil von aktuellen WordPress-Versionen.

 

Wie Warum kann ich xmlrpc.php deaktivieren?

Vor der Frage "Wie?" steht noch die Frage "Warum?".
Wenn in Deiner WordPress-Umgebung diese Schnittstelle nicht mehr genutzt wird und die Umstellung auf die REST API vollständig erfolgt ist, solltest Du die xmlrpc.php unbedingt deaktivieren.

Die Tatsache, dass sie nicht mehr benötigt wird, ist eigentlich Grund genug.

Aber auch das Thema Sicherheit ist immer wieder präsent. Leider nutzen Angreifer die Schnittstelle regelmäßig für Angriffe aller Art, DDoS Attacken und Brute Force Angriffe sind keine Seltenheit.

Kurzum: Eine aktivierte xmlrpc.php stellt ein erhebliches Sicherheitsrisiko da und hat zu 99,9 Prozent keinen Nutzen für Dich.

 

Wie kann ich xmlrpc.php deaktivieren?

Zuerst lohnt ein kurzer Blick, ob die Schnittstelle überhaupt noch aktiv ist:
deine-domain.de/xmlrpc.php

Kommt hier die Meldung "Forbidden", "No access", "Not found" o.ä., ist nichts weiter zu tun und Du musst hier nicht weiterlesen.

 

Wichtig:

XML-RPC server accepts POST requests only.

Bedeutet NICHT, dass die Schnittstelle vollständig gesperrt ist. Hier wird lediglich darauf hingewiesen, dass man die Schnittstelle nur über POST-Anfragen nutzen kann. Einige Plugins arbeiten auch so. Die Schnittstelle ist dann für die meisten Angriffe abgesichert, aber eben noch "vorhanden".

 

Ist die Schnittstelle noch aktiv, gibt es nun hauptsächlich zwei Möglichkeiten:

  1. Die Nutzung eines Plugins
    Der einfachste und schnellste Weg ist die Nutzung eines Plugins. Dieses hört auf den Namen „Disable XML-RPC“, ist kostenlos und im WordPress Plugin Pool erhältlich. Hierbei wird die Schnittstelle auf POST-Requests beschränkt. Es gibt auch diverse andere Sicherheits-Plugins, die eine Option zur Deaktivierung dieser Schnittstelle beinhalten. Wirklich abschalten, kann man die Schnittstelle mit den folgenden beiden Optionen.
  2. Ohne Plugin über die .htaccess oder functions.php
    Um WordPress klein und schnell zu halten, sollte man so wenig Plugins wie möglich einsetzen.
    Daher empfehle ich die Option, es direkt im WordPress-Code selbst zu deaktivieren.

 

Lösung für .httaccess:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>

 

Lösung für functions.php:

add_filter( 'xmlrpc_enabled', '__return_false' );

 

Fazit

XML-RPC hatte seine Zeit, aber die ist lange vorbei. Aktuell ist die Schnittstelle primär ein Sicherheitsrisiko und mitverantwortlich für viele erfolgreiche Angriffe auf WordPress-Installationen.
Ich empfehle dringend die Deaktivierung.

 

Ich kann das nicht, was muss ich tun?

Wenn Du niemanden hast, der das für Dich durchführen kann, wende dich bitte unter Nennung der Kundennummer und der Domain an mich: support@cologne-hosting.de.

 

 

COPYRIGHT © 2005-2021 COLOGNE HOSTING. ALLE RECHTE VORBEHALTEN.