Beiträge

Belta.de - Einen Wordpress-Blog absichern

Einen WordPress-Blog absichern – XML-RPC-Schnittstelle abschalten

Die sogenannten XML-RPC-Schnittstelle steht für „Extended Markup Language Remote Procedure Call“ und bietet die Möglichkeit einer automatisierten Schnittstelle zwischen einem anderen System und Ihrem Blog. Beispielsweise lassen sich so B2B-Schnittstellen zu Dienstleistern realisieren, um bspw. neue Bestellungen (Einkauf) für Ihren Onlineshop automatisch abzusetzen. Viele Standardinstallationen von WordPress benötigen diese Schnittstelle gar nicht. Aber: sie wird oft als Angriffspunkt verwendet. Wir sehen regelmäßig in unseren Logfiles (access.log bzw. secureaccess.log) automatisierte versuchte Logins über diese Schnittstelle. Das Fatale daran: selbst, wenn man den Standardlogin per System überwacht und bspw. nach 3 Anmeldeversuchen eine Zeitverzögerung einbaut, so steht die XML-RPC-Schnittstelle meist ohne diese Schutzmechanismen im Internet und es gibt immer wieder sog. Brut Force-Angriffe.

Schalten Sie die XMLRPC-Schnittstelle ab, falls Sie sie nicht benötigen. Das erhöht die Sicherheit Ihrer WordPress-Website und verhindert versuchte Logins mittels Brut Force-Technik. Die XMLRPC-Schnittstelle können Sie bspw. mit einem Plugin abschalten.

Um in einer WordPress-CMS-Website die XMLRPC-Schnittstelle abzuschalten, können Sie folgendermaßen vorgehen:

  • Melden Sie sich an Ihrer WordPress-Installation an und navigieren Sie zum Dashboard.
  • Unter dem Menüpunkt Plugins finden Sie den Punkt „Installieren“.
  • Geben Sie im Suchfenster den Begriff „XML RPC“ ein und wählen Sie eines der Plugins, die die Schnittstelle abschalten. Bspw. haben wir das Plugin „Disable XML RPC“ von Philip Erb ausgewählt.
  • Installieren Sie das Plugin und aktivieren Sie es.
  • Die XML-RPC-Schnittstelle ist nun nicht mehr aktiv und kann nicht mehr als Einbruchslücke per versuchtem Hacker-Login missbraucht werden.
Belta.de - Einen Wordpress-Blog absichern

Einen WordPress-Blog absichern – Login-Seite verstecken

Viele automatisierte Hackinganfragen zielen auf die Standard-Login-Seite des WordPress-CMS-Systems ab. Konkret heißt das: ein Script ruft Ihre Domain auf (bspw. www.belta.de) und hängt daran die URL-Vervollständigung wp-login.php, d.h. in diesem Fall würde das Script die Seite www.belta.de/wp-login.php aufrufen und per Brut Force-Technik aus einem Lexikon bestimmte Benutzernamen und Passwörter zufällig einsetzen. Wenn Sie das selbst in einem Logfile nachvollziehen möchten, so ist der Aufruf leicht zu sehen, der HTML-Antwortcode des Servers ist in der Regel 200 (Aufruf ok und korrekt ausgeführt), der Login funktioniert selbstverständlich nur, wenn der Angreifer korrekten Benutzernamen und Kennwort eingibt.

Brut Force bedeutet in diesem Fall, dass ein Angreifer verschiedene Kombinationen von Benutzernamen und Kennwörtern eingibt. Das passiert – wenn es nicht eingeschränkt wird – dauernd und belastet neben der eigentlichen Gefahr auch die Perfomance des Servers.

Um diese Standardangriffe zu vermeiden, kann man einfach die URL der Login-Seite ändern. Das kann folgendermaßen ganz einfach passieren:

  • Rufen Sie das Dashboard Ihrer WordPress-CMS-Seite auf.
  • Unter dem Menüpunkt Plugins rufen Sie den Punkt „Installieren“ auf.
  • Suchen Sie das Plugin WPS Hide Login von WPServeur, NicolasKulka, wpformation
  • Installieren Sie das Plugin
  • Konfigurieren Sie unter Einstellungen – „WPS Hide Login“ die neue Login-URL, bspw. setzen Sie dort „anmelden“ als neue URL. Somit wäre hier die Beispiel-URL: www.belta.de/anmelden