WordPress / Webseiten Hardening 2.0
Wie kommen Hacker darauf welche Sicherheitslücke(n) Sie auf Eurer Webseite ausnutzen können?
Ganz einfach: Sie versuchen zuerst die installierte Version Eurer Software herauszufinden bzw. die Version der installierten Plugins. Sind die Versionen bereits veraltet besteht eine hohe Chance eine bereits geschlossene Sicherheitslücke ausnutzen zu können.
Dafür sind nicht einmal besonders großartige „Hacker-Kenntnisse“ erforderlich. Zum Glück gibt es hier eine simple Methode um dem einen Riegel vorzuschieben. Hierzu müssen nur in der .htaccess Datei folgende Zeilen hinzugefügt werden:
RewriteRule (?:readme|license|changelog|changelogs|contributing|-config|-sample)\.(?:php|md|txt|html|md5?) - [R=404,NC,L]
RewriteRule (?:debug|debugger)\.(?:log|logs?) - [R=404,NC,L]
Warum der Error-Code 404 (nicht gefunden) und nicht der Error-Code 403 (Zugriff verweigert) eingesetzt wird ist ebenfalls einfach zu erklären. Bei 403 würdet Ihr automatisch den Rückschluss erlauben, dass zumindest das Verzeichnis (des Plugins) existiert. So würde ein Angreifer zumindest noch die Information erhalten, dass Plugin xy installiert ist. Durch Ausgabe des Codes 404 müsste ein Angreifer einen Scan mehr durchführen.
Bei einigen von Euch könnte es passieren, dass der obige Code nicht funktioniert bzw. keinen Effekt zeigt, insbesondere bei *.txt Dateien. In diesem Fall solltet Ihr in Euren nginx-Einstellungen das direkte Cachen und Ausliefern von txt Dateien blockieren, indem Ihr „txt“ aus der Liste entfernt.
Verzeichnisse ändern
Um diese lästigen automatischen Scanner weiter zu verwirren, kann unter WordPress auch das Plugin-Verzeichnis geändert werden:
Hierzu muss in der wp-config.php der neue Pfad definiert werden:
define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/wp-content/pinguine' );
define( 'WP_PLUGIN_URL', 'https://www.lautenbacher.io/wp-content/pinguine');
Im obigen Beispiel sollte natürlich die URL angepasst werden. Anschließend müsste im obigen Beispiel einfach nur der Ordner „plugins“ zu „pinguine“ umbenannt werden.
Im Übrigen sollte natürlich auch mein alter Artikel zum WordPress-Hardening beachtet werden.
Selbstverständlich helfe ich auch hier zu günstigen Stundensätzen – schreiben Sie mir einfach über mein Kontaktformular.