Wordpress Plugins

Hide my WP Tutorial Deutsch

Hide My WP

Deutsches Tutorial zum WordPress Premium Plugin Hidy My WP

WordPress ist eines der beliebtesten Blog- und Contentmanagementsysteme im Netz. Immer häufiger wird dieses System deshalb Opfer von Angreifern, welche nach Schwachstellen in dem System suchen, um diese auszunutzen. Ist WordPress selbst mittlerweile auch eines der sichersten Systeme auf dem Markt, gilt das nicht unbedingt für die zahlreichen Erweiterungen, Plugins und Themes, welche sich in WordPress integrieren.

Hide My WP“ ist nun ein Plugin, welches sich diesem Problem auf interessante Weise nähert. Es verschleiert einfach die Identität der Webseite. Ein potentieller Angreifer muss schließlich erst wissen, dass es sich bei dem System, welches er angreifen möchte, um ein WordPress System handelt. WordPress, wie auch andere Systeme, verbirgt seine Identität nicht unbedingt. Es gibt zahlreiche Möglichkeiten, herauszufinden, ob es sich bei dem System um ein WordPress System handelt, hier nur einige Beispiele:

Kann man sich über http://www.example.com/wp-login.php in das System einloggen?
Was passiert, wenn ich http://www.example.com/wp-admin eingebe?
Sind die Bilder in einem Unterverzeichnis von wp-content/ abgelegt?
Gibt es ein Theme?
Sind klassische im Body-Tag vergeben

Diese Informationen können von jeder WordPress-Seite abgefragt werden und somit festgestellt werden, ob es sich bei einem System um WordPress handelt. Weiß der potentielle Angreifer erst einmal, dass es sich um ein WordPress System handelt, kann er mit der Suche nach potentiellen Schwachstellen wie beispielsweise angreifbarer Plugins und ähnlichem suchen. All dies macht aber erst Sinn, wenn der Angreifer die Identität der Webseite festgestellt hat. Was, wenn er daran gehindert wird?

Mit zahlreichen Operationen vor allem an der .htaccess-Datei des WordPress-Systems nun beginnt „Hide my WP“, verräterische Dateipfade abzuändern. In diesem kleinen Tutorial möchte wir Euch zeigen, wie Ihr mit Hilfe von Hide my WP Eure Seite sicherer machen könnt.

Nachdem man das kostenpflichtige Plugin von Codecanyon bezogen hat, installiert man es zunächst wie jedes andere Plugin auch. Im WordPress Dashboard und Einstellungen kann man nun Hide My WP konfigurieren. Dabei sollte man zunächst sicherstellen, dass die .htaccess-Datei von WordPress beschrieben werden kann. Wenn Sie die Permalink-Struktur einfach mit Knopfdruck unter Einstellungen > Permalinks ändern konnten und selbdst keine Datei hochladen mussten, ist dies der Fall.

Derzeit ist das Plugin leider nur in englischer Sprache verfügbar. Deshalb werde ich hier mit den englischen Bezeichnungen arbeiten und, wo nötig, diese erklären. Wenn Ihr auf Einstellungen > Hide My WP klickt, kommt Ihr zunächst auf die Startseite des Plugins. Dort sollte man seinen Purchase Code, welchen man bei der Bestellung erhalten hat, eingeben. Wenn man Hide My WP schonmal auf einer anderen Seite eingesetzt hat und im wesentlichen die gleichen Einstellungen tätigen möchte, kann man diese ganz einfach Importieren. Auch der Export erfolgt auf dieser Seite.

Ein kleiner Fix Guide am Ende der Startseite hilft bei den üblichen Problemen, welche bei Hide My WP vorkommen können. Und interessiert nun jedoch mehr der Tab „General Settings“, in welchem die generellen Einstellungen vorgenommen werden können.

Zunächst kann man eine neue 404-Errorseite festlegen. Ich benutze hier immer die Standard-404er-Seite von WordPress, man kann aber auch extra eine Seite anlegen und diese zur 404 erklären. Das macht vor allem dann Sinn, wenn die Standard-404-Seite von WordPress die WordPress-Identiät verrät. Im nächsten Schritt kann man festlegen, welche Nutzer als vertrauenswürdig eingestuft werden. Das ist zunächst einmal natürlich der Administrator, aber man kann auch Redakteure, Autoren, Abonennten und andere Nutzer der Seite in den Kreis der vertrauenswürdigen Personen aufnehmen. In einem späteren Schritt werden wir das /wp-admin/-Verzeichnis vor neugierigen Blicken schützen. Auch angemeldete Benutzer können auf dieses Verzeichnis nicht zugreifen, es sei denn, sie gehören eben zum Kreis der vertrauenswürdigen Personen.

Im nächsten Schritt beginnt schon die erste tatsächliche Maßnahme. Indem man den Haken „Hide wp-login.php“ setzt (der standardmäßig gesetzt ist und auch unbedingt gesetzt sein sollte) verbirgt man die Login-Seite vor neugierigen Blicken. Wenn also jemand auf die URL http://www.example.com/wp-login.php zugreift, erhält er die oben festgelegte 404 Error Seite. Doch, wie kann ich mich selbst nun einloggen? Dazu legen sie in den nächsten beiden Schritten zunächst einen Login-Query und anschließend einen Admin Login Key fest. Diese zusammen ergeben die URL zum WordPress Login. Da Sie nach Abschluss der Konfiguration sich ohne diese URL nicht mehr in WordPress einloggen können, müssen Sie sich diesen unbedingt an einem sicheren Ort notieren. Sagen wir, Ihr nutzt als Query „das-ist-der-weg“ und als Key „zum-login“, so könntet Ihr nun über folgende Adresse auf die Loginseite zugreifen:
http://www.example.com/wp-login.php?das-ist-der-weg=zum-login

Im nächsten Schritt verbirgt man dann mit dem setzen eines Häkchens das /wp-admin/-Verzeichnis, was auch ein notwendiger Schritt ist.

Danach kann man festlegen, ob man über „Angriffe“ benachrichtigt werden möchte. „Spy Notify“ ist hier vielleicht ein wenig übertrieben, denn tatsächlich wird man per Email in dem Moment benachrichtigt, wenn jemand auf die 404-Fehler-Seite zugreift, was viele Gründe haben kann und nicht zwingend auf einen Angriff zurückzuführen ist. Gerade bei hochfrequentierten Webseiten kann dies durchaus zu einem hohen Email-Aufkommen führen. Dennoch ist diese Funktion relativ nützlich. Zum einen kann man eben doch sehen, wenn jemand beispielsweise versucht auf die wp-login.php zuzugreifen und wenn nötig kann man dann weitere Maßnahmen ergreifen, wie beispielsweise eine IP-Sperre verhängen, wobei derartige Maßnahmen nicht mithilfe von „Hide My WP„realisiert werden können. Eine andere, wenn auch nicht unbedingt beabsichtigte Funktion des „Spy Notify“ kann es sein, Seiten zu entdecken, auf welche viele User gehen, obwohl dort kein Content zu finden ist. Hat man also beispielsweise seine Permalinkstruktur geändert, kann dies dazu führen, dass viele User auf 404er-Seiten landen, oder man hat einen prominenten Blogeintrag verschoben, auch dies kann dazu führen, dass viele User nicht mehr auf den gewünschten Inhalt kommen. Erkennt man nun mit Hilfe des „Spy Notify“, dass man quasi eine Großzahl von Usern aufgrund solch einer Aktion verliert, kann man dem dann begegnen, indem man beispielsweise auf der entsprechenden Seite einen Redirect anlegt oder ähnliches (wobei für einen Redirect auch wieder ein anderes Plugin zum Einsatz kommen müsste). Auf jeden Fall kann man diese Option einmal ausprobieren. Man kann sie ja jederzeit wieder abstellen.

Die nächste Option „Customized htaccess“ verhindert, dass das Plugin die htaccess beschreibt. Haben Sie also Ihre htaccess individuell geändert, können sie hier verhindern, dass das Plugin diese Änderungen überschreibt. Statt dessen wird das Plugin Ihnen dann die htaccess-Anweisungen geben, welche Sie benötigen, um die .htaccess entsprechend einzurichten. Dazu klickt man auf den „Click here“-Link und wechselt anschließend auf den Start-Tab. Dort wird man dann die entsprechenden Anweisungen sehen. Zunächst müssen allerdings alle Einstellungen vorgenommen werden.

In der nächsten Sektion könnt Ihr den HTML-Header von WordPress aufräumen, denn auch klassische Einträge im <head></head>-Bereich verraten WordPress. Dazu gehören zunächst einmal die automatisch generierten Feedeintrgäe, welche man entfernen kann, Meta-Tags wie Shortlink und ähnliche. Für die WordPress-Nutzer, welche sich zwar einloggen können (was ja nicht zwingend nur über die wp-login.php geschieht), denen man aber trotzdem nicht ganz traut, kann man auch die Admin-Bar verstecken. Stylesheets und Javascripts werden von WordPress standardmäßig mit einer Versionsnummer ausgegeben. Statt also http://www.example.com/url-to-script/script.js heißt es beispielsweise http://www.example.com/url-to-script/script.js?ver=3.8.1, was durchaus verräterisch ist, weil damit auch die WordPress Version bekanntgegeben wird. Hier kann man diese Versionierung abstellen, was darüber hinaus einen Effekt für den Google Pagespeed haben kann, da so das Script gecacht und nicht jedes Mal neu aufgerufen wird.

Auch andere Dateien wie die license.txt im Root-Verzeichnis und andere verräterische Dokumente kann man vor dem Zugriff Unbefugter verbergen.

Eine weitere Gruppe von Einstellungen kümmert sich um klassische CSS-Klassenbezeichnungen, welche abgeändert werden können. Dazu zählen Body-Klassen, aber auch Post- und Menü-Klassen. WordPress benutzt hier quasi immer die gleichen Klassennamen (wobei dies auch vom Theme abhängt, welches man nutzt). Hier kann man die Verwendung dieser Klassen untersagen. Jedoch nicht ohne Grund sind diese Optionen mit einem Asterix (*) versehen. Denn hierbei handelt es sich um CSS-Klassen, welche häufig eben auch benötigt werden, damit das Layout der Seite korrekt dargestellt wird.

Interessant ist auch die Funktion „Compress Page“. Dabei wird die Seite komprimiert und Kommentare (Texte zwischen <!– und –>) entfernt. Gerade das entfernen von Kommentaren ist eine wichtige Funktion, da viele Plugins im HTML-Code einen Kommentar hinterlassen wie beispielsweise „<!– This system runs with XYZ Plugin –>“. Für einen Angreifer natürlich eine ausgezeichnete Information. Allerdings führt die Komprimierung des HTML-Codes dazu, dass die Seite sich deutlich verlangsamen wird. Der Plugin Autor empfiehlt deshalb, diese Funktion nur zusammen mit einem Cache-Plugin zu verwenden. Cache-Plugins wie beispielsweise W3 Total sind hervorragende Tools, um die eigene Webseite zu beschleunigen. Allerdings, gerade im Fall von Onlineshops und anderen Webseiten, die stark mit dynamischen Elementen arbeiten, können solche Plugins dysfunktional sein, da sie dann teilweise veraltete Informationen ausgeben. Sollten Sie eine sehr komplexe WordPress Seite betreiben, in der auch User-Informationen wie Name oder andere Dinge angezeigt werden (sagen wir, auf Ihrer Seite können sich Nutzer einloggen, eventuell auch jenseits des WordPress User Systems), können Cacheplugins sogar zu einem Sicherheitsrisiko werden. In einem solchen Fall sollten sie die Funktionalität Ihrer Seite beim Einsatz des Cache-Plugins sorgfältig prüfen und gegebenenfalls professionelle Hilfe in Anspruch nehmen.

Doch zurück zu Hide My WP. Solltet Ihr trotz der Komprimierungs-Funktion noch verräterische Textfragmente auf Eurer Webseite finden (beispielsweise versehen ja viele Themes den Footer mit einem schönen Hinweis wie „proudly presented by Themeauthor“ oder ähnlichem), kann man dies im Textfeld „Replace in HTML“ entfernen, ebenso im nächsten dann verräterische URLs. Bevor Ihr Euch allerdings die Mühe macht, solltet Ihr zunächst alle Einstellungen vorgenommen haben, um danach zu sehen, was noch übrig bleibt.

Wir wenden uns nun dem letzten Tab zu: „Permalinks & URLs“. Hier werden die Standardpfad-Angaben von WordPress abgeändert. Normalerweise hat man ja Pfadangaben wie http://www.example.com/wp-content/themes/my-theme/style.css. Diese URL zeigt sofort, dass es sich bei dem System um ein WordPress System handelt. Zunächst kann man also den Link zum Theme und zum Theme-Style ändern. Die style.css ist allerdings nicht nur wegen ihrem Namen verräterisch, sondern auch, weil in Ihr Informationen wie Theme-Name und ähnliches enthalten sind. Mit Hilfe des Minify Style kann man derartige Informationen nun unterbinden. Auch hier kann man klassische WP-Klassen wie wp-caption und andere abändern. Auch weitere Verzeichnisse und PHP-Dateien wie /wp-includes/, /wp-content/uploads/, /wp-content/plugins/ und so weiter kann man hier einen neuen Pfad und Namen geben.

Verräterisch sind auch standardmäßige Permalinks wie /category/ oder /author/, welche ziemlich typisch für WordPress sind. Hier kann man die entsprechenden Seiten entweder deaktivieren, oder – was wohl eher der Fall ist – wenn man diese Seiten weiter behalten möchte, deren Permalinks abändern.

Auch das Suchfeld kann verräterisch sein. Sucht man über die Standardsuche bei WordPress kommt man stets auf http://www.example.com/?s=[suchbegriff]. Hide My WP ermöglicht es, auch diese URL umzuschreiben, um so die Identität des Content Management Systems zu verbergen.

Hat man all diese Einstellungen schließlich vorgenommen ist für einen Aussenstehenden kaum noch zu erkennen, dass diese Webseite auf einem WordPress System ruht. Dies ist schon ein großer Schritt hin zu mehr Sicherheit. Nehmen wir an, sie haben ein populäres Plugin auf Ihrer Webseite installiert und nun stellt ein Angreifer fest, dass dieses Plugin eine Sicherheitslücke hat, welche er ausnutzen möchte. Er wandert also über verschiedene Webseiten, um festzustellen, ob es sich um ein WordPress-System handelt und im zweiten Schritt, ob das Plugin dort installiert ist. Jetzt sind Sie zwar über das Plugin prinzipiell angreifbar, doch der Angreifer wird es erst einmal erschwert, das überhaupt festzustellen. 100% Sicherheit bedeutet dies allerdings trotzdem nicht, denn nach wie vor besteht mit diesem Plugin natürlich noch die Sicherheitslücke. Hide My WP erhöht Ihren Schutz deutlich, kann aber auch keine 100% Sicherheit bieten. Auch nach der Installation dieser Software wird es nötig sein, auf Sicherheitsupdates und andere Maßnahmen zurückzugreifen, um Angreifern so wenig Angriffsfläche wie möglich zu bieten.

Das WordPress Plugin Hide My WP.  Der Preis von 20 Dollar ist gut investiertes Geld. Schauen Sie sich das Plugin doch einfach mal auf  themeforest an

Oops... Check if you inserted a valid Envato Marketplace Item ID.

Ich hoffe ich konnte Dir weiter helfen! Möchtest Du mehr solcher Tutorials? Hinterlasse einfach einen Kommentar hier am Ende der Seite.

Ich freue mich auf Dich!

Die Neuesten WordPress Premium Plugins

 

    Autor

    Hallo, mein Name ist Martin und ich bin seit 2001 Onlineunternehmer. Ich liebe Ostfriesland, meine 2 Prinzessinen (Frau und Tochter) und trinke eigentlich zu viel Kaffee :-)

    2 Kommentare Neues Kommentar hinzufügen

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.