WordPress als CMS verschleiern für mehr Sicherheit

Über ein Drittel aller Webseiten nutzen WordPress als Content Management System. Das ist super für alle WordPress-Nutzer. Es gibt Tausende von Themes, Plugins, Anleitungen und Entwickler. Nicht so super an dieser gigantischen Verbreitung sind dagegen die Tausende von Hacker, die sich auf WordPress spezialisiert haben.

Im Artikel WordPress Sicherheit im Überblick haben wir alle möglichen Sicherheitseinstellungen zusammengefasst. Eine Möglichkeit für mehr Schutz vor Hackern zu sorgen, ist die Verschleierung von WordPress als CMS.

Die Theorie: wenn man der Webseite nicht ansieht, dass sie mit WordPress entwickelt wurde, können Hacker nicht mit den gewohnten Mitteln arbeiten und geben den Versuch bereits im Vorfeld auf.

Der Ansatz wird von vielen WordPress Profis belächelt. Wenn man ihn jedoch komplett zu Ende denkt, ist es durchaus eine sinnvolle Möglichkeit, den Schutzfaktor zu erhöhen. Da die notwendigen Arbeiten sehr aufwändig sind und durchaus zu Problemen mit Hosting-Plattformen, Plugins und Themes führen können, haben wir diese Methode nicht in unseren beiden Artikeln Einfache Schritte für mehr WordPress Sicherheit und WordPress Sicherheit für Profis erwähnt. Die Verschleierungsmethode bleibt eine komplexe Angelegenheit, die nur wenige WordPress-Profis nutzen.

Wie gibt sich WordPress zu erkennen?

Um die Verwendung von WordPress komplett zu verschleiern, müssen wir zuerst klären, wie WordPress sich zu erkennen gibt. Ich bin selbst oft neugierig, wenn ich auf eine Webseite komme und bediene mich der drei typischen Möglichkeiten:

  • Ich hänge an die URL den Pfad /wp-admin an. Dort komme ich in vielen Fällen auf das WordPress-Anmeldefenster.
  • Ich öffne den Quellcode der Seite und suche nach typischen Code-Fragmenten. Das funktioniert in nahezu allen Fällen.
  • Ich lasse mir den Pfad zu Bildern anzeigen. Dieser Pfad enthält meistens /wp-content/uploads/.

Neben diesen Möglichkeiten sind weitere typische WordPress-Dateien und Pfade vorhanden, die man durch einen einfachen Aufruf im Webbrowser erreichen kann. Zum Beispiel die PHP-Dateien im Wurzelverzeichnis von WordPress (sehr beliebt ist die xmlrpc.php), die license.txt, die readme.html, das /wp-content-Verzeichnis und der Ordner /wp-includes.

Wie kommen Hacker in eine WordPress-Plattform?

Ich bin nur ein neugieriger Webentwickler. Was machen Hacker? Wer eine WordPress-Webseite durch die Hintertür betreten möchte, kommt in der Regel nicht persönlich vorbei. Er verwendet eine Software.

Eine solche Software funktioniert ähnlich wie eine Suchmaschine. Sie durchforstet automatisch das Web. Deshalb nennt man sie Bot oder Spider. Sie kann innerhalb von Sekunden alle genannten Dateien und Pfade sowie den Quellcode prüfen, erkennt ob WordPress verwendet wird, welche Version installiert ist oder besser gleich welche bekannten Sicherheitslücken vorhanden sind. ( LANGER SATZ) Ist eine Sicherheitslücke vorhanden, wird Schadcode darüber eingeschleust, (PUNKT)ist der Weg zum WordPress Admin Login frei, wird durch eine Brute Force Attacke versucht, die Logindaten zu knacken.

Wie verschleiere ich WordPress?

Sie haben bereits durch die Einleitung erkannt, dass die komplette (GESAMT WG WDH) Verschleierung von WordPress ein fast unmögliches Unterfangen ist. Duzende von Pfade und Dateien, alle erdenklichen Hinweise im Quellcode und einige Einstellungen, die auch die Funktionalität und Performance von WordPress beeinträchtigen, müssen geändert werden.

Einige der Möglichkeiten ergeben dennoch Sinn. Insbesondere die Maßnahmen, die einfach umzusetzen sind und keinen Einfluss auf die Funktion haben:

  • Löschen Sie nicht benötigte Dateien wie license.txt, readme.html.
  • mmh? Mir fällt gerade nichts mehr ein, aber ich bin sicher da war noch was.

Und die Maßnahmen, die mit hoher Wahrscheinlichkeit von bösen Bots (WAS DAS?) geprüft werden:

Danach wird es aufwändig und gefährlich …

Eine eher abwegige Idee

Man könnte anstelle einer reinen Verschleierungstaktik auch ein anderes CMS simulieren. Ganz einfach wäre es, so zu tun als wäre man ein TYPO3. Die typische TYPO3-Meldung im Quellcode und ein TYPO3-Login unter /typo3, das sollte für den Anfang reichen. Ich werde das auf einer Plattform testen und nach einiger Zeit nachprüfen, ob Bots auf den Trick hereinfallen.