Webhosting: Hilfe & Tipps

Standard-Schutz für Angriffe auf WordPress-Installationen: Weitere Länder freischalten

WordPress ist ein Content-Management-System (CMS), mit dessen Hilfe sich sowohl einfache als auch sehr komplexe Webseiten erstellen lassen. Durch die enorme Verbreitung der Software im Internet, stellt WordPress für Hacker ein beliebtes Angriffsziel dar. 

Da viele WordPress-Betreiber selbst keine oder nur geringe Sicherheitsmechanismen zum Schutz ihrer WordPress-Installation aktivieren, schützen wir den Login-Bereich (wp-admin; wp-login.php) als auch die in WordPress integrierte Schnittstelle (xmlrpc.php) für unsere Kunden automatisch. Standardmäßig ist der Zugriff auf diese Bereiche nur für Einwahl-IP-Adressen aus Deutschland (DE), Österreich (AT) und der Schweiz (CH) freigeschaltet.

 

Wie schützt die Länder-Begrenzung eine WordPress-Installation?

Attacken auf WordPress-Installationen stammen meist nicht aus dem deutschsprachigen Raum. Durch die Begrenzung der Länder-Einwahl-IP-Adressen werden fremde Anfragen automatisch blockiert. Sowohl Überlastungen als auch das Abgreifen von Login-Daten (Brute-Force-Attacken) werden damit effektiv eingedämmt.

 

Wie können weitere Länder freigeschaltet werden?

Um weiteren Ländern den Zugriff auf die o.g. Bereiche zu ermöglichen, legen Sie eine Datei namens " .htaccess" (falls noch nicht vorhanden) im Stammverzeichnis Ihrer WordPress-Installation an. Fügen Sie in dieser Datei folgenden Code ein, um z.B. IP-Adressen aus den Niederlanden (im Beispiel als NL) den Zugriff zu ermöglichen.

<If "(%{REQUEST_URI} =~ m#/wp-login\.php$# || %{REQUEST_URI} =~ m#/xmlrpc\.php$#) && reqenv('MM_COUNTRY_CODE') in { 'NL' }">
  Require all granted
</If>

 

Wollen Sie ein weiteres Land (hier FR für Frankreich) erlauben, lautet die Code-Zeile wie folgt: 

<If "(%{REQUEST_URI} =~ m#/wp-login\.php$# || %{REQUEST_URI} =~ m#/xmlrpc\.php$#) && reqenv('MM_COUNTRY_CODE') in { 'NL', 'FR' }">
  Require all granted
</If>

 

Nicht zu empfehlen: Möchten Sie den Zugang für alle Länder freischalten, ist die Code-Zeile wie folgt:

<If "(%{REQUEST_URI} =~ m#/wp-login\.php$# || %{REQUEST_URI} =~ m#/xmlrpc\.php$#)">
  Require all granted
</If>

 

Zu verwenden ist jeweils der Ländercode. Eine Liste der 2-Zeichen-Ländercodes finden Sie unter https://de.wikipedia.org/wiki/ISO-3166-1-Kodierliste .

 

Wie können WordPress-Benutzer Ihre Installation zusätzlich schützen?

Achten Sie darauf Ihre WordPress-Installation sowie darin verwendete Themes und Plugins aktuell zu halten. Entfernen Sie nicht genutzte Komponenten, um die Verwaltung zu erleichtern. Das Anlegen eines Passwortschutzes (aktivierbar im Kundenmenü unter "Sonstiges") für den Login-Bereich (Ordner: wp-admin) schützt Ihre WordPress-Installation zusätzlich.

Um vor Überlastungen (z.B. bei einem Angriff auf Ihre Website) geschützt zu sein, empfiehlt es sich auch ein CDN nutzen. Als CloudFlare-Partner ist es für uns möglich die Aktivierung direkt über das Kundenmenü bereitzustellen.